DokumentationWenn überhaupt, bestätigt die UNIX-Methode, alle Arten von Aktivitäten in allen Arten von Dateien zu protokollieren, dass „etwas passiert“. Natürlich sollten Logdateien regelmäßig manuell oder automatisch überprüft werden. Firewalls und andere Mittel zur Zugriffskontrolle neigen dazu, große Mengen an Protokolldateien zu erstellen. Der Trick besteht also darin, zu versuchen, nur ungewöhnliche Aktivitäten zu protokollieren.
10.5.5. Einbrucherkennung
Intrusion-Detection-Systeme sollen erkennen, was möglicherweise durch die Firewall gelangt ist. Sie können entweder so konzipiert sein, dass sie einen aktiven Einbruchsversuch abfangen oder einen erfolgreichen Einbruch im Nachhinein erkennen. Im letzteren Fall ist es zu spät, um Schäden zu verhindern, aber wir sind uns zumindest frühzeitig eines Problems bewusst. Es gibt zwei grundlegende Arten von IDS: solche, die Netzwerke schützen, und solche, die einzelne Hosts schützen.
Bei hostbasierten IDS erfolgt dies mit Dienstprogrammen, die das Dateisystem auf Änderungen überwachen. Systemdateien, die sich in irgendeiner Weise geändert haben, sich aber nicht ändern sollten, sind ein eindeutiger Hinweis darauf, dass etwas nicht stimmt. Jeder, der einsteigt und Root-Zugriff erhält, wird vermutlich irgendwo Änderungen am System vornehmen. Dies ist normalerweise das allererste, was getan wird, entweder um durch eine Hintertür wieder einzudringen oder um einen Angriff gegen jemand anderen zu starten. In diesem Fall muss er Dateien ändern oder dem System hinzufügen. Einige Systeme sind mit dem ausgestattet tripwire Überwachungssystem, das auf der Website des Tripwire Open Source Project dokumentiert ist.