<Sebelumnya | Konten | Selanjutnya>
Jika ada, cara UNIX untuk mencatat semua jenis aktivitas ke dalam semua jenis file menegaskan bahwa "ia sedang melakukan sesuatu." Tentu saja, file log harus diperiksa secara teratur, manual atau otomatis. Firewall dan sarana kontrol akses lainnya cenderung membuat file log dalam jumlah besar, jadi triknya adalah mencoba dan hanya mencatat aktivitas abnormal.
10.5.5. Deteksi gangguan
Sistem Deteksi Intrusi dirancang untuk menangkap apa yang mungkin telah melewati firewall. Mereka dapat dirancang untuk menangkap upaya pembobolan aktif yang sedang berlangsung, atau untuk mendeteksi pembobolan yang berhasil setelah kejadian. Dalam kasus terakhir, sudah terlambat untuk mencegah kerusakan apa pun, tetapi setidaknya kita memiliki kesadaran awal akan suatu masalah. Ada dua tipe dasar IDS: yang melindungi jaringan, dan yang melindungi masing-masing host.
Untuk IDS berbasis host, ini dilakukan dengan utilitas yang memantau sistem file untuk perubahan. File sistem yang telah berubah dalam beberapa cara, tetapi tidak boleh berubah, adalah indikasi bahwa ada sesuatu yang salah. Siapa pun yang masuk dan mendapatkan akses root mungkin akan membuat perubahan pada sistem di suatu tempat. Ini biasanya merupakan hal pertama yang dilakukan, baik agar dia dapat masuk kembali melalui pintu belakang, atau untuk melancarkan serangan terhadap orang lain, dalam hal ini, dia harus mengubah atau menambahkan file ke sistem. Beberapa sistem datang dengan tripwire sistem pemantauan, yang didokumentasikan di situs web Proyek Sumber Terbuka Tripwire.