<ก่อนหน้านี้ | Contents | ถัดไป>
หากมีสิ่งใด วิธี UNIX ในการบันทึกกิจกรรมทุกประเภทลงในไฟล์ทุกประเภทเป็นการยืนยันว่า "กำลังดำเนินการบางอย่างอยู่" แน่นอน ไฟล์บันทึกควรได้รับการตรวจสอบอย่างสม่ำเสมอ ด้วยตนเองหรือโดยอัตโนมัติ ไฟร์วอลล์และวิธีอื่นๆ ในการควบคุมการเข้าถึงมักจะสร้างไฟล์บันทึกจำนวนมาก ดังนั้นเคล็ดลับคือพยายามบันทึกเฉพาะกิจกรรมที่ผิดปกติเท่านั้น
10.5.5. ตรวจจับการบุกรุก
ระบบตรวจจับการบุกรุกได้รับการออกแบบมาเพื่อตรวจจับสิ่งที่อาจผ่านพ้นไฟร์วอลล์ พวกเขาสามารถออกแบบให้จับความพยายามในการบุกที่กำลังดำเนินการอยู่ หรือเพื่อตรวจจับการบุกรุกที่ประสบความสำเร็จหลังจากข้อเท็จจริง ในกรณีหลังนี้ มันสายเกินไปที่จะป้องกันความเสียหายใดๆ แต่อย่างน้อย เราก็ได้ตระหนักถึงปัญหาแต่เนิ่นๆ IDS พื้นฐานมีสองประเภท: ประเภทที่ปกป้องเครือข่าย และประเภทที่ปกป้องแต่ละโฮสต์
สำหรับ IDS ที่ใช้โฮสต์ ทำได้โดยใช้ยูทิลิตี้ที่ตรวจสอบระบบไฟล์สำหรับการเปลี่ยนแปลง ไฟล์ระบบที่เปลี่ยนแปลงไปในทางใดทางหนึ่ง แต่ไม่ควรเปลี่ยนแปลง เป็นการแจกฟรีที่มีบางอย่างผิดปกติ ใครก็ตามที่เข้าใช้งานและเข้าถึงรูทจะต้องทำการเปลี่ยนแปลงระบบที่ไหนสักแห่ง ซึ่งมักจะเป็นสิ่งแรกที่ทำ ไม่ว่าจะเป็นเพื่อที่เขาจะได้กลับเข้ามาผ่านประตูหลัง หรือเพื่อโจมตีคนอื่น ในกรณีนี้ เขาต้องเปลี่ยนหรือเพิ่มไฟล์ในระบบ บางระบบมาพร้อมกับ ทริปไวร์ ระบบตรวจสอบซึ่งมีบันทึกไว้ที่เว็บไซต์ Tripwire Open Source Project