係統和網絡日誌文件

黑客經常在係統日誌文件中留下他們的蹤跡，因此，可以充分利用係統和網絡日誌文件信息。日誌中包含發生在係統和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了係統。通過查看日誌文件，能夠發現成功的入侵或入侵企圖，並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄"用戶活動"類型的日誌，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重複登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。

非正常的目錄和文件改變

網絡環境中的文件係統包含很多軟件和數據文件，他們經常是黑客修改或破壞的目標。目錄和文件中非正常改變（包括修改、創建和刪除），特別是那些正常情況下限製訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的係統上的文件，同時為了隱藏係統中他們的表現及活動痕跡，都會盡力去替換係統程序或修改係統日誌文件。

非正常的程序執行

網絡係統上的程序執行一般包括操作係統、網絡服務、用戶啟動的程序和特定目的的應用，例如WEB服務器。每個在係統上執行的程序由一到多個進程來實現。一個進程的執行行為由它運行時執行的操作來表現，操作執行的方式不同，它利用的係統資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網絡間其它進程的通訊。

一個進程出現了不期望的行為可能表明黑客正在入侵你的係統。黑客可能會將程序或服務的運行分解，從而導致它失敗，或者是以非用戶或管理員意圖的方式操作。

信號分析

對收集到的有關係統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和係統已有模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很複雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是隻需收集相關的數據集合，顯著減少係統負擔，且技術已相當成熟。它與病毒防火牆采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

統計分析

統計分析方法首先給係統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、係統的行為進行比較，任何觀察值在正常值範圍之外時，就認為有入侵發生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為複雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家係統的、基於模型推理的和基於神經網絡的分析方法，目前正處於研究熱點和迅速發展之中。

完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特咯伊化的應用程序方麵特別有效。完整性分析利用強有力的加密機製，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，隻要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，用於事後分析而不用於實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡係統進行全麵地掃描檢查。

專家係統

用專家係統對入侵進行檢測，經常是針對有特征入侵行為，是較為智能的方法。專家係統主要是運用規則進行分析，規則即知識，不同的係統與設置具有不同的規則，且規則之間往往無通用性。專家係統的建立依賴於知識庫的完備性，知識庫的完備性又取決於審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家係統的關鍵。在係統實現中，將有關入侵的知識轉化為if-then結構（也可以是複合結構），條件部分為入侵特征，then部分是係統防範措施。運用專家係統防範有特征入侵行為的有效性完全取決於專家係統知識庫的完備性。

實現一例

以下是在WINDOWS2000，VB6.0環境下測試通過的對本機的木馬探測及常規掃描進行監聽的簡單程序。