Như chúng ta sẽ thấy sau đây trong chương này, phát
        hiện những sự kiện bất thường cung cấp một độ nhạy cao
        nhưng  lại  ít  đặc  trưng.  Sau  đây,  chúng  ta  sẽ  đê  cập  đến
         những công cụ hữu ích nhất.



        2.  CÁC BIỆN PHÁP PHÁT HIỆN HỆ THỐNG BỊ TẤN CÔNG

             Không  có  một  hệ  thống  nào  có  thể  đảm  bảo  an  toàn
         tuyệt đôi; bản thân mỗi dịch vụ đều có những lỗ hổng bảo
         mật tiềm tàng.  Đứng trên góc độ người quản trị hệ thông,
         ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn
         luôn phải thực hiện các biện pháp kiểm tra hệ thống xem
         có dấu hiệu tấn công hay không. Các biện pháp đó là:
             - Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống
         thường  bị  treo  hoặc  bị  crash  bằng  những  thông  báo  lỗi
         không rõ ràng.  Khó xác định nguyên nhân do thiếu thông
         tin  liên  quan.  Trước  tiên,  xác  định  các  nguyên  nhân  về
         phần cứng hay không, nếu không phải phần cứng hãy nghĩ
         đến khả năng máy bị tấn công.
             - Kiểm tra các tài khoản người dùng mới trên hệ thống:
         một số tài khoản lạ, nhất là uid của tài khoản đó = 0.
             -  Kiểm tra xuất hiện các tập tin lạ.  Thường phát hiện
         thông qua cách đặt tên các tệp tin,  mỗi người  quản trị hệ
        thống nên có thói quen đặt tên tập tin theo một mẫu nhất
         định để dễ dàng phát hiện tập tin lạ. Dùng các lệnh Is -1 để
        kiểm tra thuộc tính setuid và setgid đối với những tập tinh
         đáng chú ý (đặc biệt là các tập tin Scripts).

             - Kiểm tra thời gian thay đổi trên hệ thống,  đặc biệt là
        các chương trình login, sh hoặc các Scripts khởi động trong
        /etc/init.d, /etc/rc.d...
             -  Kiểm  tra hiệu năng của  hệ  thống.  Sử  dụng các  tiện
        ích  theo  dõi  tài  nguyên  và  các  tiến  trình  đang hoạt  động
        trên hệ thốhg như ps hoặc top...