Um dos melhores meios para detectar as intrusões consiste em supervisionar os registos de acontecimentos (chamados também diários de actividade ou, em inglês, logs).
Com efeito, geralmente os servidores armazenam, em ficheiros, um vestígio da sua actividade e em especial dos erros encontrados.
Ora, aquando de um ataque informático é raro que o pirata consiga comprometer um sistema à primeira. Age na maior parte do tempo à cegas, tentando diferentes pedidos.
Assim, a vigilância dos registos permite detectar uma actividade suspeita. É particularmente importante supervisionar os registos de actividade dos dispositivos de protecção porque por muito bem configurados que estejam, podem ser um dia alvo de um ataque.
Na realidade, não é fácil distinguir os alertas reais dos ataques automáticos efectuados pelosvermes rede, os vírus e os instrumentos como os analisadores de vulnerabilidades.
Assim, a maior parte dos ataques sofridos por um servidor são ataques que não podem em nenhum caso comprometer o sistema (por exemplo, ataques de servidores web Microsoft IIS contra servidores sob Linux com Apache).
Isso provoca, no entanto, alertas inúteis, provocando o que se chama de “ barulho”, impedindo focalizar-se sobre os verdadeiros alertas.
Artigo redigido a 22 de Julho de 2005 por Jean-François PILLOU