每一个IR团队所面临的挑战在于识别一个探测到的活动是正常使用系统的结果还是真正的事故。事故分类是一个过程,它负责鉴别可能的事故或候选的事故,并且确定它是否构成一个真正的事故。’对事故进行分类是IR团队的职责,最终用户的初始报告、入侵检测系统、基于主机和网络的病毒探测软件以及系统管理员,都是追踪和探测候选事故的方法。在报告候选事故方面的悉心训练可以使最终用户、平台技术支持人员以及所有安全人员能够将关键信息传递给IR团队。 一旦事故得到恰当的鉴别,IR团队的成员就能够有效的执行IRP中的应对程序。
许多活动的发生都预示着候选事故的出现。遗憾的是,过载的网络、计算机或者服务器都可以产生预示候选事故出现的事件,而且其中~些与正常操作信息系统时所得到的反应非常相似。另一些候选事故则酷似异常的计算系统、软件包或威胁较小的系统的动作。为了使得对真正事故的探测更为可靠,D.L.Pipkin划定了事故征兆的3种类型:可能的、很可能的以及确定的。
可能的征兆。以下4种候选事件可能成为真正事故:
①陌生文件的出现:例如,用户可能在家里或办公室的计算机上发现陌生的文件, 而管理员也可能会发现一些逻辑上可疑的或不属于授权用户的不明文件。
②未知程序、进程的出现或执行:例如,用户或管理员也许会在办公室计算机或网
络服务器上发现陌生程序在运行或进程在执行。
③异常的计算机资源消Wi如,内存或硬盘使用空间的猛然增加或下降。许多计算机操作系统,包括windows 2000,Winclows XP以及各种版本的UNIX操作系统'允许用户和管理员监控CPU与内存的使用。多数计算机还能够监控硬盘空间的使用;此外,服务器还能支持文件建立及存储的日志功能。
④异常的系统崩溃:众所周知,计算机系统会发生崩溃,系统执行用户的请求,如在旧操作系统上运行新的程序,都可能导致死机或自动重启。人们也许很熟悉这些系统YVindows NT如“不可恢复的应用程序错误”、“一般保护故障,,,以及臭名昭著的Willdows NT“蓝屏死机”。但是,如果一台计算机系统发生崩溃、死机、重启或停滞的几率高于往常,这很可能就是由异常事故造成的。
很可能的征兆。以下描述的4种候选事件很可能成为真正事故:
①预料时间段之外的活动:如果机构的网络传送水平超出了原来衡量的基准线的值,候选事故就很有可能出现。如果这种活动发生在机构少数员工作时,可能性就会变得更高。类似的,如果系统正在访问驱动器,比如软驱和光驱,而最终
用户并未使用它们,那么事件也有可能发生。
②出现新账号:定期检查用户账号能发现管理员并不曾创建或并未记录的账号, 即便是一个未记录的新账号也可能成为候选事故。一个具有超级权限但未记
录的新账号极有可能是一个真正的事故。 .
③攻击的报告:如果系统用户报告一个可疑攻击,那么很有可能该攻击已经发生, IDS一次事故了,还应该考虑这是否报告者的技术欺骗。
④(IDS)通知:IDS机构已经安装并正确配置了基于主机和网络的入侵检测系统(IDs),那么IDs的通知就表明一个事故正在进行中。但IDS通常并不能得到最佳配置,而且即使它们得到了最佳配置,也可能产生许多错误的警报。在这种情况下,管理员就必须先确定该通知是真实攻击,还是由用户或管理员的常操作所产生的误报。