4. Sistemas de detección de intrusos (IDS) IDS orientado a servidor (HIDS) Toma su entrada de las bitácoras, registros de auditoría y estado del sistema Típicamente, reportan aquellos registros que salen del patrón normal de operación (ya sea autogenerado o definido por el administrador) Peligros de autogenerar perfiles: ¿Y si durante el periodo de recopilación de estado soy víctima de un ataque? Peligros de definirlos: ¿Son suficiente? ¿Son demasiado? ¿Estoy buscando en el lugar correcto? Estado del sistema: ¿Qué revisa? Existencia de archivos con nombres raros ('. ', '...', ' ', etc. - Nombres hechos para ser ocultados) Existencia de archivos con SETUID Servicios de red inesperados Modificaciones en los archivos de configuración del sistema Entradas de cron/at Binarios cuyo checksum no corresponde al del paquete Nuevas cuentas Cuentas sin contraseña Cuentas que permitan la entrada por intercambio de llaves ssh Relaciones de confianza con otros sistemas Estado de interfaces de red Cambio en el patrón común de consumo de memoria, procesador, red y disco, incluso de horario Últimas entradas de los usuarios, especialmente desde hosts poco comunes