每一個(gè)IR團(tuán)隊(duì)所面臨的挑戰(zhàn)在于識(shí)別一個(gè)探測到的活動(dòng)是正常使用系統(tǒng)的結(jié)果還是真正的事故。事故分類是一個(gè)過程，它負(fù)責(zé)鑒別可能的事故或候選的事故，并且確定它是否構(gòu)成一個(gè)真正的事故。’對(duì)事故進(jìn)行分類是IR團(tuán)隊(duì)的職責(zé)，最終用戶的初始報(bào)告、入侵檢測系統(tǒng)、基于主機(jī)和網(wǎng)絡(luò)的病毒探測軟件以及系統(tǒng)管理員，都是追蹤和探測候選事故的方法。在報(bào)告候選事故方面的悉心訓(xùn)練可以使最終用戶、平臺(tái)技術(shù)支持人員以及所有安全人員能夠?qū)㈥P(guān)鍵信息傳遞給IR團(tuán)隊(duì)。 一旦事故得到恰當(dāng)?shù)蔫b別，IR團(tuán)隊(duì)的成員就能夠有效的執(zhí)行IRP中的應(yīng)對(duì)程序。

許多活動(dòng)的發(fā)生都預(yù)示著候選事故的出現(xiàn)。遺憾的是，過載的網(wǎng)絡(luò)、計(jì)算機(jī)或者服務(wù)器都可以產(chǎn)生預(yù)示候選事故出現(xiàn)的事件，而且其中～些與正常操作信息系統(tǒng)時(shí)所得到的反應(yīng)非常相似。另一些候選事故則酷似異常的計(jì)算系統(tǒng)、軟件包或威脅較小的系統(tǒng)的動(dòng)作。為了使得對(duì)真正事故的探測更為可靠，D.L.Pipkin劃定了事故征兆的3種類型：可能的、很可能的以及確定的。

可能的征兆。以下4種候選事件可能成為真正事故：

①陌生文件的出現(xiàn)：例如，用戶可能在家里或辦公室的計(jì)算機(jī)上發(fā)現(xiàn)陌生的文件， 而管理員也可能會(huì)發(fā)現(xiàn)一些邏輯上可疑的或不屬于授權(quán)用戶的不明文件。

②未知程序、進(jìn)程的出現(xiàn)或執(zhí)行：例如，用戶或管理員也許會(huì)在辦公室計(jì)算機(jī)或網(wǎng)

絡(luò)服務(wù)器上發(fā)現(xiàn)陌生程序在運(yùn)行或進(jìn)程在執(zhí)行。

③異常的計(jì)算機(jī)資源消Wi如，內(nèi)存或硬盤使用空間的猛然增加或下降。許多計(jì)算機(jī)操作系統(tǒng)，包括windows 2000,Winclows XP以及各種版本的UNIX操作系統(tǒng)'允許用戶和管理員監(jiān)控CPU與內(nèi)存的使用。多數(shù)計(jì)算機(jī)還能夠監(jiān)控硬盤空間的使用；此外，服務(wù)器還能支持文件建立及存儲(chǔ)的日志功能。

④異常的系統(tǒng)崩潰：眾所周知，計(jì)算機(jī)系統(tǒng)會(huì)發(fā)生崩潰，系統(tǒng)執(zhí)行用戶的請(qǐng)求，如在舊操作系統(tǒng)上運(yùn)行新的程序，都可能導(dǎo)致死機(jī)或自動(dòng)重啟。人們也許很熟悉這些系統(tǒng)YVindows NT如“不可恢復(fù)的應(yīng)用程序錯(cuò)誤”、“一般保護(hù)故障，，，以及臭名昭著的Willdows NT“藍(lán)屏死機(jī)”。但是，如果一臺(tái)計(jì)算機(jī)系統(tǒng)發(fā)生崩潰、死機(jī)、重啟或停滯的幾率高于往常，這很可能就是由異常事故造成的。

很可能的征兆。以下描述的4種候選事件很可能成為真正事故：

①預(yù)料時(shí)間段之外的活動(dòng)：如果機(jī)構(gòu)的網(wǎng)絡(luò)傳送水平超出了原來衡量的基準(zhǔn)線的值，候選事故就很有可能出現(xiàn)。如果這種活動(dòng)發(fā)生在機(jī)構(gòu)少數(shù)員工作時(shí)，可能性就會(huì)變得更高。類似的，如果系統(tǒng)正在訪問驅(qū)動(dòng)器，比如軟驅(qū)和光驅(qū)，而最終

用戶并未使用它們，那么事件也有可能發(fā)生。

②出現(xiàn)新賬號(hào)：定期檢查用戶賬號(hào)能發(fā)現(xiàn)管理員并不曾創(chuàng)建或并未記錄的賬號(hào)， 即便是一個(gè)未記錄的新賬號(hào)也可能成為候選事故。一個(gè)具有超級(jí)權(quán)限但未記

錄的新賬號(hào)極有可能是一個(gè)真正的事故。 .

③攻擊的報(bào)告：如果系統(tǒng)用戶報(bào)告一個(gè)可疑攻擊，那么很有可能該攻擊已經(jīng)發(fā)生， IDS一次事故了，還應(yīng)該考慮這是否報(bào)告者的技術(shù)欺騙。

④(IDS)通知：IDS機(jī)構(gòu)已經(jīng)安裝并正確配置了基于主機(jī)和網(wǎng)絡(luò)的入侵檢測系統(tǒng)(IDs)，那么IDs的通知就表明一個(gè)事故正在進(jìn)行中。但I(xiàn)DS通常并不能得到最佳配置，而且即使它們得到了最佳配置，也可能產(chǎn)生許多錯(cuò)誤的警報(bào)。在這種情況下，管理員就必須先確定該通知是真實(shí)攻擊，還是由用戶或管理員的常操作所產(chǎn)生的誤報(bào)。