Các bộ phát hiện xâm nhập mức máy đợc cài đặt chạy trên chính trạm chủ cần đợc giám sát. Chúng kiểm tra để xác định xem các hoạt động trên trạm chủ này có đợc chấp thuận hay không. Các bộ thu tin phát hiện xâm nhập mức máy sẽ thu thập thông tin phản ánh các hoạt động xuất hiện trên một trạm chủ cụ thể. Những thông tin này nhiều khi ở dạng các vết kiểm toán của hệ điều hành. Nó cũng có thể bao gồm các nhật ký hệ thống và cả những nhật ký do các tiến trình của hệ
điều hành sinh ra và nội dung của các đối tợng hệ thống không đợc phản ánh trong các cơ chế nhật ký và kiểm toán chuẩn của hệ điều hành. Bộ phát hiện âm x nhập mức máy tạo nên một vành đai bảo vệ thứ ba cho trạm chủ, đằng sau tờng lửa và bộ giám sát mức mạng. Có hai kiểu phát hiện xâm nhập mức máy chủ yếu [8]:
• Bộ giám sát mạng ở mức máy: Những bộ giám sát này giám sát các kết nối mạng đi tới trạm chủ mà nó đợc cài đặt trên đó và cố gắng xác định xem có kết nối nào có biểu hiện đe doạ hay không. Nếu một kết nối mạng biểu hiện nh một cuộc thử xâm nhập thì bị theo dõi xử lý. Đây là điểm khác biệt với
phát hiện xâm nhập mức mạng, vì bộ giám sát mạng ở mức máy chỉ tìm kiếm lu thông mạng đi tới trạm chủ mà nó đang chạy trên đó, chứ không đi tìm tất cả các lu thông đi qua mạng. Vì lý do này, nó không đòi hỏi phơng thức chung trên cạc giao diện mạng.
• Bộ giám sát máy: Các bộ giám sát này giám sát các tệp, các hệ thống tệp, các nhật ký hoặc các phần dữ liệu khác của chính trạm chủ mà nó đợc cài đặt trên đó để tìm kiếm các dạng hoạt động mang biểu hiện một sự thử xâm nhập hoặc có thể là một sự xâm nhập thành công. Nó sẽ thông báo cho ngời quản trị hệ thống biết các vấn đề mà nó phát hiện đợc trên trạm chủ này.
♦ Giám sát các kết nối đến
Có thể cài đặt các bộ giám sát trên nhiều máy để giám sát các gói tin cố tình truy nhập trái phép vào một trạm chủ trớc khi những gói tin này đợc cho đi qua vào tầng mạng của bản thân trạm chủ cần bảo vệ. Cơ chế này cố gắng bảo vệ trạm chủ bằng cách chặn các gói tin đến đó trớc khi chúng có thể gây ra thiệt hại. Bộ giám sát mạng có thể thực hiện đợc một số hành động sau:
– Phát hiện những cuộc thử kết nối đến các cổng TCP (Transmission Control Protocol) hoặc UDP User Datagram Protocol ( ) mà không đợc cấp
quyền, nh là thử kết nối tới các cổng mà ở đó không có dịch vụ. Thông thờng biểu hiện này chỉ báo việc kẻ bẻ khoá đang thăm dò để tìm điểm xung yếu của hệ thống.
– Phát hiện các quét cổng từ ngoài vào. Đây là một lỗ hổng an toàn, cần phải đợc quan tâm và cần phải báo động tờng lửa hoặc biến đổi cấu hình IP cục bộ để từ chối sự truy nhập từ máy của kẻ xâm nhập.
♦ Giám sát hoạt động đăng nhập
Mặc dù nhiều phần mềm phát hiện xâm nhập đã đợc đa vào sử dụng và khai thác, nhng có thể các tin tặc vẫn xâm nhập vào đợc hệ thống và quản lý đăng nhập hệ thống bằng cách sử dụng một kiểu tấn công nào đó mà cho tới nay cha từng biết đến. Có thể kẻ tấn công thu đợc mật khẩu trên mạng bằng cách rà gói tin hoặc các cách khác và khi đó nó có khả năng đăng nhập hệ thống từ xa.
♦ Giám sát hoạt động của ng ời dùng quyền hạn cao nhất
Mục tiêu của tất cả những kẻ xâm nhập là giành đợc quyền của ngời dùng quyền hạn cao nhất (super-user) hoặc có đợc quyền truy nhập của ngời quản trị hệ thống trên hệ thống mà chúng đã làm tổn hại. Thông thờng trên các hệ thống đáng tin cậy và đợc bảo vệ tốt đang đợc sử dụng nh các máy chủ eb hoặc các W cơ sở dữ liệu sẽ có rất ít hoặc không có hoạt động của ngời dùng quyền hạn cao nhất, ngoại trừ tại các thời điểm nhất định để bảo trì hệ thống theo định kỳ. Nhng trong thực tế, những kẻ bẻ khoá ít khi xâm nhập vào khoảng thời gian chết của lịch làm việc và thờng hoạt độngvào thời gian mà họ rảnh rỗi.
Có nhiều tuyến bảo vệ để giám sát bất kỳ hành động nào mà ngời dùng quyền hạn cao nhất hoặc ngời quản trị hệ thống thực hiện. Nhiều hệ thống Unix cho phép ghi nhật ký, hay nói khác đi là giám sát tất cả các hoạt động do ngời dùng có quyền hạn cao nhất thực hiện. Trong các hệ điều hành mã nguồn mở, ngời quản trị hệ thống còn có một lựa chọn nữa là sửa đổi nhân để ghi nhật ký các kiểu hoạt động đặc thù.
♦ Giám sát hệ thống tệp
Một khi kẻ xâm nhập đã làm tổn hại một trạm chủ thì bớc tiếp theo là chúng thay đổi các tệp trên trạm chủ này. Khimột kẻ xâm nhập thành công vào một trạm chủ, chúng có thể cài đặt bộ rà gói tin bộ phát hiện quét cổng hoặc thay đổi , một số tệp hệ thống, chơng trình để vô hiệu hoá một số phơng pháp phát hiện xâm nhập mà chúng đã thăm dò đợc. Việc cài đặt phần mềm trên một hệ thống thờng dẫn tới việc làm biến đổi một vài phần của hệ thống này, chẳng hạn làm thay đổi tệp hoặc các th viện trên hệ thống đó. Một số phần mềm (Tripwire, Fcheck, AIDE) đợc thiết kế để phát hiện khi nào các tệp trên hệ thống bị thay đổi và báo động cho ngời quản trị hệ thống về bất kỳ sự thay đổi nào.