A system and method are disclosed for detecting intrusions in a host system on a network. The intrusion detection system comprises an analysis engine configured to use continuations and apply forward- and backward-chaining using rules. Also provided are sensors, which communicate with the analysis engine using a meta-protocol in which the data packet comprises a 4-tuple. A configuration discovery mechanism locates host system files and communicates the locations to the analysis engine. A file processing mechanism matches contents of a deleted file to a directory or filename, and a directory processing mechanism extracts deallocated directory entries from a directory, creating a partial ordering of the entries. A signature checking mechanism computes the signature of a file and compares it to previously computed signatures. A buffer overflow attack detector compares access times of commands and their associated files. The intrusion detection system further includes a mechanism for checking timestamps to identify and analyze forward and backward time steps in a log file.

Un système et une méthode sont révélés pour détecter des intrusions dans un système hôte sur un réseau. Le système de détection d'intrusion comporte un moteur d'analyse configuré pour employer des suites et pour s'appliquer en avant et vers l'arrière-enchaînant en utilisant des règles. En outre fournies sont des sondes, qui communiquent avec le moteur d'analyse en utilisant un méta-protocole dans lequel le paquet de données comporte un 4-tuple. Un mécanisme de découverte de configuration localise le système hôte classe et communique les endroits au moteur d'analyse. Un mécanisme de traitement de fichier assortit le contenu d'un dossier supprimé à un annuaire ou à un nom de fichier, et un annuaire traitant le mécanisme extrait les entrées de répertoire désaffectées à partir d'un annuaire, créant une commande partielle des entrées. Une signature vérifiant le mécanisme calcule la signature d'un dossier et la compare aux signatures précédemment calculées. Un détecteur d'attaque de débordement d'amortisseur compare des temps d'accès des commandes et de leurs dossiers associés. Le système de détection d'intrusion autre inclut un mécanisme pour vérifier des horodateurs pour identifier et analyser des étapes avant et en arrière de temps dans un dossier de notation.