Los puntos clave no están disponibles para este artículo en este momento.
Analizar intrusiones hoy en día es una tarea ardua y en gran medida manual porque los administradores de sistemas carecen de la información y las herramientas necesarias para comprender fácilmente la secuencia de pasos que ocurrieron en un ataque. El objetivo de BackTracker es identificar automáticamente secuencias potenciales de pasos que ocurrieron en una intrusión. Comenzando con un único punto de detección (por ejemplo, un archivo sospechoso), BackTracker identifica archivos y procesos que podrían haber afectado ese punto de detección y muestra cadenas de eventos en un gráfico de dependencia. Usamos BackTracker para analizar varios ataques reales contra computadoras que configuramos como honeypots. En cada caso, BackTracker puede resaltar de manera efectiva el punto de entrada utilizado para acceder al sistema y la secuencia de pasos desde ese punto de entrada hasta el punto en el que notamos la intrusión. El registro requerido para soportar BackTracker añadió un 9% de sobrecarga en el tiempo de ejecución y generó 1.2 GB por día de datos de registro para una carga de trabajo intensiva del sistema operativo.
King et al. (Wed,) estudiaron esta cuestión.