每一個IR團隊所面臨的挑戰在于識別一個探測到的活動是正常使用系統的結果還是真正的事故。事故分類是一個過程，它負責鑒別可能的事故或候選的事故，并且確定它是否構成一個真正的事故。’對事故進行分類是IR團隊的職責，最終用戶的初始報告、入侵檢測系統、基于主機和網絡的病毒探測軟件以及系統管理員，都是追蹤和探測候選事故的方法。在報告候選事故方面的悉心訓練可以使最終用戶、平臺技術支持人員以及所有安全人員能夠將關鍵信息傳遞給IR團隊。 一旦事故得到恰當的鑒別，IR團隊的成員就能夠有效的執行IRP中的應對程序。

許多活動的發生都預示著候選事故的出現。遺憾的是，過載的網絡、計算機或者服務器都可以產生預示候選事故出現的事件，而且其中～些與正常操作信息系統時所得到的反應非常相似。另一些候選事故則酷似異常的計算系統、軟件包或威脅較小的系統的動作。為了使得對真正事故的探測更為可靠，D.L.Pipkin劃定了事故征兆的3種類型：可能的、很可能的以及確定的。

可能的征兆。以下4種候選事件可能成為真正事故：

①陌生文件的出現：例如，用戶可能在家里或辦公室的計算機上發現陌生的文件， 而管理員也可能會發現一些邏輯上可疑的或不屬于授權用戶的不明文件。

②未知程序、進程的出現或執行：例如，用戶或管理員也許會在辦公室計算機或網

絡服務器上發現陌生程序在運行或進程在執行。

③異常的計算機資源消Wi如，內存或硬盤使用空間的猛然增加或下降。許多計算機操作系統，包括windows 2000,Winclows XP以及各種版本的UNIX操作系統'允許用戶和管理員監控CPU與內存的使用。多數計算機還能夠監控硬盤空間的使用；此外，服務器還能支持文件建立及存儲的日志功能。

④異常的系統崩潰：眾所周知，計算機系統會發生崩潰，系統執行用戶的請求，如在舊操作系統上運行新的程序，都可能導致死機或自動重啟。人們也許很熟悉這些系統YVindows NT如“不可恢復的應用程序錯誤”、“一般保護故障，，，以及臭名昭著的Willdows NT“藍屏死機”。但是，如果一臺計算機系統發生崩潰、死機、重啟或停滯的幾率高于往常，這很可能就是由異常事故造成的。

很可能的征兆。以下描述的4種候選事件很可能成為真正事故：

①預料時間段之外的活動：如果機構的網絡傳送水平超出了原來衡量的基準線的值，候選事故就很有可能出現。如果這種活動發生在機構少數員工作時，可能性就會變得更高。類似的，如果系統正在訪問驅動器，比如軟驅和光驅，而最終

用戶并未使用它們，那么事件也有可能發生。

②出現新賬號：定期檢查用戶賬號能發現管理員并不曾創建或并未記錄的賬號， 即便是一個未記錄的新賬號也可能成為候選事故。一個具有超級權限但未記

錄的新賬號極有可能是一個真正的事故。 .

③攻擊的報告：如果系統用戶報告一個可疑攻擊，那么很有可能該攻擊已經發生， IDS一次事故了，還應該考慮這是否報告者的技術欺騙。

④(IDS)通知：IDS機構已經安裝并正確配置了基于主機和網絡的入侵檢測系統(IDs)，那么IDs的通知就表明一個事故正在進行中。但IDS通常并不能得到最佳配置，而且即使它們得到了最佳配置，也可能產生許多錯誤的警報。在這種情況下，管理員就必須先確定該通知是真實攻擊，還是由用戶或管理員的常操作所產生的誤報。