一、异常的访问日志

查看系统访问日志，如发现一个ip多次出现各种服务日志中，或在同一服务中建立多个空连接。

二、网络流量增大

三、非法访问

如果发现某个用户试图访问控制并修改etc/shadow/系统日志/系统配置文件，那么可能此用户被入侵者控制并试图非常访问别的电脑和网络。

四、正常服务终止

系统的日志突然停止或ids程序突然终止，都暗示入侵者可能试图停掉这些服务，避免留下脚印。

五、可疑的进程或非法服务的出现

六、可疑的数据

如可疑奇怪的文件，扩展名等。