@scream
2年前 提问
1个回答
Snort入侵检测由什么部分组成
Andrew
2年前
Snort入侵检测由以下部分组成:
数据包解码器:数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引擎进行规则匹配。
检测引擎:Snort用一个二维链表存储其检测规则,一维称为规则头,另一维称为规则选项。规则匹配查找采用递归的方法进行,检测机制只针对当前已经建立的链表选项进行检测。
日志子系统:Snort可供选择的日志形式有3种,文本形式、二进制数形式和关闭日志服务。
报警子系统:报警形式有5种,报警信息可发往系统日志、用文本形式记录到报警文件中去、用二进制数形式记录到报警文件中去、通过Samba发送WinPopup信息,以及关闭报警。
Snort入侵检测系统有以下特点:
Snort是一个跨平台、轻量级的网络入侵检测软件。
Snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。
Snort具有实时数据流量分析和监测IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。
Snort的报警机制丰富。
Snort的日志格式既可以是二进制数格式,也可以解码成ASCII字符形式,便于用户检查。
Snort使用一种简单的规则描述语言,能够很快对新的网络攻击做出反应。
Snort支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。