@scream
2年前 提问
1个回答

Snort入侵检测由什么部分组成

Andrew
2年前

Snort入侵检测由以下部分组成:

  • 数据包解码器:数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引擎进行规则匹配。

  • 检测引擎:Snort用一个二维链表存储其检测规则,一维称为规则头,另一维称为规则选项。规则匹配查找采用递归的方法进行,检测机制只针对当前已经建立的链表选项进行检测。

  • 日志子系统:Snort可供选择的日志形式有3种,文本形式、二进制数形式和关闭日志服务。

  • 报警子系统:报警形式有5种,报警信息可发往系统日志、用文本形式记录到报警文件中去、用二进制数形式记录到报警文件中去、通过Samba发送WinPopup信息,以及关闭报警。

Snort入侵检测系统有以下特点:

  • Snort是一个跨平台、轻量级的网络入侵检测软件。

  • Snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。

  • Snort具有实时数据流量分析和监测IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。

  • Snort的报警机制丰富。

  • Snort的日志格式既可以是二进制数格式,也可以解码成ASCII字符形式,便于用户检查。

  • Snort使用一种简单的规则描述语言,能够很快对新的网络攻击做出反应。

  • Snort支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。