认识和使用SNORT

1846656 2009-08-07 | rar | 190 | 次下载 | 2积分

资料介绍

入侵检测已经日益成为网络安全中不可或缺的一部分，它为网络提供了一个防御层，
在这一层中我们可以预先定义可能的入侵行为以便对网络活动进行监视，当发现在可能的入侵行为时就会报警通知系统管理员。现在计算机安全市场上有许多入侵检测系统，但它们都面临一个共同的问题，就是难于配置而且一般价格不菲，Snort 相对于它们来说在这方面有相当大的优势。
snort 是一个免费的基于libpcap 的轻量级网络入侵检测系统。它能够跨系统平台操作，
自带轻量级的入侵检测工具可以用于监视小型的TCP/IP 网络，在进行网络监视时snort 能够把网络数据和规则进行模式匹配，从而检测出可能的入侵企图，同时它也可以使用SPADE插件，使用统计学方法对网络数据进行异常检测，这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足够的信息。
snort 使用一种易于扩展的模块化体系结构，开发人员可以加入自己编写的模块来扩展
snort 的功能。这些模块包括：HTTP 解码插件、TCP 数据流重组插件、端口扫描检测插件、FLEXRESP 插件以及各种日志输入插件等。
同时snort 还是一个自由、简洁、快速、易于扩展的入侵检测系统，已经被移植到了各
种UNIX 平台和Win98，Win2000 上。它也是目前安全领域中，最活跃的开放源码工程之一。
在Snort.org 上几乎每天都提供了最新的规则库以供下载，由于snort 本身是自由的源码开放工程所以在使用snort 时除了必要的硬件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系统来说，无疑是最好的替代产品之一。
本文主要论述了snort 的背景知识以及它的基于规则的入侵检测机制，同时对于如何使
用也作了概括说明。