認識和使用SNORT

入侵檢測已經(jīng)日益成為網(wǎng)絡安全中不可或缺的一部分，它為網(wǎng)絡提供了一個防御層，
在這一層中我們可以預先定義可能的入侵行為以便對網(wǎng)絡活動進行監(jiān)視，當發(fā)現(xiàn)在可能的入侵行為時就會報警通知系統(tǒng)管理員。現(xiàn)在計算機安全市場上有許多入侵檢測系統(tǒng)，但它們都面臨一個共同的問題，就是難于配置而且一般價格不菲，Snort 相對于它們來說在這方面有相當大的優(yōu)勢。
snort 是一個免費的基于libpcap 的輕量級網(wǎng)絡入侵檢測系統(tǒng)。它能夠跨系統(tǒng)平臺操作，
自帶輕量級的入侵檢測工具可以用于監(jiān)視小型的TCP/IP 網(wǎng)絡，在進行網(wǎng)絡監(jiān)視時snort 能夠把網(wǎng)絡數(shù)據(jù)和規(guī)則進行模式匹配，從而檢測出可能的入侵企圖，同時它也可以使用SPADE插件，使用統(tǒng)計學方法對網(wǎng)絡數(shù)據(jù)進行異常檢測，這些強大的檢測功能為網(wǎng)絡管理員對于入侵行為做出適當?shù)姆磽籼峁┝俗銐虻?a target='_blank' class='arckwlink_none'>信息。
snort 使用一種易于擴展的模塊化體系結(jié)構(gòu)，開發(fā)人員可以加入自己編寫的模塊來擴展
snort 的功能。這些模塊包括：HTTP 解碼插件、TCP 數(shù)據(jù)流重組插件、端口掃描檢測插件、FLEXRESP 插件以及各種日志輸入插件等。
同時snort 還是一個自由、簡潔、快速、易于擴展的入侵檢測系統(tǒng)，已經(jīng)被移植到了各
種UNIX 平臺和Win98，Win2000 上。它也是目前安全領(lǐng)域中，最活躍的開放源碼工程之一。
在Snort.org 上幾乎每天都提供了最新的規(guī)則庫以供下載，由于snort 本身是自由的源碼開放工程所以在使用snort 時除了必要的硬件外軟件上基本上不需要有任何額外的開銷。這相對于少則上千多則上萬的商業(yè)入侵檢測系統(tǒng)來說，無疑是最好的替代產(chǎn)品之一。
本文主要論述了snort 的背景知識以及它的基于規(guī)則的入侵檢測機制，同時對于如何使
用也作了概括說明。