認識和使用SNORT

1846656 2009-08-07 | rar | 190 | 次下載 | 2積分

資料介紹

入侵檢測已經日益成為網絡安全中不可或缺的一部分，它為網絡提供了一個防御層，
在這一層中我們可以預先定義可能的入侵行為以便對網絡活動進行監視，當發現在可能的入侵行為時就會報警通知系統管理員。現在計算機安全市場上有許多入侵檢測系統，但它們都面臨一個共同的問題，就是難于配置而且一般價格不菲，Snort 相對于它們來說在這方面有相當大的優勢。
snort 是一個免費的基于libpcap 的輕量級網絡入侵檢測系統。它能夠跨系統平臺操作，
自帶輕量級的入侵檢測工具可以用于監視小型的TCP/IP 網絡，在進行網絡監視時snort 能夠把網絡數據和規則進行模式匹配，從而檢測出可能的入侵企圖，同時它也可以使用SPADE插件，使用統計學方法對網絡數據進行異常檢測，這些強大的檢測功能為網絡管理員對于入侵行為做出適當的反擊提供了足夠的信息。
snort 使用一種易于擴展的模塊化體系結構，開發人員可以加入自己編寫的模塊來擴展
snort 的功能。這些模塊包括：HTTP 解碼插件、TCP 數據流重組插件、端口掃描檢測插件、FLEXRESP 插件以及各種日志輸入插件等。
同時snort 還是一個自由、簡潔、快速、易于擴展的入侵檢測系統，已經被移植到了各
種UNIX 平臺和Win98，Win2000 上。它也是目前安全領域中，最活躍的開放源碼工程之一。
在Snort.org 上幾乎每天都提供了最新的規則庫以供下載，由于snort 本身是自由的源碼開放工程所以在使用snort 時除了必要的硬件外軟件上基本上不需要有任何額外的開銷。這相對于少則上千多則上萬的商業入侵檢測系統來說，無疑是最好的替代產品之一。
本文主要論述了snort 的背景知識以及它的基于規則的入侵檢測機制，同時對于如何使
用也作了概括說明。