贵州大学计算机软件与理论研究所
4
检测引擎是入侵检测实现的核心,准确性和快速性是衡量其性能的重要
指标,前者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用
性,后者主要取决于引擎的组织结构,是否能够快速地进行规则匹配。到目前
为止共有3066个可用的规则,并且还在不断加入更多规则,同时提供规则描述
语言,这种语言灵活而强大,以便用户可以添加自己的检测规则。
入侵检测能够进行协议分析,内容的搜索/匹配。现在能够分析的协议
有TCP、UDP、ICMP、IP和ARP。能够检测多种方式的攻击和探测,例如:缓冲区
溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。
入侵检测模块支持各种形式的插件、扩充和定制。目前有三类插件:
预处理插件、检测插件和输出插件,包括数据库日志输出插件、破碎数据
包检测插件、端口扫描检测插件、HTTP URI normalization插件、XML插件
等。预处理插件是在捕获分组时对分组作的一些“预处理”动作,比如探测过
小的IP碎片,重组IP分组,重组TCP报文等;检测插件则是按照规则文件中定义
的规则依次地分析每个数据包;输出插件负责信息的输出。
本文所做的主要工作与创新之处
第4页,共33页。