11-2019051171-郭鸿耀-SNORT入侵检测系统1

SNORT入侵检测系统是一种广泛应用的开源入侵检测系统，它能够实时监控网络流量，分析协议，检测潜在的攻击行为，并提供报警或记录数据包。以下是关于SNORT的主要知识点： 1. **数据包嗅探模块**：SNORT的第一步是监听网络数据包，这个模块负责收集网络上的信息，对网络活动进行基础的分析。它使用libpcap库来捕获网络接口上的数据包。 2. **预处理模块**：预处理模块包含了一系列插件，这些插件用于检查原始数据包，识别异常行为，如端口扫描、IP碎片攻击等。预处理过程是为了提高检测效率，减少检测引擎的负担，使数据包更适合检测规则的匹配。 3. **检测模块**：这是SNORT的核心，它根据用户定义的规则集对预处理后的数据包进行检查。如果发现数据包内容与规则匹配，就会触发相应的行动，例如报警或记录数据包。 4. **报警/日志模块**：检测模块匹配到规则后，会触发报警，报警信息可以通过多种途径传递，如网络、UNIX套接字、Windows弹窗、SNMP陷阱或第三方插件。同时，这些信息也会被记录到日志文件中，便于后期分析。 5. **SNORT的工作模式**：SNORT有三种基本模式：嗅探器模式，用于在网络中实时显示数据包；数据包记录器模式，将数据包保存到硬盘上；入侵检测模式，分析网络流量，根据规则执行动作。 6. **SNORT规则**：SNORT的规则语言简洁且可扩展，规则文件按不同类别组织。规则由两部分组成：规则头（包含行为、协议、源信息和目标信息）和规则体（进一步分析条件）。预置的规则动作包括pass（忽略包）、log（记录包）、alert（记录包并报警）、dynamic（待激活规则）和activate（触发动态规则并报警）。 7. **自定义规则**：除了预置的动作，用户还可以创建自定义的规则动作以适应特定的安全需求。规则体的各个片段可以组合成复杂的条件，用于识别更精细的攻击模式。 8. **规则文件组织**：SNORT的规则通常按功能分组存储，如ftp.rules包含FTP攻击相关的规则。每条规则必须在同一行内，以便于解释器解析。 SNORT作为一个灵活且强大的入侵检测系统，其核心在于其规则引擎和插件系统，这使得SNORT能够适应不断变化的网络安全威胁，为网络防御提供有效的工具。学习和理解SNORT的工作原理及配置，对于提升网络安全防护能力至关重要。