開源的IDS(入侵檢測系統)-- Snort (轉)
[專案之三]
開源的IDS(檢測)-- Snort
說起Snort可以說大多資料搞的人都對它非常瞭解,甚至於可能基於它做過開發。它是一個形式發行的網路入檢測系統。由Martin Roesch編寫,並有分佈於世界各地相當多的員對它進行著維護和升級。
Snort支援多種系統和平臺:例如 Red Hat 、Debian Linux、、(包括x86和Sparc)/OpenBSD、MacOS等等。它的程式碼遵循/GPL。
Snort相對於昂貴的商業系統有很大的優勢,例如:它系統尺寸、易於、便於。從功能上講,它也毫不遜色,並且有相當在的靈活性。從另一方面講,snort不僅是一個網路IDS,還可以做為網路資料包分析器(嗅探器Sniffer)和記錄器(Logger)來使用。
Snort採用了基於規則的工作方式,對資料包內容進行規則匹配來檢測多種不同的入侵行為和探測活動。例如緩衝區,隱藏埠掃描、CGI、SMB探測等等。
Snort是建立在libpcap基礎之上的,LibPCAP為它們提供了一個可移植的資料包截獲和過濾機制。整個程式的配置、規則的解析及資料結構的初始都在系統進行資料包分析 和檢測之前完成,以保證以對每個資料包的處理時間到最少,以獲得最好的執行。
它的系統架構強調效能、簡潔和靈活性,可分為三個子系統:資料包解析器、檢測引擎和日誌/報警子系統。所有的子系統也都是建立在LibPCAP的基礎上的。這說說來,如果你對WinPCAP比較熟的話,移植或改裝它應該費力不大。
近年,國內的入侵檢測系統也大量上市了,效能功能姑且不論,但有很大一部分都是在借鑑別人的,snort就是他們的第一個研究。前些日子,我見一本專講入侵檢測的書,裡面就以很大篇幅講述了snort,並對snort的做了一定的註釋和講解。
參考資料:
1.snort官方網站
2.<> 唐正軍 電子工業出版社 2002年4月北京
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-1007596/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- 入侵檢測系統(IDS)的測試與評估
- Linux 上搭建 Snort+BASE 入侵檢測系統Linux
- 在Linux中,什麼是入侵檢測系統(IDS)和入侵防禦系統(IPS)?Linux
- IDS(入侵檢測)要“退休”了嗎?
- 基於snort、barnyard2和base的 網路入侵檢測系統的部署與應用
- Freebsd構建小型的入侵檢測系統(轉)
- Windows 10 搭鍵開源IDS-Snort,簡單過濾注入Windows
- 無線入侵檢測系統
- 人員入侵檢測系統
- 免費企業網路入侵檢測工具(IDS)
- CS後門原始碼特徵分析與IDS入侵檢測原始碼特徵
- 實驗室環境下測試千兆入侵檢測系統(轉)
- 入侵檢測系統分析及其在Linux下的實現(轉)Linux
- *NIX入侵檢測方法(轉)
- Linux入侵檢測(轉)Linux
- 安利 | 最好用的五大開源入侵檢測工具!
- 網路安全筆記-入侵檢測系統筆記
- linux檢測系統是否被入侵(上)Linux
- Linux 9系統下構建小型入侵檢測系統Linux
- Linux中如何檢測系統是否被入侵Linux
- 入侵檢測系統綜述文獻研讀
- 啟明星辰天闐入侵檢測管理系統再獲殊榮(轉)
- AIX系統資源檢測AI
- 榕基網路入侵檢測系統在電力行業的應用案例(轉)行業
- Linux入侵監測系統LIDS原理(轉)Linux
- 入侵檢測術語全接觸(轉)
- 基於圖的下一代入侵檢測系統
- 檢測Unix是否被入侵最快捷的方法(轉)
- 千兆應用入侵防護系統—入侵防禦系統(轉)
- Linux核心即時入侵檢測安全增強-系統呼叫執行步驟(轉)Linux
- 入侵檢測工具Watcher(含原始碼) (轉)原始碼
- 系統被入侵後的恢復(轉)
- Java Web中的入侵檢測及簡單實現(轉)JavaWeb
- 6.20入侵檢測排查
- 檢測系統是不是windows xp (轉)Windows
- 開源IDS/IPS Suricata的部署與使用