開源的IDS(入侵檢測系統)-- Snort (轉)

開源的IDS(入侵檢測系統)-- Snort (轉)[@more@]

[專案之三]
  開源的IDS(檢測)-- Snort

  說起Snort可以說大多資料搞的人都對它非常瞭解，甚至於可能基於它做過開發。它是一個形式發行的網路入檢測系統。由Martin Roesch編寫，並有分佈於世界各地相當多的員對它進行著維護和升級。
 Snort支援多種系統和平臺：例如 Red Hat 、Debian Linux、、(包括x86和Sparc)/OpenBSD、MacOS等等。它的程式碼遵循/GPL。
 Snort相對於昂貴的商業系統有很大的優勢，例如：它系統尺寸、易於、便於。從功能上講，它也毫不遜色，並且有相當在的靈活性。從另一方面講，snort不僅是一個網路IDS，還可以做為網路資料包分析器(嗅探器Sniffer)和記錄器(Logger)來使用。
 Snort採用了基於規則的工作方式，對資料包內容進行規則匹配來檢測多種不同的入侵行為和探測活動。例如緩衝區，隱藏埠掃描、CGI、SMB探測等等。
  Snort是建立在libpcap基礎之上的，LibPCAP為它們提供了一個可移植的資料包截獲和過濾機制。整個程式的配置、規則的解析及資料結構的初始都在系統進行資料包分析 和檢測之前完成，以保證以對每個資料包的處理時間到最少，以獲得最好的執行。
它的系統架構強調效能、簡潔和靈活性，可分為三個子系統：資料包解析器、檢測引擎和日誌/報警子系統。所有的子系統也都是建立在LibPCAP的基礎上的。這說說來，如果你對WinPCAP比較熟的話，移植或改裝它應該費力不大。
 近年，國內的入侵檢測系統也大量上市了，效能功能姑且不論，但有很大一部分都是在借鑑別人的，snort就是他們的第一個研究。前些日子，我見一本專講入侵檢測的書，裡面就以很大篇幅講述了snort，並對snort的做了一定的註釋和講解。

參考資料:
 1.snort官方網站
  2.<> 唐正軍 電子工業出版社 2002年4月北京