入侵检测技术---snort应用
防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 【实验目的】 1. 掌握 snortIDS 工作机理 2. 应用 snort 三种方式工作 3. 熟练编写 snort 规则 【实验原理】 1 . Snort IDS 概述 Snort IDS (入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录 IP 网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索 / 匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外, Snort 是开源的入侵检测系统,并具有很好的扩展性和可移植性。 2 . Snort IDS 体系结构 Snort IDS 体系结构如图 8.1 所示。 图 8.1 SnortIDS 体系结构 如上图所示, Snort 的结构由 4 大软件模块组成,它们分别是: ( 1 )数据包嗅探模块——负责监听网络数据包,对网络进行分析; ( 2 )预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描, IP 碎片等,数据包经过预处理后才传到检测引擎; ( 3 )检测模块——该模块是 Snort 的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包