Snort入侵檢測作為一款免費的輕量級入侵檢測IDS系統(tǒng)，它具有實時數(shù)據(jù)流量分析和日志Ip網(wǎng)絡數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容搜索/匹配并且它擁有良好的拓展性以及可移性。本文從Snort入侵檢測的特點等方面對Snort入侵檢測進行一次簡單的分析。

Snort的特點

Snort是一個強大的清量級的網(wǎng)絡入侵檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和日志Ip網(wǎng)絡數(shù)據(jù)包的能力，能夠進行協(xié)議分析，對內(nèi)容搜索/匹配。它能夠檢測各種不同的攻擊方式，對攻擊進行實時警報。此外，Snort具有很好的擴展性和可移植性。

還有，這個軟件遵循公用許可GPL，所以只要遵守GPL任何組織和個人都可以自由使用。

Snort是一個輕量級的入侵檢測系統(tǒng)

1.Snort雖然功能強大，但是其代碼極為簡潔，短小，其源代碼壓縮包只有200KB不到。Snort可移植性非常好。Snort的跨平臺性能極佳，目前已經(jīng)支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。

Snort的功能非常強大
2.Snort具有實時流量分析和日志Ip網(wǎng)數(shù)據(jù)包的能力。能夠快速地檢測網(wǎng)絡攻擊，及時地發(fā)出警報。Snort的警報機制很豐富。
例如：Syslog,用戶指定文件，UnixSocket，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡單網(wǎng)絡標記語言.simple network markup language)把日志存放在一個文件或者適時警報。

3.Snort能夠進行協(xié)議分析，內(nèi)容的搜索/匹配?，F(xiàn)在Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來的版本，將提供對ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測，探測操作系統(tǒng)質(zhì)問特征的企圖等等。

4.Snort的日至格式既可以是Tcpdump的二進制格式，也可以編碼成ASCII字符形式，更便于擁護尤其是新手檢查，使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，當前支持的數(shù)據(jù)庫包括:Postagresql,MySQL,任何UnixODBC數(shù)據(jù)庫,MicrosoftMsSQL,還有Oracle等數(shù)據(jù)庫。

5.使用TCP流插件（TCPSTREAM），Snort可以對TCP包進行重組。Snort能夠?qū)P包的內(nèi)容進行匹配，但是對于TCP攻擊，如果攻擊者使用一個程序，每次發(fā)送只有一個字節(jié)的數(shù)據(jù)包，完全可以避開Snort的模式匹配。而被攻擊的主機的TCP西醫(yī)棧會重組這些數(shù)據(jù)，將其發(fā)送給目標端口上監(jiān)聽的進程，從而使攻擊包逃過Snort的監(jiān)視。使用TCP流插件，可以對TCP包進行緩沖，然后進行匹配，使Snort具備對付上面攻擊的能力。

6.使用Spade(Statistical Packet Anomaly Detection Engine)插件，Snort能夠報告非正常的可以包，從而對端口掃描進行有效的檢測。

7.Snort還有很強的系統(tǒng)防護能力。如:是用其IPTables,IPFilter插件可以使入侵檢測主機與防火墻聯(lián)動，通過FlexResp功能，Snort能夠命令防火墻主動短開惡意連接。

8.擴展性能較好，對于新的攻擊威脅反應迅速。
作為一個輕量級的網(wǎng)絡入侵檢測系統(tǒng)，Snort有足夠的擴展能力。它使用一種簡單的規(guī)則描述語言(很多商用入侵檢測系統(tǒng)都兼容Snort的規(guī)則語言)。最基本的規(guī)則知識包含四個域：處理動作，協(xié)議，方向，端口。
例如 Log Tcp Any any -> 10.1.1.0/24 80(誰都看得明白)

9.Snort支持插件，可以使用具有特定功能的報告，檢測子系統(tǒng)插件對其功能進行擴展。Snort當前支持的插件包括:數(shù)據(jù)庫日志輸出插件，破碎數(shù)據(jù)包檢測插件，斷口掃描檢測插件，HTTP URI插件，XML網(wǎng)頁生成等插件。

10.Snort的規(guī)則語言非常簡單，能夠?qū)π碌木W(wǎng)絡攻擊做出很快的反應。發(fā)現(xiàn)新攻擊后，可以很快地根據(jù)Bugtrag郵件列表，找到特征碼，寫出新的規(guī)則文件。

總之，對于世界上各安全組織來講，Snort入侵檢測都是一個優(yōu)秀入侵檢測系統(tǒng)的一個標準的標準。通過研究它，我們可以學到到所有入侵檢測系統(tǒng)的內(nèi)部框架及工作流程(也包括同類型的商業(yè)入侵檢測系統(tǒng)的框架及工作流程)。

【編輯推薦】

1. 如何實現(xiàn)IPS系統(tǒng)深度檢測
2. 假想案例談論IPS系統(tǒng)部署
3. 如何實現(xiàn)IPS系統(tǒng)深度檢測
4. 從攻擊規(guī)避檢測技術看IPS的安全有效性
5. IBM升級入侵防御系統(tǒng) 增加虛擬補丁技術