Snort入侵檢測(cè)作為一款免費(fèi)的輕量級(jí)入侵檢測(cè)IDS系統(tǒng)，它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志Ip網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容搜索/匹配并且它擁有良好的拓展性以及可移性。本文從Snort入侵檢測(cè)的特點(diǎn)等方面對(duì)Snort入侵檢測(cè)進(jìn)行一次簡(jiǎn)單的分析。

Snort的特點(diǎn)

Snort是一個(gè)強(qiáng)大的清量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志Ip網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)警報(bào)。此外，Snort具有很好的擴(kuò)展性和可移植性。

還有，這個(gè)軟件遵循公用許可GPL，所以只要遵守GPL任何組織和個(gè)人都可以自由使用。

Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)

1.Snort雖然功能強(qiáng)大，但是其代碼極為簡(jiǎn)潔，短小，其源代碼壓縮包只有200KB不到。Snort可移植性非常好。Snort的跨平臺(tái)性能極佳，目前已經(jīng)支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。

Snort的功能非常強(qiáng)大
2.Snort具有實(shí)時(shí)流量分析和日志Ip網(wǎng)數(shù)據(jù)包的能力。能夠快速地檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出警報(bào)。Snort的警報(bào)機(jī)制很豐富。
例如：Syslog,用戶指定文件，UnixSocket，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡(jiǎn)單網(wǎng)絡(luò)標(biāo)記語(yǔ)言.simple network markup language)把日志存放在一個(gè)文件或者適時(shí)警報(bào)。

3.Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配。現(xiàn)在Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來(lái)的版本，將提供對(duì)ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測(cè)，探測(cè)操作系統(tǒng)質(zhì)問(wèn)特征的企圖等等。

4.Snort的日至格式既可以是Tcpdump的二進(jìn)制格式，也可以編碼成ASCII字符形式，更便于擁護(hù)尤其是新手檢查，使用數(shù)據(jù)庫(kù)輸出插件，Snort可以把日志記入數(shù)據(jù)庫(kù)，當(dāng)前支持的數(shù)據(jù)庫(kù)包括:Postagresql,MySQL,任何UnixODBC數(shù)據(jù)庫(kù),MicrosoftMsSQL,還有Oracle等數(shù)據(jù)庫(kù)。

5.使用TCP流插件（TCPSTREAM），Snort可以對(duì)TCP包進(jìn)行重組。Snort能夠?qū)P包的內(nèi)容進(jìn)行匹配，但是對(duì)于TCP攻擊，如果攻擊者使用一個(gè)程序，每次發(fā)送只有一個(gè)字節(jié)的數(shù)據(jù)包，完全可以避開(kāi)Snort的模式匹配。而被攻擊的主機(jī)的TCP西醫(yī)棧會(huì)重組這些數(shù)據(jù)，將其發(fā)送給目標(biāo)端口上監(jiān)聽(tīng)的進(jìn)程，從而使攻擊包逃過(guò)Snort的監(jiān)視。使用TCP流插件，可以對(duì)TCP包進(jìn)行緩沖，然后進(jìn)行匹配，使Snort具備對(duì)付上面攻擊的能力。

6.使用Spade(Statistical Packet Anomaly Detection Engine)插件，Snort能夠報(bào)告非正常的可以包，從而對(duì)端口掃描進(jìn)行有效的檢測(cè)。

7.Snort還有很強(qiáng)的系統(tǒng)防護(hù)能力。如:是用其IPTables,IPFilter插件可以使入侵檢測(cè)主機(jī)與防火墻聯(lián)動(dòng)，通過(guò)FlexResp功能，Snort能夠命令防火墻主動(dòng)短開(kāi)惡意連接。

8.擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速。
作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，Snort有足夠的擴(kuò)展能力。它使用一種簡(jiǎn)單的規(guī)則描述語(yǔ)言(很多商用入侵檢測(cè)系統(tǒng)都兼容Snort的規(guī)則語(yǔ)言)。最基本的規(guī)則知識(shí)包含四個(gè)域：處理動(dòng)作，協(xié)議，方向，端口。
例如 Log Tcp Any any -> 10.1.1.0/24 80(誰(shuí)都看得明白)

9.Snort支持插件，可以使用具有特定功能的報(bào)告，檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展。Snort當(dāng)前支持的插件包括:數(shù)據(jù)庫(kù)日志輸出插件，破碎數(shù)據(jù)包檢測(cè)插件，斷口掃描檢測(cè)插件，HTTP URI插件，XML網(wǎng)頁(yè)生成等插件。

10.Snort的規(guī)則語(yǔ)言非常簡(jiǎn)單，能夠?qū)π碌木W(wǎng)絡(luò)攻擊做出很快的反應(yīng)。發(fā)現(xiàn)新攻擊后，可以很快地根據(jù)Bugtrag郵件列表，找到特征碼，寫(xiě)出新的規(guī)則文件。

總之，對(duì)于世界上各安全組織來(lái)講，Snort入侵檢測(cè)都是一個(gè)優(yōu)秀入侵檢測(cè)系統(tǒng)的一個(gè)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。通過(guò)研究它，我們可以學(xué)到到所有入侵檢測(cè)系統(tǒng)的內(nèi)部框架及工作流程(也包括同類型的商業(yè)入侵檢測(cè)系統(tǒng)的框架及工作流程)。

【編輯推薦】

1. 如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)
2. 假想案例談?wù)揑PS系統(tǒng)部署
3. 如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)
4. 從攻擊規(guī)避檢測(cè)技術(shù)看IPS的安全有效性
5. IBM升級(jí)入侵防御系統(tǒng) 增加虛擬補(bǔ)丁技術(shù)