基于snort的入侵检测系统的研究(12)

3.2.2 snort体系结构及工作流程

Snort由以下几个部分组成:数据包嗅探器、预处理器、检测引擎、报警输出模块,如图3-2所示：

图3-2 snort基本组成

Snort首先利用嗅探器在网络中获取数据包,然后通过预处理插件对数据包进行初步的处理,例如格式处理和基本分类。接着按照规则判断这些数据包是否引入安全问题。如果有，则确定如何处理这些数据包（报警或者保存到日志）。它的预处理器、检测引擎和报警模块都是以插件的形式存在，插件程序按照Snort提供的插件函数接口完成，使用时动态加载，在不用修改核心代码的前提下让snort的代码紧密相关，又保证了核心代码的良好扩展性。

3.2.3 snort规则

Snort 规则是 Snort 完成入侵检测功能必不可少的一部分，它是以文本形式存在的，位于 Snort 目录下，表示的是攻击行为的特征，通过与规则的匹配就可以识别攻击。它根据不同的攻击内容来分组，启动 Snort 时，全部的规则文件会形成一个三维链表。Snort 规则现在发布了有 8000 多条，并且还在不停的扩充中。Snort规则由规则头和规则体组成。规则头描述了本条规则的处理动作（记录或者报警）、数据包的协议类型（TCP、UDP、ICMP、IP等）、源信息（源地址和源端口）及目的信息（目的地址和目的端口）。规则体中是要检测的内容。

Snort规则文件是一个ASCll文本文件,可以用常用的文本编辑器对其进行编辑。规则文件的内容由以下几部分组成：

①变量定义：在这里定义的变量可以在创建Snort规则时使用。

②Snort规则：在入侵检测时起作用的规则,这些规则应包括总体的策略。

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高等教育基于snort的入侵检测系统的研究(12)全文阅读和word下载服务。