入侵检测IDS系统是一种保障网络安全的系统,但是其系统的价格并不适合于个人使用。本篇文章就为大家介绍一款轻量级的入侵检测系统—snort入侵检测。
Snort入侵检测简介
Snort入侵检测是个免费的IDS(入侵检测系统)软件。他的一些原始码是从著名的tcpdump软件发展而来的。他是个基于libpcap包的网络监视软件,能作为一个十分有效的网络入侵监测系统。他能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端口扫描,CGI攻击,SMB探测等等。Snort入侵检测具有实时的告警能力,将告警记入一个特别的告警文件--系统日志,或将告警信息通过samba转发给另一台视窗系统 PC机。
Snort入侵检测首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或以自身的解码形式存储到这些目录中.这样一来,你就能使用snort入侵检测来监测或过滤你所需要的包。
snort入侵检测是个轻量级的入侵检测系统,他具有截取网络数据报文,进行网络数据实时分析、报警,及日志的能力。snort入侵检测的报文截取代码是基于libpcap库的,继承了libpcap库的平台兼容性。他能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。snort入侵检测使用一种灵活的规则语言来描述网络数据报文,因此能对新的攻击作出快速地翻译。snort入侵检测具有实时报警能力。能将报警信息写到syslog、指定的文件、UNIX套接字或使用WinPopup消息。snort入侵检测具有良好的扩展能力。他支持插件体系,能通过其定义的接口,非常方便地加入新的功能。snort入侵检测还能够记录网络数据,其日志文件能是tcpdump格式,也能是解码的ASCII格式。
软件列表
以下软件皆按照软件名称、功能简述、正式网址、软件版本的顺序排列。
Snort入侵检测
网络入侵探测器
www.snort.org/
1.8.6
Libpcap
Snort入侵检测所依赖的网络抓包库
www.tcpdump.org/
0.7.1
MySQL
入侵事件数据库
www.mysql.org/
3.23.49
Apache
Web服务器
www.apache.org/
1.3.24
Mod_ssl
为Apache提供SSL加密功能的模块
www.modssl.org/
2.8.8
OpenSSL
开放原始码的SSL加密库,为mod_ssl所依赖
www.openssl.org/
0.9.6d
MM
为Apache的模块提供共享内存服务
www.engelschall.com/
1.1.3
ACID
基于Web的入侵事件数据库分析控制台
www.cert.org/kb/aircert/
0.9.6b21
PHP
ACID的实现语言
www.php.net/
4.0.6
GD
被PHP用来即时生成PNG和JPG图像的库
www.boutell.com/gd/
1.8.4
ADODB
为ACID提供便捷的数据库接口
php.weblogs.com/ADODB
2.00
PHPlot
ACID所依赖的制图库
www.phplot.com/
4.4.6
【编辑推荐】