入侵检测

防火墙可以比喻为办公室门口的警卫，用来检查进出者的身份。而入侵检测系统就像是网上的警报器，当发现入侵者时，指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 【实验目的】 1. 掌握 snortIDS 工作机理 2. 应用 snort 三种方式工作 3. 熟练编写 snort 规则 【实验原理】 1 ． Snort IDS 概述 Snort IDS （入侵检测系统）是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录 IP 网络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索 / 匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外， Snort 是开源的入侵检测系统，并具有很好的扩展性和可移植性。 2 ． Snort IDS 体系结构 Snort IDS 体系结构如图 8.1 所示。 图 8.1 SnortIDS 体系结构 如上图所示， Snort 的结构由 4 大软件模块组成，它们分别是： （ 1 ）数据包嗅探模块——负责监听网络数据包，对网络进行分析； （ 2 ）预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描， IP 碎片等，数据包经过预处理后才传到检测引擎； （ 3 ）检测模块——该模块是 Snort 的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包