Snort入侵检测模型在局域网中的应用
李翠梅
【摘要】摘要:文章介绍了Snort入侵检测模型以及其在局域网中的应用。【期刊名称】安徽水利水电职业技术学院学报
【年(卷),期】2010(010)001
【总页数】2
【关键词】关键词:入侵检测系统;Snort入侵检测模型;应用
局域网的安全是在局域网的管理和维护中面临的主要问题,目前多数的局域网都是采用防火墙加入侵检测系统的安全模式。入侵检测系统IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。在入侵检测中,主要的分析方法有两大类:一类是异常检测,又称为基于行为的检测。异常检测假定所有的入侵行为都是异常的,是一种间接的方法。另一类为误用检测,又称为基于知识的检测。误用检测假定所有可能的入侵行为都能被识别和表示,是一种直接的方法。从本质上来是说,Snort是一个基于误用检测的IDS。
1 Snort入侵检测模型
Snort是开放源代码的IDS,可以用来在IP网络上作实时流量分析和包日志。能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
Snort的结构由几大模块组成,图1是Snort的体系结构。Snort的最基本功能就是数据包嗅探器Sniffer。Snort取得数据包后先用预处理插件处理,然后经过检测引擎中的所有规则链,如果有符合规则链的数据包,就会被检测出来。