操作系统安全：开源IDS sort介绍.pptx

snort;snort简介;snort IDS体系结构; Snort的结构由4大软件模块组成，它们分别是： 　　　（3）检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块； 　　　（4）报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。;Snort工作模式; Snort的3种工作模式;Snort规则;snort规则头Snort预置的规则动作有5种： 　　　（1）pass—动作选项pass将忽略当前的包，后继捕获的包将被继续分析。 　　　（2）log—动作选项log将按照自己配置的格式记录包。 　　　（3）alert—动作选项alert将按照自己配置的格式记录包，然后进行报警。它的功能强大，但是必须