开源入侵检测系统-Snort

最新推荐文章于 2024-07-23 20:54:08 发布
最新推荐文章于 2024-07-23 20:54:08 发布
阅读量1.7k 收藏 11
点赞数 2
分类专栏: 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cookieXSS/article/details/106529112
版权
Snort是一款轻量级的网络入侵检测系统,支持多种操作系统,具有实时流量分析、日志记录和协议分析等功能。Snort采用模块化设计,支持插件扩展,包括预处理、处理和输出插件。它可以模拟TCP/IP堆栈,检测网络异常,并通过自定义规则进行匹配。Snort的规则包含动作、协议、IP地址、端口等信息,以及预处理程序和输出插件。安装和使用Snort时,可以配置过滤器和命令行参数以优化性能。
摘要由CSDN通过智能技术生成

Snort

  • Snort简介
  • Snort安装与配置
  • Snort总体结构分析
  • Snort的使用
  • Snort的规则
  • 使用 Snort构建入侵检测系统实例

Snort简介

Snort是一个基于 Libpcap的轻量级网络入侵检测系统,它运行在一个“传感器(Sensor)”主机上,监听网络数据。

Snort能够把网络数据和规则集进行模式匹配,从而检测可能的入侵企图;或者使用 SPADE(Statistical Packet Anomaly Detection Engine)插件,使用统计学方法对网络数据进行异常检测。

Snort使用一种易于扩展的模块化体系结构,开发人员可以加入自己编写的模块来扩展Snort的功能,如HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。
在这里插入图片描述

Snort的特点

  1. Snort是一个轻量级入侵检测系统。Snort虽然功能强大,但是其代码极为简洁、短小,其源代码压缩包只有大约110KB。

  2. Snort的跨平台性能极佳,Snort具有跨平台的特点,它支持的操作系统广泛,包括 Linux、OpenBSD、FreeBSD、NetBSD、Solaris、HP-UX、AIX、IRIX、Win32(Windows9xNT2000)等。

  3. Snort的功能非常强大:

    • Snort具有实时流量分析和日志IP网络数据包的能力。
    • Snort能够进行协议分析,内容的搜索/匹配。
    • Snort的日志格式既可以是 Tcpdump式的二进制格式,也可以解码成ASCII字符形式。
    • Snort可以对TCP包进行重组。
    • Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。
    • Snort还有很强的系统防护能力。

  4. 扩展性能较好,对于新的攻击威胁反应迅速。作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括数据库日志输岀插件、碎数据包检测插件、端口扫描检测插件、HTTP URI normalization插件、XML插件等。

  5. 遵循公共通用许可证GPL

    • Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的NIDS。

Snort的组成

Snort由3个重要的子系统构成:数据包解码器、检测引擎、日志与报警系统。

在这里插入图片描述

Snort的工作模式

Snort有以下3种工作模式。

  • 嗅探器——嗅探器模式仅仅是从网络上:读取数据包并作为连续不断的流显示在终端上。
  • 数据包记录器——数据包记录器模式把数据包记录到硬盘上。
  • 网络入侵检测系统——网路入侵检测模式是最复杂的而且是可配置的。用户可以让 Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

Snort安装

Snort总体结构分析

在这里插入图片描述

插件机制优点

在 Snort中运用了插件机制。对于 Snort来说,插件机制具有以下一些明显的优点。

  • 通过增加插件,Snort能够非常容易地増加功能,使程序具有很强的可扩展性。
  • 插件机制简化了Snort的编码工作。
  • 插件机制使代码功能内聚,模块行强,程序相对易读。
  • 插件模块包括预处理插件、处理插件和输出插件3种,它们通常对应规则中的一个或几个关键字,规则匹配中遇到这些关键字时就会激活相应的插件,以完成相应的功能。
预处理插件
最低0.47元/天 解锁文章
listone_sec
关注
专栏目录
基于Snort入侵检测系统
starshift的专栏
08-29 7173
      基于Snort入侵检测系统   用Snort,Apache,MySQL,PHP及ACID构建高级IDS第一章 入侵检测系统Snort介绍在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检
一款功能强大免费的开源恶意流量检测系统, 它利用公开的黑名单以及从各种AV报告和自定义用户特征来识别恶意流量, 同时,该系统还拥有可选的高级启发式机制, 可以帮助使用者发现一些未知的威胁
最新发布
代码讲故事
08-20 743
Maltrail是一款功能强大免费的开源恶意流量检测系统, 它利用公开的黑名单以及从各种AV报告和自定义用户特征来识别恶意流量, 同时,该系统还拥有可选的高级启发式机制, 可以帮助使用者发现一些未知的威胁。
KALI LINUX网络安全监控工具
xnxqwzy的博客
02-23 1027
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…该工具具有广泛的应用,例如在大型企业、政府机构、金融机构和运营商等组织中,Bro可用于监控网络流量,检测网络入侵,并提供关键的安全情报。
手把手带你搭建Snort入侵检测系统
mh007的博客
07-23 1080
Snort是一款开源的网络入侵检测和预防系统(IDS/IPS),它能够实时分析网络流量,检测并响应各种网络攻击。Snort通过预定义的规则集检测异常活动和已知攻击,并生成详细的报警和日志记录。您可以根据实际需求编写自定义规则。# 编辑local.rules文件# 添加自定义规则rev:1;网络安全是一个充满挑战和机遇的领域。通过实现和应用Snort入侵检测系统,您不仅能提升自身技术能力,还能为网络安全事业贡献自己的力量。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 927
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏 由于此项目缺少维护,建议仅用于参考学习和二次开发 驭龙HIDS是一种由YSRC开源开源入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,快速中断,高级分析等功能,可从多个维度行为信息中发现入侵行为。 代理为收集者角色,收集服务器信息,启动启动项,计划任务,监听端口,服务,登录日志,用户列表,实时监控文件操作行为,网络连接,执行命令,初步筛选整理后通过RPC协议传输到服务器官员。 Daemon为守护服务进程,为Agent提供进程守护,静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新,切换功能和自定义命令执行等,任务传输过程使用RSA进行加密。 服务器为集成系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各个代理接收到的信息和行为进行分
开源入侵检测系统Snort安装
negnegil的博客
10-18 4524
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。 安装系统:虚拟机CentOS7 首先安装 web 服务组件 LAMP Apache #apache yum install httpd httpd-devel #启动ahache systemctl start httpd #
开源网络入侵检测(IDS)工具
janthinasnail的博客
03-05 583
开源的网络入侵检测工具有很多,可能Suricata、Snort使用的比较多,不过Suricata更好一些。 详见:https://www.cnblogs.com/gaoyuechen/p/8594167.html
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 4573
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
入侵检测系统
02-28
入侵检测系统 Распознованиекомпьютерныхатакспомощьюпараметровсетевоготрафиканаосновенейронныхсетей
利用静态分析加固开源入侵检测系统(IDS)的最佳实践
02-25
NSM是“在对各种入侵进行检测和响应过程中,所涉及到的标识和警告环节的收集、分析和问题升级”。NSM的核心功能包括入侵检测系统(IDS),基于网络的IDS(NIDS),主机入侵检测系统(HIDS)和物理入侵检测系统(物理IDS)。分析人员在部署之前应当评估诸如IDS和HIDS的软件包。我们可以用许多不同的方法来评估给定软件包的安全水平,而其中的一种是使用Aberlarde安全系统工程法。这种方法在软件开发生命周期(SDLC)的各个阶段详细评估了商业和开源软件包的安全特性。检查开源软件的优势在于可以直接访问它们的代码。通过这种直接访问的方式,开发人员可以使用诸如代码检查和静态代码分析的各种技术。
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
Snort是一款著名的开源入侵检测系统(Intrusion Detection System,简称IDS),它能够实时监控网络流量,通过分析数据包来识别潜在的攻击行为。Snort v3是其最新版本,引入了更多的功能和改进,提高了检测效率和准确...
入侵检测检测系统snort开源
03-19
Snort是一款广泛使用的开源入侵检测系统(Intrusion Detection System, IDS),它的主要功能是对网络流量进行实时监控,分析和警报,以发现并防止潜在的攻击和非法入侵。这款工具以其灵活性、可扩展性和社区支持而...
Snort开源入侵检测系统的研究与应用
01-25
Snort开源入侵检测系统在windows和linux下的研究与应用
IDS入侵检测系统开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 4191
IDS入侵检测系统开源IDS-snort的安装与编写规则
AIEngine 下一代可编程的开源网络入侵检测系统
cy15625010944的博客
01-12 3968
概述 AIEngine是下一代交互式/可编程Python/Ruby/Java/Lua和Go网络入侵检测系统引擎,具有学习能力 无需任何人工干预、DNS 域分类、垃圾邮件检测、网络收集器、网络取证等等。 AIEngine 还帮助网络/安全专业人员识别流量并开发 用于在 NIDS、防火墙、流量分类器等上使用它们的签名。 主要功能: 支持在引擎运行时与用户交互/编程。 支持 PCRE JIT 进行正则表达式匹配。 支持正则表达式图(复杂的检测模式)。 支持六种类型的 NetworkStacks(lan、mobi
随记(六):Suricata IDS 开源入侵检测系统
XXR_Beta的博客
12-05 1148
记录两个Github项目: https://github.com/OISF/suricata https://github.com/suricata-rules/suricata-rules Suricata是一个优秀的开源入侵检测系统,此项目记录安全运营人员提取的高质量Suricata IDS规则。 Suricata IDS Rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等。 官网
开源入侵检测系统snort技术文档
09-22
Snort是一种开源入侵检测系统,用于监控网络流量并检测潜在的入侵行为。它广泛应用于保护各类网络环境的安全。 Snort具有以下几个主要的技术特点: 1. 网络嗅探技术:Snort使用网络嗅探技术来获取经过网络接口的数据包。它可以在网络链路上监听传输的数据,并根据预先定义的规则对数据包进行分析,以便及时检测和响应入侵行为。 2. 规则引擎:Snort依赖于强大的规则引擎来检测入侵行为。用户可以根据自己的需求编写自定义规则,这些规则定义了入侵事件的特征或模式。Snort会根据规则库的规则对经过的数据包进行匹配,一旦匹配到某个规则,就会触发报警。 3. 数据分析和日志记录:Snort能够对抓取到的数据包进行深入分析,并将分析结果记录到日志文件中,以供后续的审计和分析。这些日志包括警报信息、攻击类型和其他相关信息,可以提供给安全管理员进行分析和决策。 4. 灵活性和可扩展性:Snort具有很高的灵活性和可扩展性,可以根据需求进行定制和配置。它支持多种类型的规则和插件,用户可以根据自己的需要选择适合的规则和插件。此外,Snort还可以与其他安全工具进行集成,如防火墙和SIEM系统,以提高整体的安全防护能力。 综上所述,Snort作为一种开源入侵检测系统,利用网络嗅探技术、规则引擎、数据分析和灵活的配置等技术特点,可以有效地检测和响应网络中的入侵行为。它在网络安全领域具有广泛的应用价值,为用户提供了一个强大、灵活且可扩展的安全防护解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值