| 常见的开源网络入侵检测系统有Snort、Suricata、Bro、Zeek、OpenDLP、Sagan等。本文以Snort为例,给出开源IDS应用作为参考。
|
|
|
| Snort是应用较为普遍的网络入侵检测系统,其基本技术原理是通过获取网络数据包,然后基于安全规则进行入侵检测,最后形成报警信息。Snort规则由两部分组成,即规则头和规则选项。规则头包含规则操作(action)、协议(protocol)、源地址和目的IP地址及网络掩码、源地址和目的端口号信息。规则选项包含报警消息、被检查网络包的部分信息及规则应采取的动作。Snort规则如下所示:
|
|
|
|
|
| 其中,规则头和规则选项通过“()”来区分,规则选项内容用括号括起来。规则头常见的动作有alert、log、pass、activate、dynamic;规则选项是Snort入侵检测的引擎核心,所有Snort规则选项都用“;”隔开,规则选项关键词使用“:”和对应的参数区分,Snort提供十五个规则选项关键词。规则选项关键词常用的是msg和content。msg用于显示报警信息,content用于指定匹配网络数据包的内容。以Nmap扫描和SQL注入攻击为例,Snort检测规则如下。
|
|
|
|
|
|
|
|
|
|
|
|
|
