snort 入侵檢測系統是什么

snort入侵檢測系統是一個具有多平臺(Multi-Platform)、實時(Real-Time)流量分析、網絡IP數據包(Pocket)記錄等特性的強大的網絡入侵檢測/防御系統，Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統，其中網絡入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的一些規則，并根據檢測結果采取一定的動作。

Snort的結構由4大軟件模塊組成，它們分別是：

• 數據包嗅探模塊：負責監聽網絡數據包，對網絡進行分；

• 預處理模塊：該模塊用相應的插件來檢查原始數據包，從中發現原始數據的“行為”，如端口掃描，IP碎片等，數據包經過預處理后才傳到檢測引擎；

• 檢測模塊：該模塊是Snort的核心模塊。當數據包從預處理器送過來后，檢測引擎依據預先設置的規則檢查數據包，一旦發現數據包中的內容和某條規則相匹配，就通知報警模塊；

• 報警/日志模塊：經檢測引擎檢查后的Snort數據需要以某種方式輸出。如果檢測引擎中的某條規則被匹配，則會觸發一條報警，這條報警信息會通過網絡、UNIXsocket、WindowsPopup(SMB)、SNMP協議的trap命令傳送給日志文件，甚至可以將報警傳送給第三方插件（如SnortSam），另外報警信息也可以記入SQL數據庫。

回答所涉及的環境：聯想天逸510S、Windows 10。