snort 如何進行入侵檢測

snort對于入侵檢測的方法也是通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，然后將捕獲的數據包送到包解碼器進行解碼，解碼后通過插件進行解碼，過濾，預處理后進行規制的建立及根據規則進行檢測，檢測數據包中是否包含有入侵行為，該過程簡單來說就是先抓取各類數據包然后對數據包分類解碼，通過插件將數據包重新組合為一類數據包然后對比規則庫。

詳細過程如下：

• Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，抓包時需將網卡設置為混雜模式，根據操作系統的不同采用libpcap或winpcap函數從網絡中捕獲數據包；

• 將捕獲的數據包送到包解碼器進行解碼。網絡中的數據包有可能是以太網包、令牌環包、TCP/IP包、802.11包等格式。在這一過程包解碼器將其解碼成Snort認識的統一的格式；

• 將數據包送到預處理器進行處理，預處理包括能分片的數據包進行重新組裝，處理一些明顯的錯誤等問題。預處理的過程主要是通過插件來完成，比如Http預處理器完成對Http請求解碼的規格化，Frag2事務處理器完成數據包的組裝，Stream4預處理器用來使Snort狀態化，端口掃描預處理器能檢測端口掃描的能力等；

• 對數據包進行了解碼，過濾，預處理后，進入了Snort的最重要一環，進行規則的建立及根據規則進行檢測。規則檢測是Snort中最重要的部分，作用是檢測數據包中是否包含有入侵行為。

回答所涉及的環境：聯想天逸510S、Windows 10。