在Windows境下建立Snort+BASE入侵检测系统.docVIP

版权申明：本文版权为Stanley所有，仅限于非盈利性网站、BSS、BLOG转载和收藏，未经允许，严禁用于商业用途。转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明。 Snort是一套非常优秀的开放源代码网络监测系统，在网络安全界有着非常广泛的应用。其基本原理基于网络嗅探，即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析，筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况，及时发现入侵网络的行为。其名称Snort(喷鼻息)也是来源于“嗅探”(sniff)的反义词。 Snort最开始是针对于Unix/Linux平台开发的开源IDS软件，后来才加入了对Windows平台的支持。但直至现在对于Snort的应用(尤其是Snort的前端传感部分)主要还是基于Unix/Linux平台的，因为现在的普遍观点都支持Unix内核的网络效率要大大高于Windows内核。不过由于Windows平台的易用性和普及性，在Windows Server上建立开放而又便宜的Snort IDS对于网络研究及辅助分析还是非常有意义的。 第一次在Windows系统下部署基于Snort的IDS是一个非常痛苦的过程，网络上充斥着过时的文档和以讹传讹的借鉴心得，一开始我就走了不少弯路。不过假如能够理清思路其实并不困难。 I.系统结构 ? 基于Snort和BASE的入侵