入侵检测系统中规则匹配算法的分析与改进，适合研究该领域的人参考

Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究一下它的源码到是非常不错.首先对snort做一个概括的评论。 从工作原理而言，snort是一个NIDS。[注：基于网络的入侵检测系统（NIDS）在网络的一点被动地检查原始的网络传输数据。通过分析检查的数据包，NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行为。] 网络传输数据的采集利用了工具包libpcap。snort对libpcap采集来的数据进行分析，从而判断是否存在可疑的网络活动。 从检测模式而言，snort基本上是误用检测（misuse detection）。[注：该方法对已知攻击的特征模式进行匹配，包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析，以及对一系列数据包解释分析特征。顺便说一句，另一种检测是异常检测（anomaly detection）。]具体实现上，仅仅是对数据进行最直接最简单的搜索匹配，并没有涉及更复杂的入侵检测办法。 尽管snort在实现上没有什么高深的检测策略，但是它给我们提供了一个非常 优秀的公开源代码的入侵检测系统范例。我们可以通过对其代码的分析，搞清IDS 究竟是如何工作的，并在此基础上添加自己的想法。 snort的编程风格非常优秀，代码阅读起来并不困难，整个程序结构清晰，函 数调用关系也不算复杂。但是，snort的源文件不少，函数总数也很多，所以不太 容易讲清楚。因此，最好把代码完整看一两遍，能更清楚点。

网络入侵检测系统的源代码，用C语言编写 希望对大家有帮助

windows系统下搭建snort+base入侵检测系统需要的必要工具的安装包，其中包含ADOdb-5.20.12.zip、appserv-win32-8.6.0.exe、base-1.4.5.tar.gz、Snort_2_8_6_Installer.exe、WinPcap_4_1_3.exe、snortrules-snapshot-2900.tar.gz六个文件。 安装过程可参考https://www.jianshu.com/p/d8ca2e8c0858 压缩包解压密码：snort

一个很基础的入侵检测系统，多进本的功能，包括捕包，过滤，报警。

这是国内第一本全面覆盖网络入侵检测系统从设计基础到源码实现的技术书籍。本书所介绍的知识清晰全面，从入侵检测的概念、网络数据流的捕获技术开始，到入侵检测的不同方法，如基于专家系统的入侵检测、基于统计分析的入侵检测等等，最后是对系统具体源代码实现内核的深入剖析，可使用户对于入侵检测技术有一个比较全面的理解。 注：本书堪称经典，但已经绝版，这是本人费了很多功夫购买的高清电子版。分享出来给需要的读者学习研究

一本书上的实例，主要针对网络的协议进行分析，然后判断其中的入侵事件

基于winpcap+vc的网络入侵检测系统(源码