Linux平台Snort入侵检测系统实战

本文从网络安全现状出发，分析了入侵检测技术，简单介绍了入侵检测系统 的发展历史、分类以及体系结构。论文对Snort入侵检测系统进行了分析，研究 了Snort系统构架、工作流程和规则，并给出了系统中主要工作环节的流程图。 在此基础上，对Snort入侵检测系统部署应用和自身的安全性进行了分析。着重 对单模式匹配算法和多模式匹配算法进行了分析研究，并结合应用提出AC-BMtt 算法。通过实验证明，新算法提高了检测匹配的效率，达到了研究的预期目标。

Snort 2.9.8.2预处理器详细开发文档 包含了如何新增报警信息说明

最新版本的Snort规则库

snort的源码包原本是在官网的，官网是国外的，下载十分不方便，放到这里以便下载 ，版本对的话可以试试

Snort_2_9_0_1_Installer.exe， snort ，支持windows xp 入侵检测软件

Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究一下它的源码到是非常不错.首先对snort做一个概括的评论。 从工作原理而言，snort是一个NIDS。[注：基于网络的入侵检测系统（NIDS）在网络的一点被动地检查原始的网络传输数据。通过分析检查的数据包，NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行为。] 网络传输数据的采集利用了工具包libpcap。snort对libpcap采集来的数据进行分析，从而判断是否存在可疑的网络活动。 从检测模式而言，snort基本上是误用检测（misuse detection）。[注：该方法对已知攻击的特征模式进行匹配，包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析，以及对一系列数据包解释分析特征。顺便说一句，另一种检测是异常检测（anomaly detection）。]具体实现上，仅仅是对数据进行最直接最简单的搜索匹配，并没有涉及更复杂的入侵检测办法。 尽管snort在实现上没有什么高深的检测策略，但是它给我们提供了一个非常 优秀的公开源代码的入侵检测系统范例。我们可以通过对其代码的分析，搞清IDS 究竟是如何工作的，并在此基础上添加自己的想法。 snort的编程风格非常优秀，代码阅读起来并不困难，整个程序结构清晰，函 数调用关系也不算复杂。但是，snort的源文件不少，函数总数也很多，所以不太 容易讲清楚。因此，最好把代码完整看一两遍，能更清楚点。

windows下snort安装配置全过程

windows系统下搭建snort+base入侵检测系统需要的必要工具的安装包，其中包含ADOdb-5.20.12.zip、appserv-win32-8.6.0.exe、base-1.4.5.tar.gz、Snort_2_8_6_Installer.exe、WinPcap_4_1_3.exe、snortrules-snapshot-2900.tar.gz六个文件。 安装过程可参考https://www.jianshu.com/p/d8ca2e8c0858 压缩包解压密码：snort

snort-2.8.3.1源码及windows安装包