Linux平台Snort入侵检测系统

核心提示：• Conversation• Portscan2• SPADE2.4、检测引擎检测引擎将流量与规则按其载人内存的顺序依次进行匹配，是Snort的一个主要部件，Linux平台Snort入侵检测系统(2)，2.5、输出插件Snort的输出插件接收Snort传来的入侵数据，输出插件的目的是将报

• Conversation
• Portscan2
• SPADE
2.4、检测引擎
检测引擎将流量与规则按其载人内存的顺序依次进行匹配。是Snort的一个主要部件。
2.5、输出插件
Snort的输出插件接收Snort传来的入侵数据。输出插件的目的是将报警数据转储到另一种资源或文件中。
.6、Snort的性能问题
Snort有效工作的性能可能会受到以下几种选择的限制：硬件、操作系统和连网的组件。
对snort的性能影响最大的是snort的配置设定以及规则集设置。内部瓶颈则主要出现在包解码阶段，要snort检查包的容，那么它比一般的规则都要更加耗费系统资源。启用的检查包内容的规则越多，snort的运行就需要越多的系统资源。如果要激活预处理程序中的某些设置选项，就会需要消耗额外的系统资源。最明显的例子就是启用在frag2预处理程序和stream4预处理程序中的“最大存储容量(memcap)”选项。如果您打算激活大量耗费资源的预处理程序选项，最好确定有足够的硬件资源的支持。我曾经遇到过一个用户花了大笔的钱购买了最先进的 IDS由于配置不当，连检测100M网都出现了丢包现象。
1)、SPAN端口监控
在监控时我们必然需要做SPAN，SPAN端口监控是另外一种在现有网络结构中引入监控网段的方法。Cisco交换机的中高端产品都有SPAN端口或镜像端口。Span端口既可以是一个专用端口，也可以通过该端口实现交换机上所有的端口的配置选项设定。利用SPAN端口的特点实现监控功能是一种实用的方法。使用SPAN端口监控法并不会给所要监控的网络引入单点错误的问题。与网内Hub监控法相比，这是使用SPAN端口监控最大的优点。
注意：镜像顺序问题：当所监控的网络要升级为高带宽网络时，可以先是只镜像一个端口，对snort的性能观察一段时间，并根据需要进行调整。当snort的这个端口调整好了之后，可以切合实际的、循序渐进的增加别的端口，要注意的是，千万不能一下子增加过多的端口。用SPAN端口监控法将会降低本生交换设备的性能用SPAN端口会使交换设备的内存负担过重，从而使设备的性能下降。对流量的映是一个非常耗费内存的过程。
2.7、安装Snort
操作系统：Red Hat Enterprise Linux 5.5
数据库：MySQL：mysql-5.1
Web服务器：Apache：httpd-2.2
WEB语言：PHP：php-5.4
首先我们需要安装MySQL 、Apache(必须安装mod_ssl模块) 、PHP、并进行配置Apache，其详细安装过程可以参见《Linux企业应用案例精解》一书不在这里讲解。