工具类服务
编辑部专用服务
作者专用服务
一种改进的多模式匹配算法在Snort中的应用
模式匹配算法是入侵检测系统的重要组成部分.为进一步提高入侵检测系统的性能和效率,提出一种新的多模式匹配算法——完全自动机匹配算法(CA-AC算法),并将其应用于入侵检测系统Snort中.该算法是对Aho-Corasick算法的改进,根据新算法进行状态转换使得自动机状态减少,相应节约了存储空间.分析了算法的复杂度.实验表明,完全自动机算法在Snort中的应用改进了算法的性能,提高了Snort系统的规则检测效率.
WANG Pei-feng
作者单位：
北京科技大学计算机与通信工程学院 北京100083
年，卷(期)：
机标分类号：
在线出版日期：
基金项目：
国家自然科学基金
本文读者也读过
相关检索词
万方数据知识服务平台--国家科技支撑计划资助项目（编号：2006BAH03B01）(C)北京万方数据股份有限公司
万方数据电子出版社基于入侵检测系统snort的BM模式匹配算法的研究和改进_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
基于入侵检测系统snort的BM模式匹配算法的研究和改进
上传于|0|0|文档简介
&&snort算法中的BM模式匹配算法
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢Hi，你好！|
& Snort工作原理及其部分应用
Snort工作原理及其部分应用 1. &导论随着上网行为的多样化，人们生活越来越多的向互联网偏移，与之同生的黑客行为就变的越来越猖獗，保护互联网企业内部免受黑客攻击的挑战越来越严峻。在互联网企业内部建立一个检测黑客入侵行为入侵检测系统刻不容缓。这也是一个任安全公司必备的一项工作。Snort作为一款非常优秀的开源工具，支持多平台，被很多安全公司拿来用做入侵检测模块的核心引擎。本文就对当前最著名的开源网络入侵检测系统Snort的工作原理做一些简单的介绍，同时做出部分配置说明。2. Snort工作原理Snort是基于模式匹配的网络入侵检测系统，简单的说可以分成两个模块，一是基于libpcap的嗅探器，二是规则拆分引擎和规则匹配。Snort基于libpcap的嗅探器并没有什么特别的，unix/linux平台下大部分嗅探器都是基于此。当网卡工作在混淆模式下可以截获当前网段下所有数据包。需要说明的是，只有处于HUB集线器环境下的机器snort是可以嗅探到所有流经该网段的数据，此时snort可以并行连接于该网段任一机器；但是现今的网络HUB集线器多被交换机取代，而此时需要将snort串行于需要服务的网络，snort才可以接受并处理该网段数据，如果仍想并行于网络，可以通过arp欺骗来达到接收并处理其他机器数据包的方式。当然在企业内部建设一个稳定的NIDS不可能使用hub以及arp欺骗，更可靠的方案是使用流量镜像的方式将流量从核心交换机将流量“镜像”到IDS服务器上，然后启动snort处理流量。Snort对规则的初始化做出过比较多的改进工作，如今其合理的组织分类大大的提高了检测匹配效率。如今snort版本到了2.9.4.1，我们所用版本是2.9.3.1其对于规则的初始化部分应该没有做太大的改动。看如下数据结构， & 代码 1 &src/rules.h 定义数据结构如下typedef struct_ListHead{ &struct_OutputFuncNode *LogL & &struct _OutputFuncNode *AlertL & &struct _RuleListNode *ruleListN} ListH typedef struct_RuleListNode{ & &ListHead *RuleL & & & & /* The rule list associated with thisnode */
& &RuleT & & & & & & &/* the rule mode */ & & & & & & & & & & & /* 0 == no detection, 1 ==detection event */ & &int evalI & & & & & & &/* eval index for this rule set*/ & &char * & & & /* name of this rule list (fordebugging) &*/此为链表头，动作 & &struct _RuleListNode * /* the nextRuleListNode */} RuleListN代码 2 src/treenodes.h 定义数据结构如下typedef struct_RuleTreeNode{ & &RuleFpList *rule_ /* match functions..(Bidirectional etc.. ) */ & &int head_node_ & &RuleT---省略部分 & &struct _ListHead * &链接于listhead & &unsigned int otnRefC} RuleTreeNSnort2.9是建立一个二维链表，首先是以动作创建表头，再以RTN（规则的协议头RuleTreeNode）链接，到最后一个再以规则内容（OTN）进行分配，看上去是更加结构化更加合理。数据结构建立好，之后进行的匹配就是按照链表依次匹配，先判断动作然后继续依据规则头的内容进行匹配，这样就加快了匹配的效率，减少了很多的无用功。其实在2.3版本上是建立了一级按协议分类链表，也就是某种三维的链表结构，但是后来去掉了，应该是过于冗余反而影响了效率。如今是如下的链表结构RuleListNode→ListHead→RTN→OTN & & &↓RuleListNode→ListHead→RTN→OTN以上是Snort对读入规则的拆分，之后就是创建和建立链表。Snort在初始化完成之后会对嗅探接收到的数据包，与初始化后的规则链表来进行查找匹配。如果匹配中了则会执行相应规则中的动作比如丢包或者报警。3. 一个基于BASE的图形化入侵检测系统 & &BASE(Basic Analysis and Security Engine)是基于PHP的广泛使用的一种高效Snort分析查询系统，可以方便的查询snort存储于mysql中的报警。一言以蔽之，以图形化的界面代替了普通文本的显示。 & &syslog-ng是syslog的替代工具，可以作为syslog日志服务器，接收其他客户端发送的日志，本文用起接收各个Sensor发送的日志。利用snort和base可以快速建立起一个分布于公司各网络边界的、有效的、可集中管理的网络入侵检测系统。利用syslog-ng实时接收报警日志，并且对其进行实时处理可以建立起一个实时报警的监控系统。A. Snort部署 & 安装库:1)安装mysql的开发包，apt-get install libmysqlclient-dev，安装php5-mysql等2)apt-get install flex bison build-essentialcheckinstall libpcap0.8 libnetfilter-queue-dev & & libnfnetlink-devlibnfnetlink0 libdumbnet-dev libdumbnet1注：安装过程中如果缺少什么库，需根据提示安装【安装Snort】带mysql支持编译，即可。【安装Web】1)将Base文件夹放在 /var/www/2)将Adodb5 放在Base下之后在web浏览器下一步步安装即可。安装完成后，文件结构目录如下Snort文件目录结构：/usr/local/lib 下面三个文件夹 &snort_dynamicenginesnort_dynamicpreprocesssnort_dynamicrules/usr/local/bin 下面一个可执行程序 snort/etc/snort & & 下面一堆snort的配置文件+一个规则库文件夹rulessnort.confclassification.configreference.config....其他一些不是非常重要的配置文件/var/log/snort &空 【Snort.conf配置】修改相对路径等成为你配置的情况，Include 规则库，如果不支持ipv6 则将文件中ipvar替换为var（共11处）对网络主机的监控可以通过修改HOME_NET （被监控主机，目的主机） &--&var HOME_NET[1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]] &表示保护地址为1，1，1，1 与2.2.2.0--2.2.2.255 同时去掉 2.2.2.2 与2.2.2.3的主机。EXTERNAL_NETEXTERNAL_NET &（外网主机， 源攻击主机） & --&一般是 var EXTERNAL_NET any 或者 var EXTERNAL_NET ！$HOME_NET （HOME_NET不能为any）其他一些设置，如果需要可以进行相应修改。 B. Snort规则Snort规则是检测入侵的核心，故而规则优化、剪裁是建设NIDS系统的重点。 &
& &一般来说，Snort规则来源于以下几种方式： & & & &1）Snort自带 & & & &2）第三方规则库 &如 / & & & &3）BackTrack5系统中自带有部分筛选后的规则库，可酌情参考。
这些规则库各有优缺点，如Snort自带的库大多是过时的，我们应该将其进行筛选，删掉无用的规则，否则会引起特别多的误报。有的规则且适用于不同的边界，比如木马检测适用于办公网出口的部署；针对web服务器的保护规则适用于IDC出口。 & &除了对以上规则进行筛选、修改外， 安全工程师应该依靠自己对入侵手段的了解，编写对应的规则，并且持续对其进行更新。C. 实时报警 & &Base的优势是可以展示这些报警，但是安全工程师不可能每天盯着这些，故而一种实时报警的机制，将报警以短信、邮件的形式发给安全工程师。 & &我们的方案是将snort的syslog日志集中收集起来，实时处理，将高危、严重的报警实时发出来。 & &使用syslog-ng收集日志后，将snort相关日志过滤到指定文件如var/log/snort.log。 & &此时可以对日志进行处理，将高危的报警通过邮件发送出来。以上便是一个可用于网络安全监控的相对完善的入侵检测系统。 4. Snort的一些发展在实践过程中，感觉snort不仅仅可以作为一个入侵检测系统，也可以作为一个上网行为检测的设备，因为同是属于规则匹配模式，只需要开发相应的规则即可完成。如下举个封锁某网站登录的规则开发流程。多次抓包后寻找共同特征，多次抓包发现特征均如下:则可以提取其特征”POST /ajaxLogin/login?” 同时其相关部分特征端口，80，len&500(这个包长度为1006) pass tcp any any -& any 80(msg:”unlogin”;dsize:&500; content:&POST /ajaxLogin/login?&; offset:0; depth:22;check_num:1; sid:1;) & &5.后记不管一套入侵检测系统做的如何完善，安全是不可能一蹴而就的。解决安全问题的途径还是依靠人们不断提高的安全意识。
- - - - - - - - -
关注我们 /
网易版权公司所有 (C) 1997-温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(599)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'Snort中acsm算法源码笔记',
blogAbstract:'一般都是叫ac算法，这个sm是state machine，状态机，所以在snort中，acsm.h，acsm.c 即是它的源码。至于算法提取，已经高手提取了，附上链接：
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}snort日志分析和工具[转]
1.什么是入侵检测
2.什么是snort
3.什么是日志分析
4.snort的日志格式
　4.1.基于文本的格式
& 4.2.tcpdump格式
& 4.3.数据库
& 5.1.管理基于文本日志的工具
& 5.2.基于tcpdump日志文件的分析工具
& 5.3.数据库分析工具
snort是一个轻量级的网络入侵检测系统，它可以记录所有可能的入侵企图。记录信息的文件可以是文本、XML、libpcap格式，也可以把把信息记录
到syslog或者数据库。本文将介绍一些用于snort日志管理的工具。不过，本文无法囊括所有的分析工具。因为snort作为一个自由、健壮的入侵检
测系统，受到很多人的关注，因此针对它开发的工具层出不穷。
本文将介绍的工具主要针对三种输出格式：文本、libpcap(也就是tcpdump格式)和数据库。我们将主要介绍这些工具的安装和功能。
&& &1.什么是入侵检测
入侵检测就是一个监视计算机系统或者网络上发生的事件，然后对其进行安全分析的过程。大多数的入侵检测系统都可以被归入到基于网络、基于主机以及分布式三
类。基于网络的入侵检测系统能够监视网络数据发现入侵或者攻击的蛛丝马迹；基于主机的入侵检测系统能够监视针对主机的活动(用户的命令、登录/退出过程，
使用的数据等等)，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的
信息监视这个网络流动的数据和入侵企图。
各种入侵检测系统使用的检测方法可以分为两类：基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据，然后从中发现以知的攻击特
征。例如：在某些URL中包含一些奇怪的Unicode编码字符就是针对IIS
Unicode缺陷的攻击特征。此外各种模式匹配技术的应用，提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较，检测
这些数据是否异常。例如：如果一个雇员的工作时间是上9点到下午5点，但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器，这就是一个异
常事件，需要深入调查。现在，大量的统计学方法用于这个领域。
2.什么是snort
snort是一个基于libpcap的轻量级网络入侵检测系统。它运行在一个“传感器(sensor)”主机上，监听网络数据。这台机器可能是一台简陋的运行FreeBSD系统的Pentium100
PC，并且至少有一个网卡。不过建议使用最好的机器作为进行入侵检测的主机。snort能够把网络数据和规则集进行模式匹配，从而检测可能的入侵企图；或者使用SPADE插件，使用统计学方法对网络数据进行异常检测。
snort使用一种易于扩展的模块化体系结构，感兴趣的开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括：HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。
snort还是一个自由、简洁、快速、易于扩展的入侵检测系统，已经被移植到了各种UNIX平台和WinY2K上。同时，它也是目前安全领域中，最活跃的开放源码工程之一。snort还是昂贵的商业入侵检测系统最好的替代产品之一。
&& &3.什么是日志分析
入侵检测系统(例如：snort)安装成功后，并不表示一切都万事大吉了，你还有许多事情要做。snort启动后，它会在的硬盘上记录大量的报警信息。因
此，你需要工具对日志或者报警文件进行分析。不同你的需要和安全形势，要求你使用不同的工具。你可能只要一个日志汇总，或者你的经理要求你提供一个最近
15次攻击的报告。还有，对于某个报警你可能需要获取更多的信息，以便做进一步的研究。不管是出于什么目的，日志分析可以帮助你从日志中获取有用的信息，
使你可以针对攻击威胁采取必要措施。
4.snort的日志格式
你可以通过修改配置文件来设置snort的报警形式。基于文本的格式、libpcap格式和数据库是snort最重要的三种报警形式。本文中，我将主要对每种报警形式及其配置进行介绍，然后我将针对这些数据格式介绍一些分析工具。
&& &4.1.基于文本的格式
&&& 报警文件
如果在启动snort时，你使用了-A
[fast|full|none]选项，snort就会把报警信息保存到一个文件中。例如：
[**] INFO - ICQ Access [**]
[Classification: content:"MKD / "] [Priority: 0]
05/10-10:02:31..1.1.1.:54835 -&
10.2.2.5:80
TCP TTL:127 TOS:0x0 ID:13690 IpLen:20 DgmLen:482 DF
***AP*** Seq: 0x112BDD12 Ack: 0x11B38D8A Win: 0x4510
TcpLen: 20
其中，[Classification: content:"MKD / "] [Priority:
0]是报警的分类和优先级，这是snort 1.8beta版开始加入的新特征。
syslog文件
取消snort.conf文件中以下几行的注释，可以使snort向系统日志文件中日志数据：
output alert_syslog: LOG_AUTH LOG_ALERT
输出格式如下：
May 10 00:03:38 xxxxxx snort: INFO - ICQ Access
[Classification:
content:"MKD / " Priority: 0]: 10.1.1.1:54352 -&
10.2.2.5:80
&&& CSV文件
Caswell为snort编写了CSV输出插件。通过这个插件，snort可以使用CSV格式记录数据。它的配置非常容易，只要在snort.conf文件中加入以下的配置行：
output CSV: /your/filename timestamp,msg,proto,src,dst
然后，这个输出插件就会向/your/filenames文件输出如下格式的信息：
05/10-10:02:31.953089, INFO - ICQ Access,
TCP,10.1.1.1,10.2.2.5
你可以使用默认配置选项default，而勿需指定任何域。在配置文件中，你可以使用复合CSV输出，建立多个输出文件，在每个文件中记录需要记录的域。
&&& XML格式
snort的XML输出插件是Jed Pickel和Roman Danyliw开发的，是AIRCERT(Automated
Incident-Reporting)工程的一个组成部分。snort使用这个插件可以把日志数据或者报警信息以XML格式保存到本地文件和输出到一个
中心数据库，或者发送到CERT进行处理。这些数据使用SNML格式，SNML是简单网络标记语言(Simple Network
Markup Language)或者snort标记语言(SNort Markup
Language)的缩写。你可以从http://www.cert.org/kb/snortxml获得更为详细的信息。
XML输出插件支持HTTP、HTTPS和IAP(入侵报警协议，Intrusion Alert
Protocol)协议。它的数据可以使用HEX、BASE64或者ASCII编码。
下面是XML输出插件的配置示例：
output xml: log, file=/var/log/snort/snortxml
这一配置行使snort把产生的日志信息输出到以/var/log/snort/snortxml-MMDD@HHMM命名的文件中，其中MMDD是月、日，HHMM是时、分。
output xml: alert,protocol=https host=your.server.org file=yourfile
cert=mycert.crt key=mykey.pem ca=ca.crt server=srv_list.lst
这一配置行使snort使用HTTPS协议把产生的输出送到远程服务器your.server.org的文件yourfile。cert、key、ca与SSL有关。server参数可以设置连接的服务器列表。
下面是一个输出示例：
&event version="1.0"&
&sensor encoding="hex"
detail="full"&
&interface&fxp0&/interface&
version="4"&10.3.3.3&/ipaddr&
&hostname&test.someserver.org&/hostname&
&signature&RPC portmap
listing&/signature&
&timestamp&
19:43:05+00&/timestamp&
&iphdr saddr="192.89.3.5" daddr="10.3.3.3"
proto="17" ver="4" hlen="5"
len="64" id="32085" ttl="239" csum="47239"&
&udphdr sport="34959" dport="111" len="44"
csum="22602"&
&data&5A97E73C000204&/data&
&& &4.2.tcpdump格式
报文捕获库(libcap)是Lawrence Berkeley
National实验室的网络研究小组开发的，应用非常广泛，许多的报文捕获程序都是基于这个库的，例如：tcpdump和snort。在snort.conf文件中加入下面的配置行，你就能够把日志以tcpdump二进制格式记录到指定的文件中：
output log_tcpdump: snort_dump.log
然后，你可以使用snort或者tcpdump从这个文件中读取信息。
4.3.数据库
&&& 早在2000年3月Jed
Pickel就为snort编写了数据库输出插件，这个插件支持MySQL、PostgreSQL、unixODBS和Oracle数据库。
在snort.conf文件中加入：
output database: log, mysql, user=snortuser password=snortpass
dbname=snortdb host=localhost
就可以使snort把日志数据输出到名为snortdb的MySQL数据库中，这个数据库位于本地主机，用户名为snortuser，验证密码是
snortpass。针对不同的数据库系统，mysql可以改为postgresql、unixodbc或者oracle。
在使用数据库之前，需要做建立数据库和用户/密码等准备工作。还要为用户这是适当的权限，然后使用contrib目录下的create_mysql、create_postgresql、create_oracle.sql建立数据库的表。
&& &5.工具
在本节中，我将介绍一些用于snort日志分析的工具，这些工具也是按照上一节那样分类。这里将主要讲述它们的功能以及如何使用。
5.1.管理基于文本日志的工具
snort_stat
是本文作者(Yen-Ming
Chen)与1999年写的一个perl脚本，可以周期性地产生snort日志文件的统计结果。这个脚本可以产生如下信息：
具有同样特征码的源/目的对的数量
具有相同源/目的对的特征码的数量
具有相同源地址和特征码的企图的数量
具有相同特征码的目的地址的数量
&&& 特征码分布
portscan和SPADE插件的日志
这个脚本能够能够周期性给系统管理者发送email或者把产生的信息保存为HTML格式的文件。在/etc/crontab文件中加入以下条目，就可以实现上述功能：
59 23 * * * root cat /your/snort/logfile |/your/snort_stat.pl -r |
sendmail someone@somewhere
这样，snort_stat.pl脚本就能够在每天晚上11:59解析/your/snort/logfile，然后把结果发给someone@somewhere。使用-h选项可以产生HTML输出。这个脚本的下载地址在：
http://xanadu.incident.org/snort/
你还可以从下面地址得到一个HTML输出的例子：
http://xanadu.incident.org/snort/example.html
这个脚本的最新版本是1.15。作者将针对snort1.8对其进行改进。
SnortSnarf
这也是一个perl脚本，可以处理snort的日志文件然后产生HTML格式的输出，帮助你分析snort日志，发现可能的攻击威胁。SnortSnarf的输出包括可以进行WHOIS和DNS查询的连接。你也能够发现向特定IP地址的攻击。
除了日志分析之外，SnortSnarf还有其它的功能。有一个nmap2html脚本能够从日志文件中抽取nmap端口扫描的报警信息，将其保存为HTML页面。最新的版本加入了SISR(SnortSnarf
Incident Storage and Reporting
mechanism)机制。使用这项功能你可以方便地建立和保存事件报告或者通过email发送事件报告。
你可以从以下地址下载SnortSnarf：
/software/snortsnarf/index.htm
使用SnortSnarf需要Time::JulianDay模块，这个Perl模块包含在SnortSnarf压缩包中。完成SnortSnarf的安
装之后(具体的安装步骤可以参考README文档)，你需要为HTML格式机的输出文件准备一个目录，接着运行如下命令：
snortsnarf.pl -d /where/is/html/output /var/log/messages
/var/log/snort/alert
这个命令将使SnortSnarf解析/var/log/messages和/var/log/snort/alert文件，把产生的HTML格式文件输
出到/where/is/html/output目录。SnortSnarf还有其它的选项，用户可以参考其README文档了解这些选项的用法。
从以下地址可以得到一个SnortSnarf的输出示例：
snort-sort
这个perl脚本的编者是Andrew R.
Baker，它能够为snort报警进行排序。从snort源代码的contrib目录下，你可以找到这个脚本。它能够进行反向DNS查询，并且能够对每个IP地址进行WHOIS查询。目前这个脚本无法处理snort1.8版的报警(作者完成本文时)。
只要使用以下命令就可以了：
snort-sort.pl /your/alert/file & result.html
然后，你就可以使用浏览器查看result.html。
snort2html
是Daniel Swan编写的perl脚本，能够把snort记录到syslog文件中的报警信息抽取出来，转换为HTML格式。从Max
Vision的ArchNIDS数据库中，你可以获得更多关于特征码的信息。这个脚本不能进行日志分析，同样也不能处理snort1.8版的报警格式。
使用时，你需要改变$logfile和$outputfile两个变量，然后在/etc/crontab文件中加入一个条目，周期性执行这个脚本。snort2html没有命令选项。
这个perl脚本的作者Angelos
Karageorgiou，它的功能类似于snort-sort和snort2html。也是把snort报警文件转换为HTML页面。用法如下：
Snortlog.pl /var/log/snort/alert machinename
它目前也不能处理snort1.8版报警格式。下载地址在
ARIS基于攻击登记和智能服务(Attack Registry and Intelligence
Service)。这是http://www.securityfocus.org推出的一项免费安全服务，它能够提供IDS和防火墙日志的广泛关联。
Extractor程序能够从你的snort日志中提取信息，然后以XML格式送到SecurityFocus的ARIS数据库做深入分析。要使用这项服
务，你首先要在http://www.securityfocus.org注册，获得一个用户名和密码。他们会对对数据进行安全处理，以保护你的隐私，不
过为了进行关联处理不可避免地要泄露你的某些信息。通过这种方式，他们可以建立一个世界范围的数据库，在宏观层进行攻击趋势分析。你可以从。
5.2.基于tcpdump日志文件的分析工具
目前还没有专门用于snort的分析工具，不过，你可以使用tcpreplay和tcpshow等工具，查看日志信息。
5.3.数据库分析工具
ACID是入侵数据库分析控制台(Analysis Console for Intrusion
Databases)的缩写。编者Roman Danyliw，是一个基于PHP的分析引擎。主页：
http://www.cert.org/kb/acid/
ACID具有搜索、分组、维护和图示数据库的数据。这些数据既可以是snort的日志/报警，也可以是其它防火墙产品产生的信息，例如ipchains。它能够现实各种统计数据，包括：
按照协议划分报文
Unique alerts
最近/最频繁的报警
最频繁出现的地址
ACID也提供了一个IP地址的whois查询连接。你可以使用它为数据分组和从数据库删除报警。如果想使用ACID你还需要ADODB、gd-1.8和PHPlot-4.4.6。ACID的简要安装过程如下：
安装支持PHP的Web服务器
安装ADODB、GD和PHPlot
更为详细的过程可以参考构建基于snort的入侵检测系统。
安装完成后，你需要设置acid_config.php文件：
$DBlib_path = "/opt/ids/share/acidsupport/adodb";
$DBtype = "postgres";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "5432";
$alert_user = "snort";
$alert_password = "123456";
$ChartLib_path = "/opt/ids/share/acidsupport/phplot/";
然后，你就可以通过浏览器执行acid_main.php了。
显然，现在还没有一种非常成功的日志分析软件。如果你要处理基于文本的日志信息，可以使用SnortSnarf获得更多的信息以及对日志进行搜索；如果你
只需要周期性汇总事件的发生情况，使用snort_stat就可以了；而其它的工具则只能进行格式转换，没有分析能力。
如果使用数据库，ACID是当前最好而且几乎是唯一的选择；还有其它一些perl脚本，可以用来维护你的snort数据库；如果你希望获得SecurityFocus的帮助可以使用ARIS
Extractor。
这些日志分析工具只能为你更好地跟踪可能的入侵企图或者实际的攻击，然而更重要的是，你需要时刻保持警惕。
1. Rebecca G. Bace, "Intrusion Detection", MTP Technology Series,
2000. (Return to text.)
2.snort主页：http://www.snort.org
3.AIRCERT工程主页：http://www.cert.org/kb/aircert/
4.Snortdb插件主页：http://www.incident.org/snortdb/
5.SnortSnarf主页：/software/snortsnarf/
6.Snort_stat主页：http://xanadu.incident.org/snort/
8.ACID：http://www.cert.org/kb/acid/
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。