入侵檢測已經(jīng)日益成為網(wǎng)絡(luò)安全中不可或缺的一部分，它為網(wǎng)絡(luò)提供了一個防御層，
在這一層中我們可以預(yù)先定義可能的入侵行為以便對網(wǎng)絡(luò)活動進(jìn)行監(jiān)視，當(dāng)發(fā)現(xiàn)在可能的入侵行為時就會報警通知系統(tǒng)管理員?，F(xiàn)在計(jì)算機(jī)安全市場上有許多入侵檢測系統(tǒng)，但它們都面臨一個共同的問題，就是難于配置而且一般價格不菲，Snort 相對于它們來說在這方面有相當(dāng)大的優(yōu)勢。
snort 是一個免費(fèi)的基于libpcap 的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它能夠跨系統(tǒng)平臺操作，
自帶輕量級的入侵檢測工具可以用于監(jiān)視小型的TCP/IP 網(wǎng)絡(luò)，在進(jìn)行網(wǎng)絡(luò)監(jiān)視時snort 能夠把網(wǎng)絡(luò)數(shù)據(jù)和規(guī)則進(jìn)行模式匹配，從而檢測出可能的入侵企圖，同時它也可以使用SPADE插件，使用統(tǒng)計(jì)學(xué)方法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常檢測，這些強(qiáng)大的檢測功能為網(wǎng)絡(luò)管理員對于入侵行為做出適當(dāng)?shù)姆磽籼峁┝俗銐虻?a target='_blank' class='arckwlink_none'>信息。
snort 使用一種易于擴(kuò)展的模塊化體系結(jié)構(gòu)，開發(fā)人員可以加入自己編寫的模塊來擴(kuò)展
snort 的功能。這些模塊包括：HTTP 解碼插件、TCP 數(shù)據(jù)流重組插件、端口掃描檢測插件、FLEXRESP 插件以及各種日志輸入插件等。
同時snort 還是一個自由、簡潔、快速、易于擴(kuò)展的入侵檢測系統(tǒng)，已經(jīng)被移植到了各
種UNIX 平臺和Win98，Win2000 上。它也是目前安全領(lǐng)域中，最活躍的開放源碼工程之一。
在Snort.org 上幾乎每天都提供了最新的規(guī)則庫以供下載，由于snort 本身是自由的源碼開放工程所以在使用snort 時除了必要的硬件外軟件上基本上不需要有任何額外的開銷。這相對于少則上千多則上萬的商業(yè)入侵檢測系統(tǒng)來說，無疑是最好的替代產(chǎn)品之一。
本文主要論述了snort 的背景知識以及它的基于規(guī)則的入侵檢測機(jī)制，同時對于如何使
用也作了概括說明。