《物聯(lián)網(wǎng)信息安全》課件第2章 入侵檢測(cè)系統(tǒng)

學(xué)習(xí)任務(wù)24113456入侵檢測(cè)的概念入侵檢測(cè)方法入侵檢測(cè)步驟入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)幾種常見的入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)2.6.1入侵帶來嚴(yán)重的安全威脅計(jì)算機(jī)網(wǎng)絡(luò)的安全是一個(gè)國際化的問題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞而造成的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。政府、銀行、大企業(yè)等機(jī)構(gòu)都有自己的內(nèi)網(wǎng)資源，其行政結(jié)構(gòu)是金字塔型，但是局域網(wǎng)的網(wǎng)絡(luò)管理卻是平面型的，從網(wǎng)絡(luò)安全的角度看，當(dāng)公司的內(nèi)部系統(tǒng)被入侵、破壞與泄密是一個(gè)嚴(yán)重的問題，以及由此引出的更多有關(guān)網(wǎng)絡(luò)安全的問題都應(yīng)該引起我們的重視。據(jù)統(tǒng)計(jì)，全球80%以上的入侵來自于內(nèi)部。此外，不太自律的員工對(duì)網(wǎng)絡(luò)資源無節(jié)制的濫用對(duì)企業(yè)可能造成巨大的損失。當(dāng)商戶、銀行與其他商業(yè)與金融機(jī)構(gòu)在電子商務(wù)熱潮中紛紛進(jìn)入Internet，以政府上網(wǎng)為標(biāo)志的數(shù)字政府使國家機(jī)關(guān)與Internet互聯(lián)。通過Internet實(shí)現(xiàn)包括個(gè)人、企業(yè)與政府的全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)的各類攻擊與破壞也與日俱增。據(jù)統(tǒng)計(jì)：信息竊賊在過去5年中以250%速度增長，99%的大公司都發(fā)生過大的入侵事件。世界著名的商業(yè)網(wǎng)站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的經(jīng)濟(jì)損失。甚至連專門從事網(wǎng)絡(luò)安全的RSA網(wǎng)站也受到黑客的攻擊。對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。2.6.1入侵檢測(cè)技術(shù)的概念為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置;能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象;用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù);利用審計(jì)記錄，對(duì)惡意行為進(jìn)行識(shí)別和響應(yīng);2.6.1入侵檢測(cè)技術(shù)的概念違反安全策略的行為有：入侵—非法用戶的違規(guī)行為；濫用—用戶的違規(guī)行為；從入侵策略的角度可將入侵檢測(cè)的內(nèi)容分為：試圖闖入；成功闖入；冒充其它用戶；違反安全策略；合法用戶的泄漏；獨(dú)占資源；惡意使用。2.6.2入侵檢測(cè)技術(shù)的方法入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR（PolicyProtectionDetectionResponse）安全模型，已經(jīng)可以深入地研究入侵事件、入侵手段本身及被入侵目標(biāo)的漏洞等。2.6.2異常入侵檢測(cè)技術(shù)異常入侵檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。為實(shí)現(xiàn)該類檢測(cè)，IDS建立正?；顒?dòng)的“規(guī)范集（Normalprofile）”，當(dāng)主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。大多數(shù)的正常行為的模型使用一種矩陣的數(shù)學(xué)模型，矩陣的數(shù)量來自于系統(tǒng)的各種指標(biāo)。比如CPU使用率、內(nèi)存使用率、登錄的時(shí)間和次數(shù)、網(wǎng)絡(luò)活動(dòng)、文件的動(dòng)等。異常檢測(cè)的缺點(diǎn)是：若入侵者了解到檢測(cè)規(guī)律，就可以小心的避免系統(tǒng)指標(biāo)的突變，而使用逐漸改變系統(tǒng)指標(biāo)的方法逃避檢測(cè)。另外測(cè)效率也不高，檢測(cè)時(shí)間較長。最重要的是，這是一種“事后”的檢測(cè)，當(dāng)檢測(cè)到入侵行為時(shí)，破壞早已經(jīng)發(fā)生了。2.6.2誤用入侵檢測(cè)技術(shù)誤用入侵檢測(cè)系統(tǒng)中常用的檢測(cè)方法有：模式匹配法：是常常被用于入侵檢測(cè)技術(shù)中。它是通過把收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫中的已知信息進(jìn)行比較，從而對(duì)違背安全策略的行為進(jìn)行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負(fù)擔(dān)，有較高的檢測(cè)率和準(zhǔn)確率。專家系統(tǒng)法：這個(gè)方法的思想是把安全專家的知識(shí)表示成規(guī)則知識(shí)庫，再用推理算法檢測(cè)入侵。主要是針對(duì)有特征的入侵行為?；跔顟B(tài)轉(zhuǎn)移分析的檢測(cè)法：該方法的基本思想是將攻擊看成一個(gè)連續(xù)的、分步驟的并且各個(gè)步驟之間有一定的關(guān)聯(lián)的過程。在網(wǎng)絡(luò)中發(fā)生入侵時(shí)及時(shí)阻斷入侵行為，防止可能還會(huì)進(jìn)一步發(fā)生的類似攻擊行為。在狀態(tài)轉(zhuǎn)移分析方法中，一個(gè)滲透過程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個(gè)初始狀態(tài)變?yōu)樽罱K某個(gè)被危害的狀態(tài)。2.6.2誤用入侵檢測(cè)工作流程2.6.2誤用入侵檢測(cè)拓?fù)浣Y(jié)構(gòu)2.6.3入侵檢測(cè)步驟

2.6.3入侵檢測(cè)步驟

入侵檢測(cè)系統(tǒng)的工作流程從大體上面分成三個(gè)部分。信息收集數(shù)據(jù)分析響應(yīng)這三個(gè)部分整體構(gòu)成了入侵檢測(cè)系統(tǒng)的運(yùn)轉(zhuǎn)部件。2.6.3入侵檢測(cè)步驟入侵檢測(cè)系統(tǒng)內(nèi)部數(shù)據(jù)I/O包含數(shù)據(jù)流和控制流。數(shù)據(jù)流負(fù)責(zé)將網(wǎng)絡(luò)中監(jiān)聽到的數(shù)據(jù)包傳遞給各個(gè)工作模塊，控制流主要來自于引擎管理模塊，它將協(xié)調(diào)給模塊的工作和數(shù)據(jù)處理。2.6.3信息收集

入侵檢測(cè)的第一步就是信息收集，收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)，網(wǎng)絡(luò)，數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)在很大程度上依賴于收集信息的可靠性，正確性和完備性。因此，要確保采集，報(bào)告這些信息的軟件工具的可靠性。這些軟件本身應(yīng)該具有相當(dāng)?shù)膱?jiān)固性，能夠防止被篡改而收集到的錯(cuò)誤信息。否則，黑客對(duì)系統(tǒng)的修改可能使入侵檢測(cè)系統(tǒng)功能失常但看起來跟正常的系統(tǒng)無異。2.6.3數(shù)據(jù)分析數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出相應(yīng)的結(jié)論。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵，這樣可以方便的進(jìn)行配置。一個(gè)協(xié)議數(shù)據(jù)可能有多個(gè)數(shù)據(jù)分析函數(shù)來處理它。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來觸發(fā)。如時(shí)間、特定的數(shù)據(jù)包到來、管理員啟動(dòng)、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測(cè)系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個(gè)始數(shù)據(jù)分析函數(shù)的啟動(dòng)檢測(cè)。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫中某種特征匹配，就指出這是這種入侵行為。如發(fā)現(xiàn)一個(gè)HTTP請(qǐng)求某個(gè)服務(wù)器上的“/global.asa.bak”,這很很可能是一個(gè)攻擊者正在尋找系統(tǒng)的CGI漏洞。2.6.3響應(yīng)入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵跡象后，會(huì)及時(shí)做出響應(yīng)，響應(yīng)一般分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)兩種類型。目的入侵檢測(cè)系統(tǒng)一般采用下列響應(yīng)：1.將分析結(jié)果記錄在日志文件中，并產(chǎn)生響應(yīng)的報(bào)告。2.觸發(fā)警報(bào)，如果系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)識(shí)位，向系統(tǒng)管理員發(fā)送傳呼或者電子郵件等。3.修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程，切斷攻擊者的網(wǎng)絡(luò)連接或者更改防火墻配置。2.6.4入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)大致可以分為基于主機(jī)型，網(wǎng)絡(luò)型和分布式三種1.基于主機(jī)系統(tǒng)的結(jié)構(gòu)2.基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)3.基于分布式系統(tǒng)的結(jié)構(gòu)2.6.4基于主機(jī)系統(tǒng)的結(jié)構(gòu)初期多以基于主機(jī)的入侵檢測(cè)研究為主，即在每個(gè)要保護(hù)的主機(jī)上運(yùn)行一個(gè)代理程序。它以計(jì)算機(jī)主機(jī)作為目標(biāo)環(huán)境，只考慮系統(tǒng)局部范圍的用戶，因此大大簡(jiǎn)化了檢測(cè)任務(wù)。由入侵檢測(cè)工具對(duì)主機(jī)的審計(jì)信息分析來進(jìn)行檢測(cè)，并報(bào)告安全可疑事件?；谥鳈C(jī)的入侵檢測(cè)技術(shù)研究比較成熟，產(chǎn)品有IntrusionDetection公司的KaneSecurityMonitor,TrustedInformationSystem公司的Stalker等。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有以下優(yōu)點(diǎn)：性能價(jià)格比高，適用在主機(jī)數(shù)量較少的情況下；更加細(xì)膩，可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取；視野集中，最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)；易于用戶剪裁，每一個(gè)主機(jī)有其自己的代理；對(duì)網(wǎng)絡(luò)流量不敏感，一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對(duì)網(wǎng)絡(luò)行為的監(jiān)視。隨著Internet的發(fā)展，基于網(wǎng)絡(luò)的攻擊日益增多。基于主機(jī)的IDS已難以勝任入侵檢測(cè)任務(wù)，入侵檢測(cè)也發(fā)展為基于網(wǎng)絡(luò)的入侵檢測(cè)，主要研究方向?yàn)榉植际较到y(tǒng)。2.6.4基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，是通過連接在網(wǎng)絡(luò)上的站點(diǎn)捕獲網(wǎng)上的包，并分析其是否具有已知的攻擊模式或?qū)⒁鹁W(wǎng)絡(luò)系統(tǒng)異常，以此來判別是否為入侵者。目前，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)尚處于研究階段，商業(yè)化產(chǎn)品較少，多為基于網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)，如防火墻、路由器等進(jìn)行檢測(cè)，如InternetSecuritySystem公司的RealSecure、NetworkAssociates公司的CyberCop、以及NetRanger?；诰W(wǎng)絡(luò)的檢測(cè)有以下優(yōu)點(diǎn)：偵測(cè)速度快，實(shí)時(shí)性好；隱蔽性好，網(wǎng)絡(luò)上的監(jiān)測(cè)器不易遭受攻擊；視野更寬，可以在網(wǎng)絡(luò)的邊緣上制止攻擊；使用較少的監(jiān)測(cè)器進(jìn)行保護(hù)；占用資源少。目前，開發(fā)特定的工具來偵聽網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，分析負(fù)載，搜索可疑命令成為檢測(cè)網(wǎng)絡(luò)攻擊的主要手段。管理員可以通過分布少量的工具檢測(cè)到大多數(shù)攻擊。2.6.4基于分布式系統(tǒng)的結(jié)構(gòu)基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況2.6.5幾種常見的入侵檢測(cè)系統(tǒng)IntrusionDetection公司的KaneSecurityMonitorforNT基于主機(jī)的IDS，1997年9月推出的；它在結(jié)構(gòu)上由三部分組成，即一個(gè)審計(jì)器、一個(gè)控制臺(tái)和代理。代理用來瀏覽NT的日志并將統(tǒng)計(jì)結(jié)果送往審計(jì)器。系統(tǒng)安全員用控制臺(tái)的GUI界面來接收告警、查看歷史記錄以及系統(tǒng)的實(shí)時(shí)行為。KSM對(duì)每個(gè)被保護(hù)的服務(wù)器報(bào)價(jià)1495美元（包括審計(jì)器和控制臺(tái)），在此基礎(chǔ)上每個(gè)工作站代理報(bào)價(jià)295美元。KSM在TCP/IP監(jiān)測(cè)方面特別強(qiáng)，但I(xiàn)ntrusionDetection的產(chǎn)品不是為較快的廣域網(wǎng)設(shè)計(jì)的。2.6.5幾種常見的入侵檢測(cè)系統(tǒng)InternetSecuritySystem公司的RealSecureRealSecure在結(jié)構(gòu)上由引擎部分與控制臺(tái)兩部分組成。引擎部分負(fù)責(zé)監(jiān)測(cè)信息包并生成告警，控制臺(tái)接收?qǐng)?bào)警并作為配置及產(chǎn)生數(shù)據(jù)庫報(bào)告的中心點(diǎn)。兩部分都可以在NT、Solaris、SunOS和Linux上運(yùn)行，并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用。RealSecure的引擎價(jià)值1萬美元，控制臺(tái)是免費(fèi)的。一個(gè)引擎可以向多個(gè)控制臺(tái)報(bào)告，一個(gè)控制臺(tái)也可以管理多個(gè)引擎。RealSecure可以對(duì)CheckPoint軟件防火墻（FireWall-1）進(jìn)行重新配置。

RealSecure的優(yōu)勢(shì)在于其簡(jiǎn)潔性和低價(jià)格。其缺點(diǎn)為：沒有明顯地支持過濾器用戶化，增加新的簽名較復(fù)雜，抑制攻擊報(bào)警較差。2.6.5幾種常見的入侵檢測(cè)系統(tǒng)Cisco公司的NetRanger

產(chǎn)品分為兩部分：監(jiān)測(cè)網(wǎng)絡(luò)包和發(fā)告警的傳感器（9000美元），以及接收并分析告警和啟動(dòng)對(duì)策的控制器（1萬美元）。NetRanger以其高性能而聞名，而且它還非常易于裁剪?？刂破鞒绦蚩梢跃C合多站點(diǎn)的信息并監(jiān)視散布在整個(gè)企業(yè)網(wǎng)上的攻擊。NetRanger的最大名聲在于其是針對(duì)企業(yè)而設(shè)計(jì)的。NetRanger的另一個(gè)強(qiáng)項(xiàng)是其在檢測(cè)問題時(shí)不僅觀察單個(gè)包的內(nèi)容，而且還看上下文，即從多個(gè)包中得到線索。NetRanger安裝、集成和管理均較為復(fù)雜，NetRanger的價(jià)格相對(duì)較昂貴，這對(duì)于一般的局域網(wǎng)來講未必很適合。2.6.5幾種常見的入侵檢測(cè)系統(tǒng)SkyBell－啟明星辰黑客入侵檢測(cè)與預(yù)警系統(tǒng)該系統(tǒng)是一種在計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)、實(shí)時(shí)的入侵檢測(cè)和響應(yīng)系統(tǒng)，可無妨礙地實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)和響應(yīng)可疑的行為，在系統(tǒng)受到危害前發(fā)出警告，并提供補(bǔ)救措施，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障；該系統(tǒng)主要包括探測(cè)器和控制器兩部分。探測(cè)器能監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，根據(jù)用戶定義的條件進(jìn)行檢測(cè)，識(shí)別出網(wǎng)絡(luò)中正在進(jìn)行的攻擊。實(shí)時(shí)檢測(cè)到入侵信息并向控制器管理控制臺(tái)發(fā)出告警，由控制臺(tái)給出定位顯示，從而將入侵者從網(wǎng)絡(luò)中清除出去。2.6.5幾種常見的入侵檢測(cè)系統(tǒng)中科網(wǎng)威“天眼”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)（NetpowerNIDS）NetpowerNIDS是一套以監(jiān)測(cè)網(wǎng)絡(luò)入侵功能為基礎(chǔ)，集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理（即時(shí)報(bào)警、切斷連接、暫停服務(wù)等）、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能的分布式計(jì)算機(jī)安全系統(tǒng)；每個(gè)子網(wǎng)有一臺(tái)入侵偵測(cè)主機(jī)，以監(jiān)視所有網(wǎng)絡(luò)活動(dòng)，一旦發(fā)現(xiàn)入侵則立即報(bào)警，同時(shí)紀(jì)錄入侵信息。該主機(jī)還運(yùn)行一個(gè)移動(dòng)代理程序，負(fù)責(zé)預(yù)處理原始數(shù)據(jù)紀(jì)錄，并將結(jié)果、相關(guān)的系統(tǒng)日志和報(bào)警信息紀(jì)錄傳送到中央安全數(shù)據(jù)庫；有一個(gè)總控制臺(tái)負(fù)責(zé)管理監(jiān)控機(jī)和報(bào)警處理，同時(shí)利用中央安全數(shù)據(jù)庫對(duì)網(wǎng)絡(luò)事件、報(bào)警信息、和入侵偵測(cè)安全策略進(jìn)行集中管理，并利用先進(jìn)的人工智能技術(shù)對(duì)網(wǎng)絡(luò)入侵事件進(jìn)行離線分析，以發(fā)現(xiàn)隱蔽的和復(fù)雜的網(wǎng)絡(luò)攻擊，向管理員提供關(guān)于入侵偵測(cè)的查詢和報(bào)表服務(wù)。。2.6.5幾種常見的入侵檢測(cè)系統(tǒng)免費(fèi)NIDS系統(tǒng)Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警。snort具有很好的擴(kuò)展性。它使用一種簡(jiǎn)單的規(guī)則描述語言。最基本的規(guī)則只是包含四個(gè)個(gè)域：處理動(dòng)作、協(xié)議、方向、注意的端口。例如：logtcpanyany->/2479。遵循公共通用許可證GPL，所以任何企業(yè)、個(gè)人、組織都可以免費(fèi)使用它作為自己的NIDS。snort的可移植性很好，snort的跨平臺(tái)性能極佳，目前已經(jīng)支持Linux,Solaris,BSD,IRIX,HP-UX,WinY2K等系統(tǒng)。snort雖然功能強(qiáng)大，但是其代碼極為簡(jiǎn)潔、短小，其源代碼壓縮包只有大約110KB。2.6.6入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)許多現(xiàn)存IDS是采用集中統(tǒng)一收集和分析數(shù)據(jù)的體系結(jié)構(gòu)，這種體系結(jié)構(gòu)存在以下的問題：集中分析處理存在單點(diǎn)失效問題；可擴(kuò)展性有限。在一臺(tái)主機(jī)上處理所有的信息限制了被監(jiān)視的網(wǎng)絡(luò)規(guī)模，分散數(shù)據(jù)的收集會(huì)引起網(wǎng)絡(luò)中數(shù)據(jù)流量過載；IDS重新配置或增加功能困難；對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析存在缺陷。在一臺(tái)主機(jī)