Snort的基本功能有哪些?

Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作，应该具备跨系统平台操作，对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应，更为重要的是能够成为整体安全结构的重要成员。

Snort作为其典型范例：

1)可以运行在多种操作系统平台，例如UNIX和Windows (需要Winpcap的支持)，与很多商业产品相比，它对操作系统的依赖性比较低。

2)用户可以根据白己的需要及时在短时间内调整检测策略。

3)Snort有数十类上千条检测规则，其中包括对缓冲区溢出，端口扫描和CGI攻击等。

4)Snort集成了多种告警机制来提供实时告警功能，包括syslog、UNIX Socket、用户指定文件等。

5)Snort的现实意义在于作为开源软件填补了只有商业IDS的空白，可以帮助中小网络的系统管理员有效地监视网络流量和检测入侵行为。

Snort作为一个NIDS，其工作原理为在基于共享网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，进而采取入侵的预警或记录。 Snort属于误用检测。