Snort 入侵检测系统由什么组成

Snort入侵检测系统由以下4部分组成：

• 数据包解码器 数据包解码器主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。

• 检测引擎Snort用一个二维链表存储其检测规则，一维称为规则头，另一维称为规则选项。规则匹配查找采用递归的方法进行，检测机制只针对当前已经建立的链表选项进行检测。

• 日志子系统Snort可供选择的日志形式有3种，文本形式、二进制数形式和关闭日志服务。

• 报警子系统 报警形式有5种，报警信息可发往系统日志、用文本形式记录到报警文件中去、用二进制数形式记录到报警文件中去、通过Samba发送WinPopup信息，以及关闭报警。