Phần II: Hệ thống phát hiện xâm nhập Snort 1 Tổng quan về Snort
1.3.Detection Engine (Máy phát hiện)
Là phần quan trọng nhất trong Snort. Trách nhiệm của nó là phát hiện những xâm nhập trên các gói tin. Các luật lệ được lấy ra từ các cấu trúc dữ liệu bên trong hoặc các dây xích liên kết, chúng sẽ đối chiếu các gói tin với các luật định sẵn để tạo ra các hoạt động tương ứng.
Detection Engine là quá trình cần nhiều thời gian nhất, phụ thuộc vào: số lượng các luật, sức mạnh các máy mà Snort chạy trên đó, tốc độ của bus, tốc độ truyền tải trên mạng…
Các phương pháp phân tích dựa trên những phần khác nhau của gói tin: header IP, header lớp truyền tải (TCP, UDP, ICMP), header lớp ứng dụng (có thể lock offset hoặc dữ liệu từ các lớp ứng dụng khác nhau), packet payload ( tìm các chuỗi dữ liệu trong các gói tin).
Snort chỉ tạo ra 1 thông báo khi so sánh đầu tiên thành công, trong khi IDS tạo tất cả các cảnh báo tương ứng với các so sánh mà nó thành công. Từ Snort
2.1.3 thì đã có lựa chọn cho phép ta chọn thêm kiểu thông báo đầy đủ như của IDS. Nếu có nhiều quá trình so sánh đồng thời 1 sự kiện thì Snort đã có hệ thống hai pha cho phép bật hệ thống đa lựa chọn.
Tổng quát thì luật cảnh báo sinh ra trước luật pass (cho qua), thứ tự ưu tiên của chúng cũng sẽ có hiệu quả trong 1 số trường hợp. Từ khoá PRCE dùng trong tập lệnh là 1 đặc tính mạnh trong những phiên bản gần đây của Snort, cho phép chúng ta dùng chung (kết hợp) dữ liệu với các đặc tính của Perl trong những payload của gói tin.
Ví dụ: alert tcp any any -> any [21:1023] (pcre:"/ROOT/i";)