前幾篇我們介紹到常見的 IDS 時，有說到主要又有分為：
主機型入侵偵測系統（HIDS）和網路型入侵偵測系統（NIDS）。

而我們要實作出網路型入侵偵測系統（NIDS），通常都會使用 Snort 這個開源的 NIDS 來做。
因此，這篇就要來跟大家介紹 Snort！

本篇大綱
一、什麼是 Snort？
二、Snort 的工作原理
三、Snort 的特點

一、什麼是 Snort？

• Snort 是一個免費、輕量級、跨平台且開源的網路 IDS。
• 主要功能是監視網路流量，以偵測潛在的入侵、威脅或不正常行為。
• Snort 在全球被廣泛使用，並且支援多種作業系統，包含：Linux、Windows 和 macOS。

Snort 下載連結：https://www.snort.org/

二、Snort 的工作原理

• Snort 是一個能夠以攻擊特徵為基礎的入侵偵測系統。它可以利用事先建立好的已知攻擊特徵資料，比對接收到的封包內容是否含有攻擊行為，若符合特徵，即觸發相對應的動作。

• Snort 的工作原理基於網路流量的分析和規則匹配，主要分為：

1. 流量監控：
   • 監控網路流量，通過網路介面或網路監聽器來獲取數據包。
2. 封包解碼：
   • Snort 解析數據包，提取有關來源IP、目標IP、端口和協議等訊息。
3. 規則匹配：
   • 會使用預定義的規則集（也可以自定義）來比對解析的數據包。這些規則基於特定的模式、特徵和行為，用於偵測各種威脅。
4. 警報生成：
   • 如果某個數據包匹配了一個或多個規則，Snort 將生成一個警報，指示可能存在的安全風險。
5. 警報記錄：
   • Snort 會將這些警報記錄到 Log 中，供安全人員分析和查看。

三、Snort 的特點

1. 開源和免費：
   • Snort 是一個開源專案，且免費提供使用。這使得它成為小型企業和個人使用的理想選擇。
2. 強大的規則引擎：
   • 規則引擎非常靈活，允許用戶能根據自己的需求創建和自定義偵測規則，以加強入侵行為的偵測。
3. 即時警報：
   • 能即時警報安全事件，讓安全人員能夠快速響應潛在的威脅。
4. 網路流量分析：
   • 不但能偵測單個封包，還能夠分析整個網路流量，識別複雜的攻擊和威脅。
5. 社群支援：
   • Snort 的社群很活躍，提供大量的文檔、偵測規則和支援資源，讓用戶可以參考和分享經驗。

未來幾篇，還會陸續教到 Snort 的安裝、設定、外掛～