linux系統(tǒng)的輸出插件
作者:佚名 時(shí)間:2014-11-10 分享到:
輸出插件,也稱為后期處理插件,在snort檢測(cè)引擎之后運(yùn)行,這些插件用于控制分析向何處發(fā)送;日志文件,數(shù)據(jù)庫還是與另一個(gè)進(jìn)程相通信的套接字(socket),目前,這些插件仍然需要在編譯snort系統(tǒng)時(shí)以靜態(tài)的方式添加進(jìn)來,無法被動(dòng)態(tài)加載.
使用snort時(shí),數(shù)據(jù)庫插件對(duì)于某些特殊的用途大有幫助,它將大部分關(guān)于網(wǎng)絡(luò)行為的有用信息都記錄到數(shù)據(jù)庫中,可以使用某些程序?qū)@些信息進(jìn)行提取并分析,或者對(duì)網(wǎng)絡(luò)做一個(gè)歷史調(diào)查.
輸出插件的api和靜態(tài)的預(yù)處理插件的api非常相似,需要一個(gè)函數(shù)來注冊(cè)在主處理過程中用到的模塊和函數(shù),其中有兩個(gè)函數(shù)必須要被注冊(cè),一個(gè)是退出,另一個(gè)是重啟,有關(guān)輸出插件的文檔和救命并沒有明確給出,需要查閱標(biāo)準(zhǔn)輸出插件源代碼,實(shí)際上,它并沒有聽上去那么,如果成功地創(chuàng)建了一個(gè)靜態(tài)預(yù)處理插件,需要?jiǎng)?chuàng)建一個(gè)輸入插件時(shí)一樣會(huì)得心應(yīng)手.
如果能在snort系統(tǒng)中將用戶規(guī)則,預(yù)處理插件,檢測(cè)插件和后期處理插件地結(jié)合起來,則會(huì)得到很多特殊的用途,而且它們將大大地走出一個(gè)基本的入侵檢測(cè)系統(tǒng)所能提供的功能.
