IPS 入侵檢測系統，Snort 3.0 Alpha 發布

Cisco 在周四宣布最受歡迎的 IPS 入侵檢測系統 —— Snort 已經完全重寫，提供很多新特性。

Cisco 在2013年10月以 27 億美元收購了 Sourcefire 公司，并承諾繼續支持 Snort，目前該項目已經成為公司下一代 IPS 的基礎。目前已經有超過 500 萬次下載。事實上 Snort 已經成為入侵檢測的事實標準，Snort 的規則被多個安全研究者使用。

現在 Cisco 發布了 Snort++，也就是 Snort 3.0 的 Alpha 版本。

Snort 3.0 讓入侵檢測更加方便，包括文檔和配置方面、錯誤支持以及啟動時的配置校驗。Cisco 嘗試讓該工具變得簡單易用。

此外對 Snort 的規則語言進行簡化，改進包括：粘性緩沖區、自定義 HTTP 緩沖區和自動檢測協議等。同時命令行工具也進行了更新，允許重新加載配置，暫停和恢復檢測；支持多線程，并為多個線程提供一個單一的持久化配置。

目前 Snort 3.0 的代碼已經放到 Github 上。

Snort有 三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統模式。嗅探器模式僅僅是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。數據包記錄器模式把數 據包記錄到硬盤上。網路入侵檢測模式分析網絡數據流以匹配用戶定義的一些規則，并根據檢測結果采取一定的動作。網絡入侵檢測系統模式是最復雜的，而且是可 配置的。

Snort可以用來監測各種數據包如端口掃描等之外，還提供了以XML形式或數據庫形式記錄日志的各種插件。