1. 數據包嗅探與日志記錄

• 網絡流量監控：實時捕獲和分析網絡數據包（支持以太網、無線等）。

• 日志記錄：將數據包以二進制格式（pcap）或文本格式存儲，供后續分析。

---

2. 協議分析與解碼

• 深度協議解析：支持多種協議（如TCP/UDP/ICMP、HTTP、FTP、DNS、SMTP等），識別異常字段或違規內容。

• 應用層檢測：分析HTTP URI、請求頭、郵件附件等應用層數據。

---

3. 入侵檢測（IDS）

• 規則匹配引擎：基于預定義或自定義規則檢測攻擊行為（如SQL注入、緩沖區溢出、端口掃描等）。

  • 規則類型：

    • Header Rules：檢查IP、端口、協議頭等。

    • Payload Rules：匹配數據包內容（如惡意字符串、正則表達式）。

    • 閾值規則：防止警報泛濫（如threshold: track by_src, count 5, seconds 60）。

• 預定義規則集：可從社區（如Emerging Threats、Snort官方規則）下載更新。

---

4. 告警與響應

• 多種警報模式：

  • 控制臺實時輸出、Syslog、數據庫（MySQL/PostgreSQL）記錄、郵件/短信通知。

• 響應動作：

  • 被動告警（IDS模式）或主動阻斷（IPS模式需結合inline模式或防火墻聯動）。

---

5. 預處理器與高級檢測

• 預處理插件：

  • Frag3：IP分片重組，防御IP分片攻擊。

  • Stream5：TCP流重組，對抗逃避技術（如會話分割）。

  • HTTP Inspect：規范化HTTP流量，檢測規避手法。

  • SSL/TLS解密（需配置密鑰）。

• 異常檢測：識別協議異常（如畸形的DNS查詢）、流量洪水（DDoS）。

---

6. 自定義與擴展性

• 規則自定義：用戶可編寫規則（如alert tcp any any -> 192.168.1.0/24 80 (content:"/etc/passwd"; msg:"ETC_PASSWD Access";)。

• 插件支持：通過動態模塊擴展功能（如GeoIP定位、惡意文件檢測）。

• 輸出模塊：支持UNIX Socket、XML、CSV等格式。

?