Linux系统的输出插件
时间:2014-11-10
输出插件,也称为后期处理插件,在Snort检测引擎之后运行,这些插件用于控制分析向何处发送;日志文件,数据库还是与另一个进程相通信的套接字(socket),目前,这些插件仍然需要在编译Snort系统时以静态的方式添加进来,无法被动态加载.
使用Snort时,数据库插件对于某些特殊的用途大有帮助,它将大部分关于网络行为的有用信息都记录到数据库中,可以使用某些程序对这些信息进行提取并分析,或者对网络做一个历史调查.
输出插件的API和静态的预处理插件的API非常相似,需要一个函数来注册在主处理过程中用到的模块和函数,其中有两个函数必须要被注册,一个是退出,另一个是重启,有关输出插件的文档和救命并没有明确给出,需要查阅标准输出插件源代码,实际上,它并没有听上去那么,如果成功地创建了一个静态预处理插件,需要创建一个输入插件时一样会得心应手.
如果能在Snort系统中将用户规则,预处理插件,检测插件和后期处理插件地结合起来,则会得到很多特殊的用途,而且它们将大大地走出一个基本的入侵检测系统所能提供的功能.