基于snort技术分析

信息与计算科学系课程设计报告基于SNORT的入侵检测系统的分析1. 绪论1.1 研究目的与意义随着网络技术的飞速发展，其应用领域也在不断的扩展，网络技术的应用已将从传统的小型业务系统逐渐扩展到大型的关键业务系统中，比如说金融业务系统、电子商务系统等等第。然而，随着网络技术的迅速发展，网络安全问题也日益突出。比如说金融系统、政府信息系统等受到外界的攻击与破坏，信息容易被窃取和修改等网络安全问题越来越严重。所以说网络安全问题已经成为各国政府、企业以及广大网络用户关心的问题之一。任何试图破坏网络活动正常化的问题都可以称为网络安全问题。过去保护网络安全做常用、最传统的方法就是防火墙，但是防护墙只是一种被动防御性的网络安全工具，随着科学技术的不断发展，网络日趋复杂化，传统防火墙是不足以满足如今复杂多变的网络安全问题，在这种情况下，逐渐产生了入侵检测系统，入侵检测系统不仅能够为网络安全提供及时的入侵检测以及采取响应的防护手段，它还可以识别针对计算机或网络资源的恶意企图和行为，并对此做出反应，它提供了对系统受到内部攻击、外部攻击和误操作的实时保护，能够帮助系统对付网络攻击。入侵检测系统能很好的弥补防火墙的不足，是防火墙的合理完善。入侵检测系统具有以下几个特点：1）从系统的不同环节收集各种信息2）分析收集到的信息并试图寻找入侵信息活动的特征3）自动对检测到的行为做出响应4）记录并报告检测结果入侵检测系统的主要功能有1）监测并分析用户和系统的活动2）核查系统配置及其漏洞3）评估系统重要资源和数据文件是否完整4）识别己知的入侵行为5）统计分析不正常行为6）根据操作系统的管理日志，识别违反安全策略的用户活动入侵检测技术是一种积极主动地安全防护技术，其核心在于它的检测引擎，如何实现高效快速的检测，是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类，分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻击，因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包，使用相应的软件来提取入侵者所发出的攻击包的特征，然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入侵报警。在与特征库进行匹配的过程中，用到的最主要的技术就是模式匹配，所以说在入侵检测系统中模式匹配是一个研究重点。在国内，随着网络应用的日益增长，特别是那些关键部门对网络的应用使得网络安全问题至关重要，迫切需要高效的入侵检测产品来确保网络安全，但是，由于我国的入侵检测技术在网络安全领域的研究起步较晚，还不够成熟和完善，需要投入较多的精力来对这方面进行探索研究，特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域，这对抑制黑客攻击和网络病毒的传播，提高网络安全具有重要意义。1.2 入侵检测技术的不足入侵检测技术作为安全技术的一个重要领域，正在成为网络安全研究的热点，对入侵检测的理论研究和实际应用中还存在着许多问题，需要我们继续深入研究和探索，具体来说，入侵检测在以下方面有待继续发展：1）阻断入侵的能力低虽然入侵检测系统有发现入侵、阻断连接的作用。提供对内部攻击、外部攻击和误操作的实时保护。但它的工作重点是放在对入侵行为的识别。为提高网络安全，有效识别黑客入侵，必须提高阻断入侵的能力。可考虑将入侵检测系统与防火墙联合起来，配置好 IDS 的安全策略，指定响应对象防火墙的地址及密钥，由 IDS 发起与防火墙的连接，建立正常连接后，IDS 产生新的安全事件通知防火墙，防火墙随之做出安全策略的相应调整，使防护体系由静态到动态，从源头上彻底切断入侵行为。提升了防火墙的实时反应能力，增强了 IDS 的阻断能力。2）高误报率和高漏报率在高速交换网络中，入侵检测系统不能很好地检测所有的数据包。分析的准确率不高，经常产生漏报。检测规则的更新落后于攻击手段的更新。新的攻击没有相应的检测规则，经常产生误报。为降低误报率和漏报率，可考虑将网络数据报文直接传递到系统内核预先分配的地址空间中，避免 CPU 的参与。同时将系统内核中存储数据报文的内存映射到检测程序的应用程序空间。检测程序直接对这块内存进行访问，减少系统内核向用户空间的内存拷贝 减少了系统调用的开销。为提高检测的准确度，可考虑自动获取网络的当前状态信息，根据系统状态的变化实时更新 IDS 的配置，使IDS 进行模式匹配时的规则仅与本网络当前状态相关。管理员掌握网络的情况后，将非开放端口的连接企图视为异常数据包记录到日志中 同时跟踪该信息源的进一步行动。预防攻击，保护信息安全。3）入侵检测系统的体系结构应朝分布式、开放性的方向发展随着网络技术的发展 新的网络攻击方式不断涌现，分布式协同攻击就是一种极具威胁性的攻击方式。攻击者通常协同成百上千的服务器攻击一台主机。其破坏性和隐蔽性越来越强。尽管网络不同的部分使用了不同的 IDS， 但现有的多数 IDS 是采用通用入侵检测体系结构的。主要针对各主机进行单独安全保护IDS 之间无法交换信息，很难找到攻击的源头。容易给协作攻击者以可乘之机。为此，在体系结构上必须尽快朝着分布式、协作式方向改进。加强 IDS 之间的互操作。2. 入侵检测系统概述2.1入侵检测系统的概念2.1.1 入侵检测系统的概念及作用入侵检测系统是一种主动的安伞防护工具，它从计算机系统或网络环境中采集数据，分析数据，发现可疑攻击行为或者异常事件并采取一定的响应措施、拦截攻击行为，降低可能的损失。提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应 。它具有以下主要作用：1）监视、分析用户及系统活动2）系统构造和弱点的审计3）识别已知进攻的活动模式，并产生报警 4）异常行为的统计分析5）评估重要系统和数据文件的完整性 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为2.1.2 入侵检测系统的结构CIDF将一个入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元、事件数据库。其基本结构如图21所示：图21 CIDF基本模型2.2 入侵检测系统的分类2.2.1 入侵检测系统的分类入侵检测系统的分类方法不是唯一的 ，有两种比较常用的标准：按照信息源和分析方法的标准来分类的。 入侵检测系统根据数据源分为基于主机的入侵检测系统（HIDS）和基于网 络的入侵检测系统（NIDS）以及混合型入侵检测系统。 入侵检测系统根据入侵检测分析方法分为异常入侵检测系统（AD）和误用入侵检测系统（MD）。入侵检测系统根据响应方式分为被动响应系统和主动响应系统。入侵检测系统根据各个模块运行的分布方式分为集中式入侵检测系统和分布式入侵检测系统。入侵检测系统的分类架构图如图22所示： 基于主机的入侵检测系统 根据目标系统 基于网络的入侵检测系统 异常入侵检测系统 根据检测方法 误用入侵检测系统入侵检测系统 被动响应入侵检测系统 根据响应方式 主动响应入侵检测系统 集中式入侵检测系统 根据各模块运行 分布方式 分布式入侵检测系统图22 入侵检测系统分类架构图2.2.2 基于主机的入侵检测系统基于主机IDS部署在单主机上，利用操作系统产生的日志记录作为主要信息源，通过对其进行审计，检测入侵行为。基于主机IDS不对网络数据包或扫描配置进行检查，而是对系统日志提供的大量数据进行整理。早期的系统多为基于主机的，主要用来检测内部网络的入侵攻击。后来用分布主机代理来实现。其主要优点:信息源(0S日志记录)完备。系统产生的日志是归类有序的。它准确记录了每个用户的行为序列，这样便可以精确监控每个用户的行为。同时也使得IDS对信息源的处理简单、一致。对某些特定的攻击十分有效。比如，审计日志能够显示出由缓冲区溢出攻击引起的优先级转移的情况，从而能够有效的检测缓冲区溢出攻击。其主要缺点:1）由于它通常作为用户进程运行，依赖于具体的操作系统底层的支持，与系统的体系结构有关，所以它无法了解发生在下层协议的入侵活动。2）熟练的入侵者往往可以进入系统修改、删除有关的日志记录，从而隐藏入侵迹象。3）HIDS位于所监视的每一个主机中，故占用的资源不能太多，从而大大制了所采用的检测方法及处理性能。2.2.3 基于网络的入侵检测系统基于网络的IDS最早出现于1990年。它主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流，依据一定规则对数据流的内容进行分析，从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。为了能够捕获入侵攻击行为，基于网络IDS必须位于能够看到所以数据包的位置，这包括:环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。最佳位置便是位于Internet到内部网络的接入点。但是，同一子网的2个节点之间交换数据报文并且交换数据报文不经过IDS，那么IDS可能就会忽略这些攻击。基于网络IDS的主要优点:1）由于NIDS直接收集网络数据包，而网络协议是标准的。因此，NIDS如目标系统的体系结构无关，可用于监视结构不同的各类系统;2）NIDS使用原始网络数据包进行检测，因此它所收集的审计数据被篡改的可能性很小，而且它不影响被保护系统的性能;3）NIDS利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输，能够实时得到目标系统与外界交互的所有信息，包括一些隐蔽的端口扫描和没有成功的入侵尝试。基于网络IDS的主要缺点:1）缺乏终端系统对待定数据的处理方法等信息，使得从原始的数据包中重构应用层信息很困难。因此，NIDS难以检测发生在应用层的攻击;而对于加密传输方式进行的入侵，NIDS也无能为力;2）NIDS只检查它直接连接网段的通信，不能检测到不同网段的网络包，因此在交换式局域网中，它难以获得不同交换端口的网络信息:3）网络流的数据量大，NIDS必须对数据帧进行解码才能了解其中的含义。因此，NIDS的数据处理量大，而造成处理能力不足。2.3 入侵检测技术2.3.1 异常检测异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。2.3.2 特征检测特征检测这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。2.4入侵检测技术的发展趋势入侵检测技术在不断地发展更新，近年来入侵检测技术沿着以下几个方向发展:1）分布式入侵检测与通用人侵检测架构。传统的IDS一般局限于单一主机或网络构架，对异构系统及大规模网络的检测明显不足。同时不同的IDS系统之间不能协同工作，为解决这一问题，需要分布式检测技术和通用人侵检测构架。一是针对分布式网络攻击的检测方法；二是使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式 IDS 在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势，其设计模型具有很大的灵活性。2）智能化入侵检测。入侵方法越来越多样化与综合化，尽管已经有智能代理、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。3）应用层入侵检测。许多入侵活动的含义只有在应用层才能理解。但传统方法很少涉及到应用层，使得一些应用系统内的入侵活动难以检测，所以需要开发应用层的入侵检测技术。4）全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。3. 网络入侵系统（Snort）分析3.1 Snort概述3.1.1 Snort简述及特点Snort是一个以开放源代码形式发行的一个功能强大、跨平台、轻量级的网络入侵检测系统，最初由 Martin Roesch编写，并由遍布世界各地的众多程序员共同维护和升级。它利用Libpcap从网络中采集数据并进行分析，从而判断是否存在可疑的网络活动;就检测模式 而言，它基本上是基于误用检测技术，对数据进行最直接最简单的搜索匹配。虽然Snort是一个轻量级的入侵检测系统，但是它的功能却非常强大，其特点如下:1）Snort代码短小，简洁，是一个开放源代码的软件，任何组织和个人都可以自由使用。而且移植性非常好，目前支持Linux系列，Solaris，BSD系列，IRIX，HP-UNIX，Windows系列等。2）Snort具有实时流量分析和日志IP网络数据包的能力。能够快速检测网络攻击，及时发出警报。它提供的警报方式很多，比如Syslog，Unixsocket，WinPopup等。3）Snort能够进行协议分析，内容的匹配和搜索。现在它能够分析的协议有TCP、UDP、和ICMP。将来可以支持更多IPX、RIP、OSPF等。它能检测多种方式的攻击和探测。4）Snort具有灵活的日志格式。支持Tcpdump的二进制格式，也支持ASCll字符形式，也支持XML格式的，使用数据库输出插件，还支持数据库日志格式。当前支持的数据库有Postagresql、Mysql，任何UnixODBC、Microsoft SQL Server、Oracle等。5）使用TCP流插件，Snort可以对TCP包进行重组。这种能力使得Snort可以对抗“无状态”攻击。无状态攻击是指攻击者每次只发送一个字节的数据包，逃过监视，然后被攻击主机的TCP栈会重新组合这些数据包，将攻击数据发送给目标端口上监听的进程，从而摆脱IDS的检测。6）使用Spade (Statistical Packet Anomaly Detection Engine)插件，Snort能够报告异常的数据包，从而对端口进行有效的检测。7）Snort还具有很强的系统防护能力。使用IPTables，IPFilter插件可以使入侵检测主机和防火墙联动，通过FlexResp功能，Snort能够命令防火墙断开恶意连接。8）扩展性好，对于新的攻击威胁反应迅速。Snort采用了一种简单的规则描述语言，最基本的规则知识包含四个域:处理动作、协议、方向、端口。可以对新的攻击迅速建立规则表。9）Snort支持插件，可以使用具有特定功能的报告，检测子系统插件对其进行功能扩展。当前支持的插件有:数据库日志输出插件、破碎包检测插件、端口扫描检测插件、HttpURL插件、XML网页生成插件等。3.1.2 Snort的功能 从监测模式而言，Snort属于网络入侵监测（IDS）的误用检测，它通过Libpcap库函数从网络中抓取数据包，对数据包进行解析，接着启动搜索引擎，将解释好的数据包和规则模式进行比较。如果匹配规则，则认为该入侵行为成立，使用规定的方法进行响应，然后结束一个数据包的处理过程，再抓取下一个数据包。如果没有匹配的规则，则是正常行为，直接返回，抓取下一个数据包进行处理。Snort是基于规则检测的入侵检测工具，即针对每一种入侵行为，都提炼出它的特征值，并按照规范写成检测规则，形成一个规则数据库。利用此规则库和捕获的数据包进行比较，来判断是否为入侵。目前，Snort的检测规则库主要针对缓冲区的溢出、端口扫描和CGI攻击等。Snort集成了多种告警机制来提供实时告警功能，包括：syslog,用户指定文件、UNIXSocket、通过SMBClient使用WinPopup对Windows客户端告警。Snort的查件机制使得它具有良好的扩展性和可移植性，用户可以根据自己的需要及时在短时间内调整检测策略，对于新的攻击威胁做出迅速反应。Snort作为开源软件填补了只有商业入侵检测系统的空白，可以帮助中小网络的系统管理员有效的监视网络流量和检测入侵行为。Snort一开始就作为一种免费的开源软件发布，只要遵循GPL协议，任何人都可以得到它的版本，安装使用。在Sourcefire上也可以获得Snort的商业解决方案。3.2 Snort体系结构分析Snort主要由两大部分组成，一是Snort可执行文件，二是Snort规则。Snort可执行文件能工作在两种模式下，一是Sniffer（包嗅探）模式，二是IDS（入侵检测）模式。当它工作在Sniffer模式下时，可以实时捕获网络中的所有数据，并将数据显示在屏幕或者记录在日志文件中。当Snort工作在IDS模式下时，系统可是实时检测网络中存在的攻击。予以报警或通知防火墙。首先通过配置文件确定应该加载哪些预处理插件和规则库。通过“规则”判断数据包中是否含有恶意内容。Snort规则是一种简单的描述语言，每一种攻击特征都可以使用一条或者多条规则描述。Snort采取了全新的方式组织这些规则，并且同时使用了多种匹配算法，使其能在较高速的网络环境中正常使用。Snort工作在IDS模式下时，如图31所示，由主控模块、解码模块。预处理模块、检测模块、输出模块几部分组成。主控制模块首先完成各类插件的初始化工作，设置运行参数，然后读取并解析规则文件，最终进入抓包和检测流程。解码模块完成对网络包的解码，并把解码后的内容保存。图31 Snort在IDS下的工作流程图32 Snort的体系结构1）Sniffer(数据包嗅探器)该子系统的功能是捕获网络数据包并按照TCP/IP协议的不同层次将数据包进行解析。Snort利用libpcaP库函数进行数据采集，该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数，并可以设置数据包的过滤器来捕获指定的数据。网络数据采集和解析机制是整个NIDS实现的基础，其中关键的是要保证高速和较低的丢包率，这不仅仅取决于软件的效率还同硬件的处理能力相关。对于解析机制来说，能够处理数据包的类型的多样性也同样非常重要，目前,Snort可以处理以太网，令牌环以及SLIP等多种类型的包。2）预处理器Snort的预处理器是介于数据包嗅探器与检测引擎之间的可插入模块，它的主要思想是在数据包送到Snort的检测引擎之前提供一个报警、丢弃数据包或修改数据包的框架。3）检测引擎检测引擎是Snort的核心。Snort根据规则库对预处理器送来的数据包进行匹配检测。为了能够快速而准确地进行检测，Snort用链表的形式对规则进行组织。检测引擎的主要性能指标是快速和准确。为了达到快速的目的，要求Snort的规则链表要进行分类和组织结构优化。为了达到准确的目的，要求规则的提取十分准确，并且编写十分精确和简洁的规则。检测引擎是Snort的核心，准确和快速是衡量其性能的重要指标。准确性主要取决于对入侵行为特征码提取的精确性和规则编写的简洁实用性，由于网络入侵检测系统是被动防御的，只能被动的检测流经本网络的数据，而不能主动发送数据包去探测。所以只有将入侵行为的特征码归结为协议的不同字段的特征值，通过检测该特征值来决定入侵行为是否发生。快速性主要取决于引擎的组织结构，是否能够快速地进行规则匹配。4）报警日志检测引擎检查后的Snort数据需要以某种方式输出。Snort对每个被检测的数据包都定义了如下的三种处理方式;alert(发送报警信息)、log(记录该数据包)和pass(忽略该数据句)。这些处理方式其实是具体定义在检测规则中的，具体的完成是在日志/报警子系统中。日志子系统允许将嗅探器收集到的信息以可读的格式或以tcpdump格式记录下来。报警子系统负责将报警信息发送到syslog、用户指定的文件、Unix套接字或数据库中。3.3 Snort入侵检测流程基于规则的模式匹配是Snort检测机制的核心。Snort的入侵检测流程分两大步：第一步是规则的解析流程，包括从规则文件中读取规则和在内存中组织规则；第二步是使用这些规则进行匹配的规则匹配流程。下面将依次介绍入侵检测的流程：3.3.1规则解析流程Snort首先读取规则文件，紧接着依次读取每一条规则。然后按照规则语法对其进行解析，在内存中对规则进行组织，建立规则语法树。Snort程序调用规则文件读取函数ParseRulesFile()进行规则文件的检查、规则读取和多行规则的整理。ParseRulesFile()只是Snort进入规则解析的接口函数，规则解析主要由ParseRule()来完成。ParseRule()解析每一条规则，并将其加入到规则链表中。parseRule()的流程如图33所示：图33 规则解析流程ParseRule()函数通过调用RuleType()函数提取规则类型，如果规则类型是Pass、fog、alert、activate、dynamic类型，那么就将规则按照规则语法结构进行解析。首先调用proeessHeadNode()处理规则头，再调用proeessRuleoption()处理规则选项。如果提取的类型是预处理插件关键字PreProcess、输出插件关键字output、配置命令config、变量定义var等则调用相应的函数进行处理，处理后跳出本条规则解析，进行下一条规则解析。3.3.2规则匹配流程Snort对从网络上捕获的每一条报文和规则语法树进行扫描匹配，首先按照默认的顺序遍历activation、dynamic、alert、pass、log的规则子树。然后根据报文的IP地址和端口号，在规则头链表中找到相对应的规则头。最后，将这条数据报文匹配规则头附带的规则选项组织为链表。首先匹配第一个规则选项，如果匹配，则按照这条规则所定义的规则行为做出相应的处理结果。如果不匹配，接着匹配下一个规则选项。若数据报文与规则选项列表中所有的规则都不匹配，则说明此条数据报文不包含入侵行为的特征。Snort规则匹配总体流程如图34所示：图34 Snort规则匹配总体流程3.4 Snort的规则结构Snort的规则保存在规则文件中。规则文件是普通的文本文件，我们可以方便地对其进行编辑。规则文件是Snort的攻击知识库，每条规则包含一种攻击的标识，Snort通过这些标识来识别各种攻击行为。Snort规则可以划分为两个逻辑部分。如图35所示:图35 Snort规则的结构3.4.1 规则头规则头包含报文关键的地址信息、协议信息以及当报文符合此规则时各元素应该采取的行为。Snort规则头部的主要结构如图36所示:图36 Snort 规则头部结构1）规则动作规则的第一个字段就是规则动作，规则动作告诉Snort在规则匹配成功时要做什么。Snort中定义了五种可选的动作:alert、log、pass、activate和dynamic。Alert:使用选择的报警方法生成一个警报，并记录该报文。Log:使用设定的记录方法记录这个报文。Pass:忽略这个报文。Activate:进行报警，然后激活另一条dynamic规则。Dynamic:等待被一个activate规则激活，然后进行log。此外，如果想对某些规则使用特定的输出插件，而不是默认的输出方式，这时可以自己定义所需的规则类型。2）协议字段规则的下一字段是协议类型。Snort当前能够分析的协议有四种:TCP、UDP、ICMP和IP。将来会更多，例如IGRP、OSPF、IPX和RIP等。3）地址字段端口号可以用几种方法表示，包括“any”、静态定义范围、以及通过否定操作符“!”。键值“any”可以被用来定义任何地址。Snort没有提供根据iP地址查询域名的机制。地址就是由直接的数字型iP地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示C类网络，/16表示B类网络，/32表示一个特定的机器的地址。例如，/24代表从到55的地址块。在这个地址范围的任何地址都匹配使用这个/24标志的规则。这种记法给我们提供了一个很好的方法，来表示一个很大的地址空间。4）端口信息端口号可以用几种方法表示，包括“any”端口、静态端口定义范围、以及通过否定操作符“!”。“any”端口是一个通配符，表示任何端口。静态端定义表示一个单个端口号，例如，21表示tcp，23表示telnet，80表示http等等，端口范围用范围操作符“:”表示。5）方向操作符方向操作符“一”表示规则所施加的流的方向。方向操作符左侧的地址和端口号被认为来自源主机，方向操作符右边的ip地址和端口信息是目标主机。还有一个双向操作符“”，它告诉Snort把地址/端口号对既作为源又作为目标来考虑，这对于记录/分析双向数据流很方便。3.4.2 规则选项 规则头定义了规则的动作、所匹配网络报文的协议、源地址、目的地址、源端口以及目标端口等信息;规则选项部分则包含了所要显示给用户查看的警告信息以及用来判定此报文是否为攻击报文的其它信息。对规则选项的分析是Snort检测引擎的核心，规则选项是在规则头的基础上作进一步分析，它包含报警信息、入侵特征以及该特征在数据包位置的相关信息。有了规则选项才能识别复杂的攻击。所有选项用分号“;”分隔，选项关键字和它的值之间用冒号“:”分隔。规则选项之间是逻辑与的关系。即所有的规则选项都匹配时，才触发该规则。Snort目前有四十几个选项关键字，按其功能可分为八类:1）关于报警信息的选项关键字:msg、referenee、sid、rev、classtype、priority。2）关于内容检测的