業務利用のIDSとしてのSnortを検証する 第2回:Snortのアーキテクチャ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.19(火)

業務利用のIDSとしてのSnortを検証する 第2回:Snortのアーキテクチャ

特集 特集

●Snortのアーキテクチャ

Snortは複数のモジュールから構成されており、それぞれが協調して動作することにより、全体がNIDSとして動作するというアーキテクチャを採用している。今回は、Snortのアーキテクチャの概要について解説を行う。

全体の構成イメージを以下に図として示しておくので、事前に参照していただきたい。
https://www.netsecurity.ne.jp/img4/architecture.gif

(1)パケットデコーダ

パケットデコーダはパケットの取り込みを行うモジュールで、データリンク層レベルのパケット解析を行う。SnortはEthernetのみならず、FDDI やToken Ringなどにも対応しているが、ここでそのデータリンク層レベルの違いを吸収し、次のモジュールであるプリプロセッサが処理することができる形に整形するという役割を担っている。

設定可能な箇所もとんどなく、普通にSnortを利用する限りにおいては特に意識することはほとんどないだろう。


【執筆:NTT東日本セキュリティオペレーションセンタ 日吉 龍】
 URL : http://www.bflets.dyndns.org/
著作物:不正侵入検知[IDS]入門 ――Snort&Tripwireの基礎と実践
 http://www.gihyo.co.jp/books/syoseki.php/4-7741-1985-7

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

人気過去記事

もっと見る

人気過去記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×