Snort入侵检测系统规则集的优化

入侵检测系统（IDS）从计算机网络系统的若干关键点收集信息（如系统日志、审计数据和网络数据包等），然后通过分析这些信息来判断网络系统中是否有违反安全策略的行为和是否存在攻击。入侵检测依赖于两个假设：①用户和程序的活动是可以观察的。例如：系统审计机制。②正常活动和入侵（异常）活动有截然不同的行为。异常的活动被标识为入侵。入侵检测系统有多种分类。