入侵检测系统分析及其在Linux下的实现

　　IP地址有一个“非”操作。这个操作符号用来匹配所列IP地址以外的所有IP地址。“非”操作使用符号“！”表示。例如任何由外部网络发起的连接可以表示为：alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111。

　　端口号可以用几种方法指定：用“any”、数字、范围以及用“非”操作符。“any”指定任意端口。指定端口范围用“：”它可以指定一个范围内的所有端口。如：log udp any any -> 192.168.1.0/24 1:1024。该条规则记录任何从任意主机发起的到目标网络任何主机上的1～1024端口的UDP协议数据包。

　　方向操作符“->”规定了规则应用的数据流方向。其左边的IP地址为数据流的起点，右边为终点。双向操作符为“<>”，它告诉系统应该关注任何方向的数据流。

　　规则选项形成了检测系统的核心，一个规则的规则选项中可能有多个选项，不同选项之间使用“；”分隔开来，他们之间为“与”的关系。选项由关键字和参数组成，每个关键字和它的参数使用冒号“：”分隔。这些关键字主要包括：

　　● msg：在警报和记录的数据中打印消息。

　　● logto：将数据包记录到一个用户指定的文件中。

　　● ttl：检测IP数据包的TTL域。

　　● id：检测IP数据包的分段ID域是否等于特定的值。

　　● nocase：设定搜索中使用与大小写无关的方式。

　　● dsize：检测数据包的有效荷载是否等于特定的值。

　　● content：在数据流中搜索特定的模式串。

　　● offset：设定content中的起点。

　　● depth：设定content中的终点。