1. 数据包嗅探与日志记录

• 网络流量监控：实时捕获和分析网络数据包（支持以太网、无线等）。

• 日志记录：将数据包以二进制格式（pcap）或文本格式存储，供后续分析。

---

2. 协议分析与解码

• 深度协议解析：支持多种协议（如TCP/UDP/ICMP、HTTP、FTP、DNS、SMTP等），识别异常字段或违规内容。

• 应用层检测：分析HTTP URI、请求头、邮件附件等应用层数据。

---

3. 入侵检测（IDS）

• 规则匹配引擎：基于预定义或自定义规则检测攻击行为（如SQL注入、缓冲区溢出、端口扫描等）。

  • 规则类型：

    • Header Rules：检查IP、端口、协议头等。

    • Payload Rules：匹配数据包内容（如恶意字符串、正则表达式）。

    • 阈值规则：防止警报泛滥（如threshold: track by_src, count 5, seconds 60）。

• 预定义规则集：可从社区（如Emerging Threats、Snort官方规则）下载更新。

---

4. 告警与响应

• 多种警报模式：

  • 控制台实时输出、Syslog、数据库（MySQL/PostgreSQL）记录、邮件/短信通知。

• 响应动作：

  • 被动告警（IDS模式）或主动阻断（IPS模式需结合inline模式或防火墙联动）。

---

5. 预处理器与高级检测

• 预处理插件：

  • Frag3：IP分片重组，防御IP分片攻击。

  • Stream5：TCP流重组，对抗逃避技术（如会话分割）。

  • HTTP Inspect：规范化HTTP流量，检测规避手法。

  • SSL/TLS解密（需配置密钥）。

• 异常检测：识别协议异常（如畸形的DNS查询）、流量洪水（DDoS）。

---

6. 自定义与扩展性

• 规则自定义：用户可编写规则（如alert tcp any any -> 192.168.1.0/24 80 (content:"/etc/passwd"; msg:"ETC_PASSWD Access";)。

• 插件支持：通过动态模块扩展功能（如GeoIP定位、恶意文件检测）。

• 输出模块：支持UNIX Socket、XML、CSV等格式。