网络管理&入侵检测工具

什么是网络操作系统 （NOS）？ ................................................................................................. 1

什么是网络操作系统Netware？ ............................................................................................ 2

什么是SMB？ ................................................................................................................................. 3

什么是MIB ...................................................................................................................................... 4

什么是Sniffer................................................................................................................................... 4

网管软件........................................................................................................................................... 5

工具名称:SolarWinds Engineer Edition ................................................................................... 5

工具名称:NetWatch套件 ......................................................................................................... 5

工具名称:WhatsUp Gold ......................................................................................................... 5

工具名称:Etherpeek NX、Sniffer Distributed ......................................................................... 5

工具名称:Packeteer PacketShaper ........................................................................................... 6

工具名称:NMIS(网络管理信息系统) ..................................................................................... 6

工具名称:Observer ................................................................................................................... 6

工具名称:xsight ........................................................................................................................ 6

工具名称:MRTG ...................................................................................................................... 7

工具名称:PingPlotter、FREEPing ........................................................................................... 7

工具名称:OpenView ................................................................................................................ 7

工具名称:NetScout ................................................................................................................... 7

工具名称:Servers Alive ............................................................................................................ 7

工具名称:SNMPc Enterprise.................................................................................................... 8

工具名称:NexVu ...................................................................................................................... 8

工具名称:Qcheck、Chariot ..................................................................................................... 8

IP Monitor的操作规范 .................................................................................................................... 8

ipMonitor 6.0 功能简介：..................................................................................................... 9

ipMonitor 6.0 监控状况摘要： ............................................................................................. 9

ipMonitor 6.0历史事件记录情况概览： .............................................................................. 10

1． LOG文件：................................................................................................ 10

2． 历史配置文件： ..................................................................................................... 10

3． 历史事件总结（Report的配置和输出） ............................................................. 10

PING 和 HTTP的监控： ............................................................................................ 11

安全宝典五大入侵检测系统对黑客说不 ..................................................................................... 11

1.Snort ..................................................................................................................................... 11

2.OSSEC HIDS ....................................................................................................................... 12

3.Fragroute/Fragrouter ............................................................................................................ 13

4.BASE ................................................................................................................................... 13

5.Sguil ..................................................................................................................................... 13

什么是网络操作系统 （NOS）？

网络操作系统（NOS）是网络的心脏和灵魂，是向网络计算机提供服务的特殊的操作系统。它在计算机操作系统下工作，使计算机操作系统增加了网络操作所需要的能力。例如像前面已谈到的当在LAN上使用字处理程序时，用户的PC机操作系统的行为像在没有构成

LAN时一样，这正是LAN操作系统软件管理了用户对字处理程序的访问。网络操作系统运行在称为服务器的计算机上，并由联网的计算机用户共享，这类用户称为客户。

NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。一般情况下，NOS是以使网络相关特性达到最佳为目的的，如共享数据文件、软件应用，以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。一般计算机的操作系统，如DOS和OS/2等，其目的是让用户与系统及在此操作系统上运行的各种应用之间的交互作用最佳。

为防止一次由一个以上的用户对文件进行访问，一般网络操作系统都具有文件加锁功能。如果系统没有这种功能，用户将不会正常工作。文件加锁功能可跟踪使用中的每个文件，并确保一次只能一个用户对其进行编辑。文件也可由用户的口令加锁，以维持专用文件的专用性。

NOS还负责管理LAN用户和LAN打印机之间的连接。NOS总是跟踪每一个可供使用的打印机，以及每个用户的打印请求，并对如何满足这些请求进行管理，使每个端用户感到进行操作的打印机犹如与其计算机直接相连。

NOS还对每个网络设备之间的通信进行管理，这是通过NOS中的媒体访问法来实现的。

什么是网络操作系统Netware？

鉴于Novell公司的Netware是目前使用最普遍的一种网络操作系统，下面将对这种操作系统进行讨论。

Novell公司的Netware 3.X和4.X是32位的NOS，可运行在Intel 80386和Intel 80486处理器上。这种NOS支持所有的主流台式机操作系统，其中包括DOS,Microsoft Windows，Apple Macintosh， OS／2和Unix，如图5所示。Novell公司从1983年公布Netware第一个版本以来，

已逐渐演变成一种十分完善的NOS。从技术角度来说，Netware 的成功应归功于其体系结构设计的特点：图5

（1）支持所有的主流台式机操作系统，并保留了台式工作站具有的交互操作方式。每个工作站看到的诸如打印机和硬盘之类的网络资源犹如是与本地资源进行交写的一种扩充。例如，网络驱动器可看作是DOS工作的另一个硬盘， 同时又可看作是UNIX工作站的可安装的文件系统。

（2）Netware具有的灵活性表现在它可利用范围广泛的第三方的硬件设备和元件， 其中包括文件服务器，磁盘存储系统、网络接口卡、磁带备份系统和其它元件。

（3）支持所有主流局域网标准，如Ethernet(IEEE 802.3)、令牌环(IEEE 802.5)、ARCnet和Local Talk等。

（4）将高效和高速的机制建在所有NOS组成部分的核心结构中，其中包括文件系统， 高速缓冲系统和协议堆栈中

（PS： 从这开始是本人自己写的～ 另外netware当初在世界可以说是现在微软的地位 可以说更高 那个时期 基本上都称局域网为novell网 局域网操作系统netware占据了主

导地位 ，但是 不得不佩服比尔盖茨这个计算机和商业上的天才 他通过购买16位微机操作系统和成功投标

于IBM公司的IBM－PC发家以来，采取了培养客户群的策略 并且决定性的采用苹果公司的首先开发的视窗系统 笔者（不是我 书上的）曾总结了用户的大特点 1懒2笨3急性子的特点

迅速获得市场（看出来了把 盖茨老大抓住我们的弱点。。。。）在windowsNT4。0面世以后

一个性能优良的网络操作系统就这样击败了 （netware为什么会被击败 个人感觉 太注重局域网 没有注重当时人们需要局域网和互联网铰链 而盖茨老大看准了这一点 IT界 不光要有技术

商业头脑很重要）

什么是SMB？

为了进行通信，我们人类需要同一种语言，如汉语或英语，计算机可不一样了，它们使用的语言规则不能称之为语言，而要称为协议。TCP/IP，NETBEUI，和Appletalk等都是协议。我们现在大家都知道什么TCP/IP，听说西安出租车司机都在谈这个东西。但是还有另外一种使用十分广泛的协议称为服务器信息块（Server Message Block）标准，它可以用户共享文件，磁盘，目录，打印机，在某些情况下甚至可以共享COM端口。Microsoft总希望把好东西叫成自己的，它希望将基于SMB的网络称为Windows网络，把这种协议叫CIFS，但我们在本文中还是称为SMB吧。

一个SMB客户或服务器可以和许多种机器和网络相互连接，这里就不一一说明了。下面是它们的名称：Warp Connect，Warp 4，LAN Server，Lan Server/400，IBM PC Lan和IBM的Warp Server，在SMB模式下的LANtastic，MS-Client，Windows for Workgroups，Windows 95，LAN Manager和Windows NT Workstation & Server，DEC的Pathworks，LM/UX，AS/UX，Syntax 和Samba，这里面的东西，我们很多都没有使用过。因此不能加以详细介绍。

既然东西这么多，那它们能不能相互协同工作呢？从短期来看是可以的，但是长期可能就有问题，因此许多生产厂商的修改使得SMB成了对话式的协议，但是用户至少可以使用SMB兼容系统进行打印机和文件的共享，因此不同厂商的产品有所差异，因此在访问异种网时可能有一些麻烦。当说SMB不说NetBIOS和NetBEUI是不可能的，因此基于SMB的网络使用的底层协议虽然不一样，但是最基本的是基于NetBEUI的NetBIOS和基于TCP/IP的NetBIOS，有时候我们也把后者称为RFC/Netbios或TCPBEUI。

SMB客户或服务器总是希望使用NETBIOS接口，换而言之，无论底层使用什么协议，SMB总希望使用统一的接口和远程系统进行通信。我们可以把NETBIOS想象为乘客，而把它下层的协议想像成随便什么交通工具，这些交通工具载着乘客从A地到达B地，完成通信。那么在使用NetBEUI时会有什么问题呢？NetBEUI的问题我们还可以用上面的例子进行说明，在这种环境下，NetBEUI基本上就是一个NETBIOS，它被直接传上网络，这个乘客本来可以坐车的，现在要自己从A地走到B地。NETBEUI采用一种广播式的发送方式，它象一个在大街上到处大喊着找人的乘客，这样虽然也找到，而且有时候速度还挺快，可是网络（这里我们把网络比喻为大街）会变得十分乱。在默认情况下，Windows和OS/2 Warp

使用NETBEUI作为默认协议，因此这种协议不同任何配置即可使用。

我们上面还提到了在TCP/IP的基础上使用NetBIOS，那么我们为什么要使用TCP/IP呢，我们在什么时候要使用这种协议呢？因为用TCP/IP协议在计算机间进行通信有它的优势，这种方法不采用广播式的发送方法，而采用直接发送的方法，这样可以让网络内的无用噪声减少。而基于TCP/IP使用NetBIOS是一个非常流行的使用方法（当然用户也可以使用别的通信协议传送NETBIOS信息），因为互联网的广泛使用，计算机上一般都安装了TCP/IP，这对使用提供了方便，事实上，Samba甚至要求使用基于TCP/IP的NetBIOS，而根本不支持基于NetBEUI的NetBIOS。

因为基于TCP/IP使用NetBIOS时要使用到TCP/IP，用户必须将安全性考虑在内，这一点十分重要，不然出了问题不好办。如果用户现在使用的是Windows 95，他可能会注意到没有什么基于TCP/IP的NetBIOS，只有一个NetBEUI选项，这是因为用户没有安装TCP/IP协议，在用户安装了TCP/IP之后，就会自动出现基于TCP/IP的NetBIOS。这时，出于安全性的考虑，在网络配置中的TCP/IP一项上请不要选择文件和打印机共享。能否将OS/2作为SMB客户连接到Windows NT或Windows for Workgroups上呢？这当然是可以的，OS/2 Warp 4和Warp Connect能够和NT以及Workgroup等其它微软产品通信，在OS/2 Warp 4中就内建了TCP/IP，NETBEUI和IPX，随着用户的需要也可以再添加新的协议，OS/2 Warp 4中还内建了一个程序称为“IBM文件和打印客户”请，大家注意这个程序的使用。如果用户没有Warp 4或Warp Connect，那么使用免费的Microsoft LAN Manager Client for OS/2也可以达到同样的目的。最后我们说一下如何使MSIPX协议和NT或NetWare服务器连接。基于IPX的NETBIOS也称为IPXBEUI或MSIPX，在OS/2 Warp 4和Warp Connect中，用户可以找到基于IPX的NetWare NetBIOS仿真，这就可以了。

什么是MIB

网络管理信息库（MIB）是网络管理数据的标准，在这个标准里规定了网络代理设备必须保存的数据项目，数据类型，以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问，就可以得到该网关的所有统计内容。再通过对多个网关统计内容的综合分析即可实现基本的网络管理。

什么是Sniffer

现在人们谈到黑客攻击，一般所指的都是以主动方式进行的，例如利用漏洞或者猜测系统密码的方式对系统进行攻击。但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视，那就是利用Sniffer进行嗅探攻击。

Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路

由器曾经被黑客攻人，并嗅探到大量的用户口令。

网管软件

工具名称:SolarWinds Engineer Edition

网址:

推荐理由:有读者说:"在不到一小时的时间内，我从网站上下载并安装了SolarWinds的授权版本。不久后，我就可以制作线路使用报告了，而且线路使用和基本响应时间功能非常棒，此外，数据还被保存下来，使我可以一个星期、一个月或一年后查看数据。" 工具名称:NetWatch套件

公司名称:Crannog Software

网址:/netwatch.html

推荐理由:有读者认为这种软件由简单但却有效的点解决方案构成，这些解决方案在使用和效力上超过了他们所有的更大型的网络管理产品。NetFlow Monitor是另一种解决流量可见性问题的低成本解决方案，但NetWatch使网管员可以通过简捷的点击过程定制创建网络地图。而且，这种软件基本上不需要培训和维护。

工具名称:WhatsUp Gold

公司名称:Ipswitch

网址:

推荐理由:用户对它的评价是具有非常昂贵的产品才拥有的很多功能，而价格却非常低廉。还有读者称:"我们能够在几分钟之内安装好软件，自动发现大多数网络设备，并开始向我们的文本电话机发送状态报警。此外，我们还监测不应出现问题的服务和Web内容变化。"

另一位用户还利用它"报告简单的服务水平协议状况，让我的用户无法在真正发生了多少次故障上弄虚作假。"

工具名称:Etherpeek NX、Sniffer Distributed

公司名称:WildPackets、NAI

网址:

推荐理由:一位读者推荐Etherpeek NX 2.0作为一种"价格低廉、功能优秀"的协议分析仪。Etherpeek NX 2.0帮助他解决断续出现的、复杂的应用问题。

另一种读者推荐的工具是来自NAI的Sniffer Distributed。他觉得如果工具包中缺少这种工具，他将无法生存。

工具名称:Packeteer PacketShaper

网址:

推荐理由:一位读者说:"当用于应用或主机上时，我们对报告和配置的粒度感到满意。它使我们可以找到一条完全拥塞的768K bit/s WAN链路，有效地从它里面得到更多的带宽。"

工具名称:NMIS(网络管理信息系统)

网址:.au/nmis/

推荐理由:它可以通过开放源代码GPL许可证免费使用，可以运行在Linux上。有读者说，它提供的支持"比我得到的任何支持都好。"该工具受到欢迎的另一个原因在于它带有仪表板的用户友好的Web界面，支持"在一个页面中以一种简要的、分级的和色块方式显示我所有200台网络设备的状态，从而使我可以轻松地找到问题的根源和范围。"

工具名称:Observer

公司名称:Network Instruments

网址:

推荐理由:这款工具由于"是目前功能最强和最多样化的平台"而成为读者的选择。 工具名称:xsight

公司名称:Aprisma Spectrum

网址:

推荐理由:有读者喜欢用Aprisma Spectrum公司的xsight来进行故障隔离，他说:"xsight与Attention Software一起使用可以令人信服地解决报警问题并向他人发出寻呼。"他还使用CiscoWorks来管理和维护他们的Cisco网络的防火墙和配置。

工具名称:MRTG

网址:http://www.mrtg.it

推荐理由:据一位读者称，多路由流量图形工具(MRTG)是其最爱，他说:"MRTG在收集有关网络带宽使用的统计数据和服务器监控方面表现非常棒。"MRTG不仅是免费的，而且还是通过GNU(通用公用许可)提供的。

工具名称:PingPlotter、FREEPing

公司名称: Nessoft、Tool4ever

网址:

推荐理由:PingPlotter是读者推荐的一项价格仅为15美元的Ping和Traceroute工具。一旦出现问题，这位读者就启动该程序来查找问题出在哪里。FREEping是另一项读者推荐的可以免费下载的Ping工具。一位读者反映，这项工具"虽然非常简单，但却在掌握网络对象的可达性方面非常有用。"

工具名称:OpenView

公司名称:HP

网址:

推荐理由:HP OpenView受到推荐是因为它可以提供"非常好且非常易好用的映像"。另一个原因是"可以对其进行编程，来做你想要做的任何事情"，尤其是在出现问题时将相关性信息通过E-mail进行报警。

工具名称:NetScout

公司名称:NetScout

网址:

推荐理由:一位读者推荐NetScout，是因为它具有良好的故障检测和性能管理功能。这位读者说:"虽然它是软件和硬件的融合体，但却能与大多数的网络元件(交换机和路由器)协调工作，而且，大家从一个视图就能了解企业的运行状况。"

工具名称:Servers Alive

公司名称:Woodstone

网址:http://www.woodstone.nu/salive/

推荐理由:一位读者称，它之所以喜欢Servers Alive，是因为它很简单，能够很好地

完成网络事件任务和进行状态监控，此外，它的安装相对来讲也很容易。他经营着一个小网络，发现这个简单而便宜的工具在他的小网络环境里运行得非常好，并可通过邮件组获得支持。

工具名称:SNMPc Enterprise

公司名称:Castlerock Computing

网址:

推荐理由:一位用户在推荐SNMPc Enterprise时表示:"与其他的大家伙相比，它更加易用，而且相当便宜。它的可扩展性非常惊人，使用它的新版本更容易管理网络管理系统本身。"他认为该工具的唯一不足就是，它只能在Windows下运行。但你只需花极少的时间就可以习惯这个软件包，一旦习惯了之后，用起来就更加容易了。

工具名称:NexVu

公司名称:NexVu

网址:

推荐理由:有读者称NexVu"是我们曾使用过的工具之中最有趣的一项工具,它可以是性能监控工具、协议分析工具、RMON探头以及终端服务器......所有这些功能都融为一体"。作为探测工具的备份选择，它非常具有吸引力。此外，它还可以提供有关该读者的Siebel应用系统的实时性能报告。

工具名称:Qcheck、Chariot

公司名称:NetIQ

网址:

推荐理由:有一位读者在推荐NetIQ Qcheck和Chariot时称，Qcheck是一项免费工具，"它超级简单，能够极快地对两个主机之间的网络性能进行检查，与故障检修工具一样棒"。他说他的求助台使用的就是这种工具。它要求在被测主机上安装endpoint代理。这些endpoint是免费的，而且可供各种各样的系统使用。他说:"我曾要求在我们企业里的每台台式机和服务器上装载这样的endpoint，从而减少了故障检修的次数。"关于Chariot，他说，Chariot"可以对我们所能想象得到的任何网络进行压力测试。它在概念设计和论证方面表现的非常好。添加Sniffer插件之后，就可以使用实际数据对网络进行测试，更不用说它的易用性了。"提醒大家注意的是，在把这种工具交给未经培训的新手之时，你必须格外小心，因为它"几乎可以把任何网络都给踩成碎片"。

IP Monitor的操作规范

ipMonitor 功能简介 2

ipMonitor 6.0 监控状况摘要 3

ipMonitor 6.0 历史事件记录及报告情况 4－5

PING 和 HTTP的监控 5

IP Monitor的操作规范 6－7

ipMonitor 6.0 功能简介：

ipMonitor是安装在Windows NT系统上的Web Server；用HTTP协议通信。 我们可以用Web浏览器监测报告情况并进行配置。

ipMonitor 的"monitoring engine" 运用了超过40种不同的监控方式去测试IP设备, NT服务, SQL数据库和系统级服务的可靠性和响应性。

常用监控种类包括:

? HTTP*

? SQL*

? SSL

? ASP

? OP3*

? IMAP4*

? SMTP

? FTP*

? SNMP*

? DNS*

? TRAP*

? LINK*

? LDAP

? Kerberos 5

? Active Directory

? Drive Space

? Notes transport

上述9种划星号的监控类型检测Intranets, Extranets和 E-commerce处理情况的质量。 IpMonitor提供组检测功能。

IpMonitor还提供了分级报警功能。

ipMonitor 6.0 监控状况摘要：

"Global (All Monitors)" 包括了经配置后的所有监控项。

监控的状况可直关的由颜色判定:

绿 状况良好

黄 状况下降或故障

红 状况下降或故障已形成，报警和恢复活动已发生。

深红 虽被监控资源须维护，但ipMonitor 被配置为忽视故障的发生。

灰 暂时放弃监控

ipMonitor 6.0历史事件记录情况概览：

1． LOG文件：

LOG文件依ipMonitor配置的活动

"History Event" 日志列出了所有依ipMonitor配置指定的活动。

Security事件被分为以下几类:

? Monitor failures

? Monitor recoveries

? Failure notifications

? Recovery notifications

所有发生过的事件都以时间先后排序记录在LOG文件中其并供诊断故障用。 此LOG文件将每月导出一次。

当前日志文件的位置：

当前日志文件与ipMonitor的安装文件在同一位置。 具体位置并不确定，依安装时的DRIVER不同而不同。LOG文件在以下目录：

c:\ipmonitor\ids\probe.log

另外，成功的历史事件和单项监控历史记录也可被记入日志文件。

（Profiles/Alert: Record to Log File.）Related Topics...

History Events Reporting

History Events Content Selector

2． 历史配置文件：

历史配置文件的导出：

导出全部活动日志（CSV file格式输出）

选择数据导出按钮导出。

其中有DataTable.csv和RelationshipsTable.csv两个文件需导出。

大部分图形软件和数据库包支CSV输入.

（关于配置的历史数据将每月导出一次，以备份。）

3． 历史事件总结（Report的配置和输出）

1）点击左侧的Report按钮进入

2）点击左上方的ADD REPORT按钮进入

3）键入Report Name――》

选择按组生成report或按Monitor(s)生成report――》

选择不同的报告模式及时间范围――》

选择趋势报告或详细报告及3D或2D模式――》

勾选想生成的monitor名――》Done

PING 和 HTTP的监控：

关于PING：

工作原理：发送ICMP包，检测有效回应。

注：大多防火墙不准ICMP包的收发，所以除非防火墙配置准许特定地址PING, PING服务不能实现。

关于HTTP:

工作原理： 检测接收到的信息流和处理情况以决定WEB服务是否良好。 对默认页的请求时时发出并依接收情况判定HTTP协议的良好状况。

注：因需避免在检测某WEB时对该WEB造成流量增加的副面影响。 我们应选择”Head requst 而不是 Get选项。 但WEB在计算访问量时仍然会将其记录在内。

安全宝典五大入侵检测系统对黑客说不

更新时间：2007-11-27 09:32

关 键 词：IDS 攻击 黑客

阅读提示：入侵检测系统（IDS）检查所有进入和发出的网络活动，并可确认某种可疑模式，IDS利用这种模式能够指明来自试图进入（或破坏系统）的某人的网络攻击（或系统攻击）。

入侵检测系统（IDS）检查所有进入和发出的网络活动，并可确认某种可疑模式，IDS利用这种模式能够指明来自试图进入（或破坏系统）的某人的网络攻击（或系统攻击）。入侵检测系统与防火墙不同，主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问，目的在于防止入侵，但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时，评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲，IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。

1.Snort：这是一个几乎人人都喜爱的开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测方法结合起来。其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处

理程序，Snort

可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意，用户需要检查免费的BASE来分析Snort的警告。如图：

2.OSSEC HIDS：这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志。如图展示的是Windows平台的OSSEC：

3.Fragroute/Fragrouter

：是一个能够逃避网络入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲，这个工具是用于协助测试网络入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。可不要滥用这个软件呵。

4.BASE：又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5.Sguil：这是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。其主要部件是一个直观的GUI界面，可以从Snort/barnyard提供实时的事件活动。还可借助于其它的部件，实现网络安全监视活动和IDS警告的事件驱动分析。如图：

本文来源：https://www.bwwdw.com/article/bgt1.html