背景:記錄201909-202009期間對開源網路威脅檢測引擎suricata的一些理解
Suricata
Suricata是一個免費和開源,成熟,快速且強大的網路威脅檢測引擎,
Suricata引擎能夠進行實時入侵檢測(IDS),行內入侵防御(IPS),網路安全監視(NSM)和脫機pcap處理,
Suricata使用強大而廣泛的規則和簽名語言來檢查網路流量,并具有強大的Lua腳本支持來檢測復雜的威脅,
通過YAML和JSON之類的標準輸入和輸出格式,與現有SIEM,Splunk,Logstash / Elasticsearch,Kibana和其他資料庫之類的工具的集成變得輕松,
Suricata快速社區驅動的開發專注于安全性,可用性和效率,
Suricata專案和代碼由開放資訊安全基金會(OISF)擁有并提供支持,該組織是一個非營利性基金會,致力于確保Suricata作為一個開源專案的發展和持續成功,
from: https://suricata-ids.org
開源IDS
Snort
Suricata
Bro (Zeek)
OSSEC
Samhain Labs
OpenDLP
如下文章對比了一些開源IDS專案的特性
from: https://cybersecurity.att.com/blogs/security-essentials/open-source-intrusion-detection-tools-a-quick-overview
對Suricata優勢總結如下:
- 較為完善的多執行緒處理模型
- 支持多種流量獲取方式易擴展
- 支持多種日志輸出形式易擴展
- 支持單邊流量決議
- 支持部分隧道協議的決議
- 支持部分常見應用協議的特征識別
- 支持部分常見應用協議的檔案提取
- 兼容snort規則并有擴展
- 穩定性優秀、社區活躍
計劃內要分析的Suricata特性
- 整體框架分析
- 執行緒模型分析
- 資料流程分析
- 流量獲取框架分析
- 流管理分析
- TCP/UDP Session/Segment/Stream分析
- 協議決議框架分析
- 規則匹配框架分析(優先級低)
- 檔案提取框架分析
- 日志輸出框架分析
- 隧道協議實作分析
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/1405.html
標籤:python