1.簡(jiǎn)介

Suricata是一個(gè)免費(fèi)展鸡、開源姨丈、成熟畅卓、快速、健壯的網(wǎng)絡(luò)威脅檢測(cè)引擎蟋恬。Suricata引擎能夠進(jìn)行實(shí)時(shí)入侵檢測(cè)(IDS)翁潘、內(nèi)聯(lián)入侵預(yù)防(IPS)、網(wǎng)絡(luò)安全監(jiān)控(NSM)和離線pcap處理歼争。Suricata使用強(qiáng)大而廣泛的規(guī)則和簽名語言來檢查網(wǎng)絡(luò)流量唐础，并提供強(qiáng)大的Lua腳本支持來檢測(cè)復(fù)雜的威脅。使用標(biāo)準(zhǔn)的輸入和輸出格式(如YAML和JSON)矾飞，使用現(xiàn)有的SIEMs一膨、Splunk、Logstash/Elasticsearch洒沦、Kibana和其他數(shù)據(jù)庫等工具進(jìn)行集成將變得非常簡(jiǎn)單豹绪。Suricata項(xiàng)目和代碼由開放信息安全基金會(huì)(OISF)擁有和支持，OISF是一個(gè)非盈利基金會(huì)申眼，致力于確保Suricata作為一個(gè)開源項(xiàng)目的開發(fā)和持續(xù)成功掀序。?

2.特性

（1）IDS/IPS

Suricata實(shí)現(xiàn)了一個(gè)完整的簽名語言來匹配已知的威脅碑诉、策略違反和惡意行為舒憾。Suricata還將檢測(cè)它所檢測(cè)的流量中的許多異常香拉。Suricata能夠使用專門的新興威脅Suricata規(guī)則集（https://www.proofpoint.com/us/products/et-intelligence）和VRT規(guī)則集（https://snort.org/talos）。

（2）高性能

一個(gè)Suricata實(shí)例就可以檢查數(shù)千兆的流量濒翻。該引擎是圍繞多線程屁柏、現(xiàn)代、干凈和高度可伸縮的代碼庫構(gòu)建的有送。本地支持硬件加速（多個(gè)供應(yīng)商）和通過PF_RING和AF_PACKET淌喻。

（3）協(xié)議自動(dòng)檢測(cè)

Suricata將自動(dòng)檢測(cè)任何端口上的協(xié)議，如HTTP協(xié)議雀摘，F(xiàn)TP協(xié)議裸删，并應(yīng)用適當(dāng)?shù)臋z測(cè)和日志記錄邏輯。這大大有助于找到惡意軟件和CnC通道阵赠。

（4）NSM:不僅僅是IDS

Suricata可以記錄HTTP請(qǐng)求涯塔、記錄和存儲(chǔ)TLS證書、從流中提取文件并將它們存儲(chǔ)到磁盤清蚀。完整的pcap捕獲支持簡(jiǎn)單的分析匕荸。所有這些都使Suricata成為網(wǎng)絡(luò)安全監(jiān)視(NSM)生態(tài)系統(tǒng)的強(qiáng)大引擎。

a.TLS/SSL日志記錄和分析:由于Suricata的TLS解析器轧铁，您不僅可以在規(guī)則集語言中對(duì)SSL/TLS交換信息的大多數(shù)方面進(jìn)行匹配每聪，還可以記錄所有密鑰交換并進(jìn)行分析，這是確保您的網(wǎng)絡(luò)不受信譽(yù)較差的證書頒發(fā)機(jī)構(gòu)的侵害的好方法齿风。

b.HTTP日志記錄:當(dāng)您的IDS已經(jīng)看到HTTP活動(dòng)時(shí)药薯，為什么還要向網(wǎng)絡(luò)中添加更多其他的硬件來記錄HTTP活動(dòng)? Suricata將記錄端口上的所有HTTP連接，以便后續(xù)分析救斑。

（5）LUA 腳本

高級(jí)分析和功能可用來檢測(cè)規(guī)則集語法中無法檢測(cè)的內(nèi)容童本。

（6）行業(yè)標(biāo)準(zhǔn)輸出

在2.0中，引入了“Eve”脸候，即所有JSON事件和警報(bào)輸出穷娱。這允許與Logstash和類似工具輕松集成。

（7）其他

此外运沦，通過Unified2輸出格式和Barnyard2工具泵额，Suricata可以與BASE、Snorby携添、Sguil嫁盲、SQueRT和其他所有工具一起使用。

3.所有特性（suricata完整功能列表）

（1）引擎

a烈掠、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)引擎

b羞秤、網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)引擎

c、網(wǎng)絡(luò)安全監(jiān)控(NSM)引擎

d左敌、離線分析PCAP文件

e瘾蛋、使用pcap記錄器記錄流量

f、Unix套接字模式

g矫限，用于自動(dòng)PCAP文件處理

h哺哼、與Linux Netfilter防火墻的高級(jí)集成

（2）操作系統(tǒng)支持

Linux、FreeBSD叼风、OpenBSD幸斥、macOS/Mac OS X、Windows

（3）配置文件

a咬扇、YAML-人和機(jī)器可讀

b甲葬、具有良好的注釋和文檔

c、支持包括其他配置文件

（4）TCP/IP引擎

a懈贺、可擴(kuò)展的流引擎

b经窖、完整的IPv6支持

c、隧道解碼：Teredo梭灿、IP-IP画侣、IP6-IP4、IP4-IP6堡妒、GRE

（5）TCP流引擎

a配乱、跟蹤會(huì)話

b、流重新組裝

c、基于目標(biāo)的流重新組裝

（6）IP整理磁盤碎片引擎

基于目標(biāo)的重新組裝

（7）協(xié)議解析器

a搬泥、支持?jǐn)?shù)據(jù)包解碼：IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE桑寨；Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN

b、應(yīng)用層解碼:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2;

使用Rust語言開發(fā)的新協(xié)議忿檩，用于安全快速的解碼

(8)HTTP 引擎

a尉尾、基于libhtp的有狀態(tài)HTTP解析器

b、HTTP請(qǐng)求記錄器

c燥透、支持文件識(shí)別沙咏、提取和日志記錄

d、支持每個(gè)服務(wù)器設(shè)置-限制班套，個(gè)性等

e肢藐、匹配(規(guī)范化)緩沖區(qū)的關(guān)鍵字：uri和原始uri、headers and raw headers吱韭、cookie吆豹、user-agent、request body and response body杉女、method, status and status code瞻讽、host、request and response lines熏挎、decompress flash files等等

（9）檢測(cè)引擎

a速勇、支持協(xié)議的關(guān)鍵字

b、支持每個(gè)vlan或捕獲設(shè)備的多租戶

c坎拐、xbits -流位擴(kuò)展

d烦磁、PCRE支持：用于登錄EVE的子字符串捕獲

e、快速模式和預(yù)過濾器支持

f哼勇、規(guī)則分析

g都伪、文件匹配：magic文件、文件大小积担、文件名和擴(kuò)展名陨晶、文件MD5/SHA1/SHA256校驗(yàn)和——可擴(kuò)展到數(shù)百萬個(gè)校驗(yàn)和

h、可以選擇的多種模式匹配算法

i帝璧、具有廣泛的調(diào)優(yōu)選項(xiàng)

j先誉、實(shí)時(shí)規(guī)則重載-使用新的規(guī)則重新啟動(dòng)Suricata

k、延遲初始化規(guī)則

l的烁、用于自定義檢測(cè)邏輯的Lua腳本

m褐耳、支持Hyperscan集成

（10）輸出

a、支持Eve日志渴庆，所有JSON警告和事件輸出

b铃芦、用于生成自己的輸出格式的Lua輸出腳本

c雅镊、支持redis支持

e、HTTP請(qǐng)求日志

f刃滓、TLS握手日志

g仁烹、Unified2輸出-兼容Barnyard2

h、快速警報(bào)日志

i注盈、警告調(diào)試日志—用于規(guī)則編寫器

j晃危、使用pcap記錄器記錄流量

k叙赚、Prelude 支持

l老客、drop log - netfilter樣式的日志，用于在IPS模式下丟棄數(shù)據(jù)包

m震叮、syslog -警告syslog

n胧砰、stats-引擎統(tǒng)計(jì)在固定的時(shí)間間隔

o、文件日志苇瓣，包括JSON格式的MD5校驗(yàn)和

p尉间、提取的文件存儲(chǔ)到磁盤，使用v2格式的重復(fù)數(shù)據(jù)刪除

q击罪、DNS請(qǐng)求/回復(fù)日志程序哲嘲，包括TXT數(shù)據(jù)

r、基于信號(hào)的日志循環(huán)

s媳禁、流日志

（11）報(bào)警/事件過濾

a眠副、每個(gè)規(guī)則警告過濾和閾值

b、全局警報(bào)過濾和閾值設(shè)置

c竣稽、每個(gè)主機(jī)/子網(wǎng)閾值和速率限制設(shè)置

（12）包收集

a囱怕、高性能捕獲：

????????????AF_PACKET：實(shí)驗(yàn)性的eBPF和XDP模式可用

????????????PF_RING

????????????NETMAP

b、標(biāo)準(zhǔn)捕獲：

????????????PCAP

????????????NFLOG (netfilter集成)

c毫别、IPS模式

????????????基于Linux的Netfilter (nfqueue)：不開放的支持

????????????基于FreeBSD和NetBSD的ipfw

????????????基于linux的AF_PACKET?

????????????NETMAP

d娃弓、捕獲卡和專用設(shè)備：

? ? ? ? ? ? ? Endace

? ? ? ? ? ? ?Napatech

? ? ? ? ? ? ? ?Tilera

（13）多線程

a、完全可配置線程——從單線程到幾十個(gè)線程

b岛宦、?預(yù)先“runmodes”

c台丛、可選cpu關(guān)聯(lián)設(shè)置

d、使用細(xì)粒度鎖定和原子操作獲得最佳性能

e砾肺、可選鎖分析

（14）IP聲譽(yù)

a挽霉、加載大量基于主機(jī)的信譽(yù)數(shù)據(jù)

b、使用“iprep”關(guān)鍵字在規(guī)則語言中匹配聲譽(yù)數(shù)據(jù)

c债沮、支持live重裝

d炼吴、支持CIDR 范圍

（15）Tools

a、suricata -update 易于規(guī)則更新管理的更新

b疫衩、Suricata-Verify開發(fā)過程中對(duì)QA進(jìn)行開發(fā)