【网络入侵检测】基于源码分析Suricata的统计模块

最新推荐文章于 2025-04-30 17:42:22 发布
最新推荐文章于 2025-04-30 17:42:22 发布
阅读量960 收藏 13
点赞数 18
分类专栏: 【网络入侵检测】Suricata 文章标签: 网络 安全 安全威胁分析 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29490749/article/details/147592002
版权

【作者主页】只道当时是寻常

【专栏介绍】Suricata入侵检测。专注网络、主机安全,欢迎关注与评论。

1. 概要

👋 在 Suricata 的配置文件中,stats 节点用于配置统计信息相关的参数,它的主要作用是控制 Suricata 如何收集和输出统计数据,帮助用户了解 Suricata 的运行状态和网络活动情况。

2. 全局配置

下面是Suricata对于统计模块默认的全局配置信息。

# Global stats configuration
stats:
  enabled: yes
  # The interval field (in seconds) controls the interval at
  # which stats are updated in the log.
  interval: 8
  # Add decode events to stats.
  #decoder-events: true
  # Decoder event prefix in stats. Has been 'decoder' before, but that leads
  # to missing events in the eve.stats records. See issue #2225.
  #decoder-events-prefix: "decoder.event"
  # Add stream events as stats.
  #stream-events: false

  • enabled:[yes/no] 用于开启或关闭统计信息收集功能。

  • interval: 表示统计信息输出的时间间隔。单位通常是秒。注意,由于内部线程同步的原因,如果时间设置小于3~4s时会出现异常。

  • decoder-events:在统计信息中添加解码异常事件统计(例如解析过程中畸形报文)。默认是开启状态。如果关闭则设置为false。

  • decoder-events-prefix:自定义decode-events类型的事件在统计信息中的前缀,默认是"decoder.event"。

  • stream-events:在统计信息中添加流异常事件统计。默认是开启状态。如果关闭则设置为false。

2.1 配置解析

Suricata中,统计模块全局配置解析函数为 StatsInitCtxPreOutput,代码实现如下,下面实现了对配置文件中enabled、interval、decoder-events等键的配置信息的解析与设置。

/**
 * \brief Initializes stats context
 */
static void StatsInitCtxPreOutput(void)
{
    SCEnter();
    ConfNode *stats = GetConfig();
    if (stats != NULL) {
        const char *enabled = ConfNodeLookupChildValue(stats, "enabled");
        if (enabled != NULL && ConfValIsFalse(enabled)) {
            stats_enabled = false;
            SCLogDebug("Stats module has been disabled");
            SCReturn;
        }
        /* warn if we are using legacy config to enable stats */
        ConfNode *gstats = ConfGetNode("stats");
        if (gstats == NULL) {
            SCLogWarning("global stats config is missing. "
                         "Stats enabled through legacy stats.log. "
                         "See %s/configuration/suricata-yaml.html#stats",
                    GetDocURL());
        }

        const char *interval = ConfNodeLookupChildValue(stats, "interval");
        if (interval != NULL)
            if (StringParseUint32(&stats_tts, 10, 0, interval) < 0) {
                SCLogWarning("Invalid value for "
                             "interval: \"%s\". Resetting to %d.",
                        interval, STATS_MGMTT_TTS);
                stats_tts = STATS_MGMTT_TTS;
            }

        int b;
        int ret = ConfGetChildValueBool(stats, "decoder-events", &b);
        if (ret) {
            stats_decoder_events = (b == 1);
        }
        ret = ConfGetChildValueBool(stats, "stream-events", &b);
        if (ret) {
            stats_stream_events = (b == 1);
        }

        const char *prefix = NULL;
        if (ConfGet("stats.decoder-events-prefix", &prefix) != 1) {
            prefix = "decoder.event";
        }
        stats_decoder_events_prefix = prefix;
    }
    SCReturn;
}

2.2 解码事件(decode-events)

在全局统计配置中,decoder-events 键用于控制解码事件计数器的开关,其默认处于开启状态。关于解码事件的定义,可参考 2.1 配置解析章节。当 decoder-events 键设置为 false 时,会同步将 stats_decoder_events 变量也设置为 false。在 Suricata 中,PacketUpdateEngineEventCounters 函数负责更新引擎事件的计数器,具体代码如下:

void PacketUpdateEngineEventCounters(ThreadVars *tv,
        DecodeThreadVars *dtv, Packet *p)
{
    for (uint8_t i = 0; i < p->events.cnt; i++) {
        const uint8_t e = p->events.events[i];
        printf("PacketUpdateEngineEventCounters: e %d\n", e);
        if (e <= DECODE_EVENT_PACKET_MAX && !stats_decoder_events)
            continue;
        else if (e > DECODE_EVENT_PACKET_MAX && !stats_stream_events)
            continue;
        StatsIncr(tv, dtv->counter_engine_events[e]);
    }
}

从代码可知,仅当 e <= DECODE_EVENT_PACKET_MAX 条件满足时,才会判断 stats_decoder_events 标志位。若该标志位设为 false,则不会执行事件计数器的增加操作(StatsIncr)。可见,DECODE_EVENT_PACKET_MAX 这个宏是关键,值小于它的事件类型属于解码事件,这些事件大多是解码时报文格式异常产生的,种类繁多。也就是说,decoder-events 用于控制统计信息中是否包含解码异常包的事件统计。下面是这些事件的宏,由于数量太多,这里不全部展示,更多宏定义查看decode-events.h文件中对于事件类型的枚举结构。

/* packet decoder events */
enum {
    AFP_TRUNC_PKT = 0, /**< packet truncated by af-packet */
    
    /* IPV4 EVENTS */
    IPV4_PKT_TOO_SMALL,           /**< ipv4 pkt smaller than minimum header size */
    IPV4_HLEN_TOO_SMALL,          /**< ipv4 header smaller than minimum size */
    IPV4_IPLEN_SMALLER_THAN_HLEN, /**< ipv4 pkt len smaller than ip header size */
    IPV4_TRUNC_PKT,               /**< truncated ipv4 packet */
    
    /* IPV4 OPTIONS */
    IPV4_OPT_INVALID,      /**< invalid ip options */
    IPV4_OPT_INVALID_LEN,  /**< ip options with invalid len */
    IPV4_OPT_MALFORMED,    /**< malformed ip options */
    IPV4_OPT_PAD_REQUIRED, /**< pad bytes are needed in ip options */
    IPV4_OPT_EOL_REQUIRED, /**< "end of list" needed in ip options */
    IPV4_OPT_DUPLICATE,    /**< duplicated ip option */
    IPV4_OPT_UNKNOWN,      /**< unknown ip option */
    IPV4_WRONG_IP_VER,     /**< wrong ip version in ip options */
    IPV4_WITH_ICMPV6,      /**< IPv4 packet with ICMPv6 header */
    
    /* ICMP EVENTS */
    ICMPV4_PKT_TOO_SMALL,    /**< icmpv4 packet smaller than minimum size */
    ICMPV4_UNKNOWN_TYPE,     /**< icmpv4 unknown type */
    ICMPV4_UNKNOWN_CODE,     /**< icmpv4 unknown code */
    ICMPV4_IPV4_TRUNC_PKT,   /**< truncated icmpv4 packet */
    ICMPV4_IPV4_UNKNOWN_VER, /**< unknown version in icmpv4 packet*/
    
    ...
}

2.3 流事件(stream-events)

在全局统计配置中,stream-events 键用于控制流事件开关,默认开启。与 decoder-events 键配置类似(详见 2.1、2.2 章节),根据 StatsInitCtxPreOutput 函数实现,当 stream-events 键设为 false 时,stats_stream_events 变量也会同步置为 false。在 PacketUpdateEngineEventCounters 函数中,仅当 e > DECODE_EVENT_PACKET_MAX 时才判断 stats_stream_events 标志位,若该标志位为 false,则不执行事件计数器增加操作(StatsIncr)。相关事件宏众多,具体定义可查看 decode-events.h 文件中的事件类型枚举结构。

/* packet decoder events */
enum {
    ...
     /* END OF DECODE EVENTS ON SINGLE PACKET */
    DECODE_EVENT_PACKET_MAX = GENERIC_TOO_MANY_LAYERS,

    /* STREAM EVENTS */
    STREAM_3WHS_ACK_IN_WRONG_DIR,
    STREAM_3WHS_ASYNC_WRONG_SEQ,
    STREAM_3WHS_RIGHT_SEQ_WRONG_ACK_EVASION,
    STREAM_3WHS_SYNACK_IN_WRONG_DIRECTION,
    STREAM_3WHS_SYNACK_RESEND_WITH_DIFFERENT_ACK,
    STREAM_3WHS_SYNACK_RESEND_WITH_DIFF_SEQ,
    STREAM_3WHS_SYNACK_TOSERVER_ON_SYN_RECV,
    STREAM_3WHS_SYNACK_WITH_WRONG_ACK,
    STREAM_3WHS_SYNACK_FLOOD,
    STREAM_3WHS_SYNACK_TFO_DATA_IGNORED,
    STREAM_3WHS_SYN_RESEND_DIFF_SEQ_ON_SYN_RECV,
    STREAM_3WHS_SYN_TOCLIENT_ON_SYN_RECV,
    STREAM_3WHS_SYN_FLOOD,
    STREAM_3WHS_WRONG_SEQ_WRONG_ACK,
    STREAM_3WHS_ACK_DATA_INJECT,
    STREAM_4WHS_SYNACK_WITH_WRONG_ACK,
    STREAM_4WHS_SYNACK_WITH_WRONG_SYN,
    STREAM_4WHS_WRONG_SEQ,
    STREAM_4WHS_INVALID_ACK,
    STREAM_CLOSEWAIT_ACK_OUT_OF_WINDOW,
    STREAM_CLOSEWAIT_FIN_OUT_OF_WINDOW,
    STREAM_CLOSEWAIT_PKT_BEFORE_LAST_ACK,
    STREAM_CLOSEWAIT_INVALID_ACK,
    ...
}

3. outputs配置

在Suricata中,统计信息除了全局配置外,在outputs节点中也包含了对统计模块的配置,格式如下:

# Configure the type of alert (and other) logging you would like.
outputs:
# Stats.log contains data from various counters of the Suricata engine.
  - stats:
      enabled: yes
      filename: stats.log
      append: no       # append to file (yes) or overwrite it (no)
      totals: yes       # stats for all threads merged together
      threads: no       # per thread stats
      null-values: yes  # print counters that have value 0. Default: no

  • enabled:统计日志输出具备独立的开关。同时,全局配置里存在stats关键字,其中enabled字段用于控制整个统计模块的开启与关闭。而在当前语境下,enabled字段的作用是决定是否生成统计文件并写入统计信息。

  • filename:统计信息文件名。结合default-log-dir关键字决定该文件的路径。

  • append:(yes/no)yes表示以追加的形式写入文件,no表示以覆盖的形式写入文件。

  • totals:(yes/no)yes表示所有线程的统计数据合并在一起了。

  • threads:(yes/no)yes表示打印每一个线程的他统计。

  • null-values:(yes/no)yes表示在打印统计信息时,即使计数器值为0也要打印出。默认是不打印的。

3.1 配置解析

在Suricata中,outputs节点的stats关键字配置信息的解析函数为LogStatsLogInitCtx,代码实现如下:

static OutputInitResult LogStatsLogInitCtx(ConfNode *conf)
{
    OutputInitResult result = { NULL, false };
    LogFileCtx *file_ctx = LogFileNewCtx();
    if (file_ctx == NULL) {
        SCLogError("couldn't create new file_ctx");
        return result;
    }

    if (SCConfLogOpenGeneric(conf, file_ctx, DEFAULT_LOG_FILENAME, 1) < 0) {
        LogFileFreeCtx(file_ctx);
        return result;
    }

    LogStatsFileCtx *statslog_ctx = SCMalloc(sizeof(LogStatsFileCtx));
    if (unlikely(statslog_ctx == NULL)) {
        LogFileFreeCtx(file_ctx);
        return result;
    }
    memset(statslog_ctx, 0x00, sizeof(LogStatsFileCtx));

    statslog_ctx->flags = LOG_STATS_TOTALS;

    if (conf != NULL) {
        const char *totals = ConfNodeLookupChildValue(conf, "totals");
        const char *threads = ConfNodeLookupChildValue(conf, "threads");
        const char *nulls = ConfNodeLookupChildValue(conf, "null-values");
        SCLogDebug("totals %s threads %s", totals, threads);

        if ((totals != NULL && ConfValIsFalse(totals)) &&
                (threads != NULL && ConfValIsFalse(threads))) {
            LogFileFreeCtx(file_ctx);
            SCFree(statslog_ctx);
            SCLogError("Cannot disable both totals and threads in stats logging");
            return result;
        }

        if (totals != NULL && ConfValIsFalse(totals)) {
            statslog_ctx->flags &= ~LOG_STATS_TOTALS;
        }
        if (threads != NULL && ConfValIsTrue(threads)) {
            statslog_ctx->flags |= LOG_STATS_THREADS;
        }
        if (nulls != NULL && ConfValIsTrue(nulls)) {
            statslog_ctx->flags |= LOG_STATS_NULLS;
        }
        SCLogDebug("statslog_ctx->flags %08x", statslog_ctx->flags);
    }

    statslog_ctx->file_ctx = file_ctx;

    OutputCtx *output_ctx = SCCalloc(1, sizeof(OutputCtx));
    if (unlikely(output_ctx == NULL)) {
        LogFileFreeCtx(file_ctx);
        SCFree(statslog_ctx);
        return result;
    }

    output_ctx->data = statslog_ctx;
    output_ctx->DeInit = LogStatsLogDeInitCtx;

    SCLogDebug("STATS log output initialized");

    result.ctx = output_ctx;
    result.ok = true;
    return result;
}

4. 源码实现

上面是Suricata中统计模块的启动与运行流程,SuricataMain函数是Suricata的主入口函数,其中在主函数中,关于统计模块函数调用依次是PostConfLoadedSetup、PreRunPostPrivsDropInit和RunModeDispatch。

网络入侵检测】基于源码分析Suricata的PCAP模式
不断学习,不断进步。
04-25 574
本文聚焦于 Suricata 7.0.10 版本源码,深入剖析其 PCAP 模式的实现原理。通过系统性拆解初始化阶段的配置流程、PCAP 数据包接收线程的创建与运行机制,以及数据包捕获和处理的具体步骤,从源码层面揭示 PCAP 模式如何协同各模块实现网络流量的高效捕获与分析,旨在为网络安全领域的开发者与研究人员提供全面且细致的技术参考。
网络入侵检测】基于Suricata源码分析NFQ IPS模式实现
不断学习,不断进步。
04-24 481
本文聚焦于 Suricata 7.0.10 版本源码,深入剖析其 NFQ(Netfilter Queue)模式的实现原理。通过系统性拆解初始化阶段的配置流程、数据包监听机制的构建逻辑,以及数据包处理的具体步骤,从源码层面揭示 NFQ 模式如何协同各模块实现高效网络流量监控与安全检测,旨在为网络安全领域的开发者与研究人员提供全面且细致的技术参考。
网络入侵检测】基于源码分析Suricata的引擎日志配置解析
不断学习,不断进步。
04-30 398
Suricata 的引擎日志记录系统主要记录该引擎在启动、运行以及关闭期间应用程序的相关信息,如错误信息和其他诊断信息,但不包含 Suricata 自身生成的警报和事件。该系统设有多个日志级别,包括错误、警告、通知、信息、性能、配置和调试。
网络入侵检测】基于源码分析Suricata的解码模块
不断学习,不断进步。
04-30 596
Suricata 中,数据包解码功能由一套模块化架构支撑。无论其运行于 PCAP、NFQ、DPDK 或其他模式,尽管各运行模式分别对应 DecodePcap、DecodeNFQ、DecodeDPDK 等特定解码函数,但在执行流程中,最终均会收敛至 DecodeLinkLayer、DecodeIPV4 或 DecodeIPV6 等核心解码函数,完成链路层与网络层数据包的解析处理。本文主要解码 Suricata 中解码模块是如何从链路层到传输层解析各层包头的。
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4980
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
构建基于Suricata+Splunk的IDS入侵检测系统
梦想专栏
03-22 2207
一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并发出安全警报。 IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量...
网络入侵检测系统之Suricata(四)--初始化模块代码详解
诗酒趁年华
03-08 1231
DetectEngineCtx_->sig_list + sig_cnt->排序ByAction,byFlowbits,,ByFlowvar,ByPktvar,ByHostbits,ByIPPairbit,ByPriority->runtime match structure (siggroup),siggroup的过程目前看是把之前的所有规则list通过ip,端口号和流分组到一个链表数组(sgh,并维护了一个 sigMask(规则有哪些匹配项)Suricata对“运行模式”这个概念也进行了封装。
网络安全:4个热门有用的开源网络入侵检测系统
ewii12567的博客
09-29 3934
入侵检测系统可以分为两种类型:网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。NIDS监测网络流量,而HIDS监测主机上的系统活动。本文将分享在开源社区比较火热,以及各大安全公司都在使用的开源网络入侵检测系统,同时本人也曾在工作中使用和学习过suricata、snort、zeek/bro、OSSEC、security Onion这些软件工具,以及做过一些安全分析和源码阅读,下一篇将分享关于主机上的开源入侵检测系统。
基于server和agent形式的ids检测系统实现入侵检测攻击端python源码.zip
05-23
标题"基于server和agent形式的ids检测系统实现入侵检测攻击端python源码.zip"表明,这是一个实现入侵检测系统的项目,采用了服务器(server)与代理(agent)架构,主要用于检测网络中的攻击行为。源码是用Python...
网络入侵检测源代码
02-28
综上所述,“网络入侵检测源代码”项目涵盖了网络监控、协议分析安全响应等多个关键领域,对于理解和提升网络安全能力具有重要意义。通过深入研究这个项目,不仅可以掌握NIDS的运作原理,还能锻炼编程技能和安全...
suricata源码分析
08-12
Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节...
最好的开源网络入侵检测工具(网址及版本已验证并更新)
简单
05-08 1978
阿里云优惠:最高¥2000云产品通用代金券 https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=dansrwg4 在企业中,为了保护数据,防止网络中的违规事件是一件严重的事情。 任何恶意软件的利用都会给公司造成很大的损失。 安全地维护网络是所有系统管理员希望实现的目标。 让我们来看看几个重要的开源网络入侵检测工具。   ...
机器人“跨协议对话”秘籍:EtherNet IP转PROFINET网关应用实录
bjbxkj的博客
04-29 363
由于两种协议在通信标准和数据格式上存在差异,导致机器人手臂无法与现场的终端控制器直接通信,设备之间的数据交换无法顺利进行,严重影响了生产线的整体效率。通过该网关的及时引入,我们避免了大规模设备改造带来的高昂成本和生产延误风险,显著提高了设备协作效率和生产线整体性能,获得了生产部门的一致认可。针对这一问题,我们工程师团队经过详细分析和现场测试,决定采用EtherNet/IP转PROFINET通信协议网关(倍讯BX-606-EIP)来实现快速、稳定的协议转换。接受控制器主动发送的指令及数据请求。
网络原理初识
2401_83526138的博客
04-29 370
物理层规定了网络通信中一些硬件设施(网线,光纤,WIFI)的要求。
指定的网络名不再可用0x00000040原因分析及解决方法
电脑技术分享网的博客
04-30 375
如:用户是属于修复别人共享给我的打印机(客户端)或前面两种都是的两个选项场景,勾选修复了【共享主机】更新补丁选项,则可能会出现打印机报错的情况。出现此类问题时,可再次点击重新扫描,找到其中的【共享主机】更新补丁进行还原,即可解决大部分别人共享给我的打印机常见错误修复。2、物理连接问题:如果使用的是网络打印机,确保打印机与网络的连接没有问题,比如网线连接正常,打印机的网络设置正确等。可快速扫描当前连接打印机需要的驱动,在扫描出的打印机驱动中可选择相关打印机驱动版本进行修复安装。
吴恩达强化学习复盘(11)连续状态空间|深度Q网络
wgc2k的博客
04-28 980
这是是一个能让用户在月球上着陆模拟飞行器的应用,它类似于一个被很多强化学习研究者使用的电子游戏。在这个应用中,用户的任务是在月球着陆器快速接近月球表面时,在适当的时间点燃推进器,使其安全降落在着陆台上。
局域网视频会议软件BeeWorks Meet
weixin_53855915的博客
04-29 394
视频会议是企业协作的重要工具,它可以支持日常会议、异地协作等内部沟通需求,节省时间和成本,在与合作伙伴沟通方面,视频会议能助力远程沟通、项目展示及商务谈判,提高合作效率。相比传统的公有云视频会议服务,私有化部署的视频会议系统在安全性、可控性、定制化和成本效益等方面具有显著优势,为企业内部使用提供了强大的支持。BeeWorks音视频会议系统支持多种类型的会议,如网络会议、在线培训、远程招聘等。提供全面的参会管理功能,如添加/删除参会人、控制发言、点名、举手、投票、签到等,方便会议组织者进行高效管理。
SD - WAN 跨境网络专线部署方式介绍
最新发布
seaarea_818的博客
04-30 147
以某企业为例,其在欧洲的分支机构只需将 CPE 设备接入现有的网络环境,通过简单的配置,就能快速与国内总部的网络建立安全、稳定的连接。管理员坐在总部的办公室里,通过控制器的管理界面,就能清晰地了解到欧洲分支网络的运行状态,包括每条链路的带宽使用情况、网络延迟等信息,并根据实际需求灵活调整网络策略。在部署 SD - WAN 跨境网络专线时,企业通常会在国内总部和欧洲分支机构分别部署 CPE设备,这一设备就像是连接企业网络与外部网络的智能桥梁。部署过程也较为便捷,企业无需进行大规模的网络改造工程。
网络钓鱼工具包Darcula引入AI技术 网络犯罪门槛进一步降低
FreeBuf_的博客
04-27 847
AI升级Darcula钓鱼工具,网络犯罪门槛骤降,企业防御告急!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值