介绍
Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elasticsearch、Kibana和其他数据库等工具进行集成将变得非常简单。Suricata项目和代码由开放信息安全基金会(OISF)拥有和支持,OISF是一个非盈利基金会,致力于确保Suricata作为一个开源项目的开发和持续成功。
本文将讲述如何在 Ubuntu 16.04 下安装并运行 Suricata。如果你需要在其他 Linux 发行版上安装 Suricata,请参考官方教程。
特点
(1)IDS/IPS
Suricata实现了一个完整的签名语言来匹配已知的威胁、策略违反和恶意行为。Suricata还将检测它所检测的流量中的许多异常。Suricata能够使用专门的新兴威胁Suricata规则集(https://www.proofpoint.com/us/products/et-intelligence)和VRT规则集(https://snort.org/talos)。
(2)高性能
一个Suricata实例就可以检查数千兆的流量。该引擎是围绕多线程、现代、干净和高度可伸缩的代码库构建的。本地支持硬件加速(多个供应商)和通过PF_RING和AF_PACKET。
(3)协议自动检测
Suricata将自动检测任