suricata基础介绍

已于 2024-05-06 10:45:14 修改
阅读量1.3k 收藏 28
点赞数 31
分类专栏: suricata应用开发 文章标签: 网络 linux 网络协议
于 2024-01-29 18:08:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41167620/article/details/135918279
版权

下载地址:

Index of /downloads

学习社区

Suricata User Guide — Suricata 6.0.10 documentation

Overview - Suricata - Open Information Security Foundation        论坛bug

关于 Suricata 的中文文档,目前有一些比较好的资源可供参考,包括:

Suricata 中文文档(https://suricata-cn.readthedocs.io/zh_CN/latest/):这是由中国 Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。

Suricata 入门指南(https://zhuanlan.zhihu.com/p/44931902) :这是一篇由安全从业者撰写的入门指南,介绍了 Suricata 的基本概念、工作原理、使用方法等内容。

Suricata 网络入侵检测实战(

 Suricata 的基础知识、配置方法、规则编写、漏洞利用等方面内容,适合初学者和进阶者阅读。

一、介绍

二、IDS(入侵检测系统)

三、IPS(入侵预防系统)

四、IPS和IDS的区别

五、suricata提供的功能

5.1、事件

5.2、处理动作

5.3、报文的处理流程

一、介绍

suricata是一款包含IDS、IPS的网络数据包监控引擎

二、IDS(入侵检测系统)

2.1、概念:通过一定的安全策略,实现对网络/系统的运行状态、关键信息进行监测。

存在主机型/网络型入侵检测

  • 主机型检测目标为主机审计文件内容和主机网络信息异常检测。
  • 网络型检测目标为网络流量,可工作在网络边界实现传输过程拦截-检测-包处理。特征是网络环境透明,处理效率高

三、IPS(入侵预防系统)

3.1、概念:

对网络传输负载、网络资料传输行为检测

四、IPS和IDS的区别

工作位置

检测内容

部署方式

响应动作

IPS

网络边界外

数据包内容

串行部署

包处理:转发、记录、阻断

IDS

网络边界内

网络状态、数据包特征、系统运行状态、特殊信息

旁路部署

告警动作

五、suricata提供的功能

suricata提供的事件和处理动作功能,事件逻辑依赖协议的注册/使能。即只要存在协议注册的逻辑,就会产生事件;而处理动作需要依赖规则文件。

5.1、事件

suricata提供的协议解析功能,面向连接对报文进行解析,可以根据自定义的解析规则决定产生事件功输出模块使用。

连接上的每个报文都将在流重组后进入request respone流程,对input内容解析,根据内置规则决定产生事件。在其中应重点使用flow state Transaction信息。

flow关联连接的信息可以为我们提供连接的起止时间,以及每个报文的三层信息。不包含四层payload。

state存在于流程上下文,每个报文进入request respone时都会更新state的内容。

transaction其存在的作用是为了进行报文缓存,以链表的形式存在于state内部。

5.2、处理动作

该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。

5.3、报文的处理流程

报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)

强壮的向阳花
关注
  • 31
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 1905
suricata安装配置文档
Suricata配置文件说明1
Traxer的学习之路
04-21 6153
本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 4908
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
suricata学习
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricata规则学习记录
weixin_41038905的博客
03-08 1431
Suricata快速模式(fast_pattern)确定解释 如果在规则中明确设置了’fast_pattern’关键字,Suricata将使用它作为快速模式匹配。fast_pattern关键字只能按规则设置一次。如果未设置“fast_pattern”,Suricata会自动确定要用作快速模式匹配的内容。以下说明Suricata用于自动确定要使用的快速模式匹配的逻辑。(请注意,如果存在正(即非否定)...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
suricata+elk+kibana+logstash安装手册.docx
08-13
最近因为工作花了两天时间原因搭了一套完整的IPS和IDS,包括suricata、kibana、elk、logstash等内容,中间遇到很多问题,我把整个搭建的过程记录了下来,给搭建分享下经验。大神绕路~
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
Suricata-入门实验-快速理解suricata
最新发布
qq_54078539的博客
05-27 325
Suricata 入门实验
suricata初体验+wireshark流量分析
weixin_53434577的博客
08-26 923
通过官网下载suricata,根据官网步骤进行安装。以上配置完毕后,重启suricata。进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。然后重启wazuh服务。
Suricata-7,网络安全学习教程
2401_84104460的博客
04-04 813
Flow的结构体,用于表示流数据的结构。这个结构体的各个成员的含义:这个结构体定义了用于表示网络数据流的各种属性和状态信息,包括地址、端口、协议类型、超时信息、线程信息、锁信息、协议特定数据指针等。*//*表示流的源地址和目的地址。*//* sp,dp:表示源端口和目的端口。
suricata的简单探究
围城
06-26 957
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata学习记录 本部分并没有参
suricata匹配从入门到精通(一)----suricata安装配置及使用
热门推荐
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata的规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
suricata命令行
wsk004321的专栏
05-13 3867
suricata命令行选项说明 你能两种方式使用命令行选项,用一个横杠后面跟一个字符,或两个横杠后面跟一个单词,例如: -a --long-option ========================================================================== -c这个选项是最重要的选项。在-c之后,要输入suricata.y
suricata安装
07-27
Suricata是一款在Linux系统中进行安装的软件。首先,您需要在VMware中安装一个较为稳定的Linux系统,建议使用较新版本的系统,因为较老版本的系统可能无法满足Suricata的运行环境要求。安装完成后,您可以按照以下步骤进行Suricata的安装和配置。 首先,您可以通过命令行安装第一个包wget,然后再安装下一个包build-essential,以此类推。这样做可以避免由于依赖关系导致的安装失败。同时,在安装每个包时,建议对前面已安装的包进行校验,以确保安装的完整性和正确性。\[1\] 安装完成后,您可以在配置文件/etc/suricata/suricata.yaml中进行Suricata的配置。在这个配置文件中,您可以添加启用自己上传的IDS规则,以便对自己编写的IDS规则进行验证。\[3\] 请注意,以上是一般的安装和配置步骤,具体的操作可能会因系统版本和环境而有所不同。建议您参考Suricata的官方文档或相关教程,以获取更详细的安装和配置指导。\[2\] #### 引用[.reference_title] - *1* *2* *3* [suricata匹配从入门到精通(一)----suricata安装配置及使用](https://blog.csdn.net/leeezp/article/details/126350975)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强壮的向阳花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值