Hyperscan在Suricata中的应用

最新推荐文章于 2024-06-10 09:55:08 发布
最新推荐文章于 2024-06-10 09:55:08 发布
阅读量741 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37097605/article/details/101514113
版权
Suricata是一款开源的网络威胁检测引擎,利用Hyperscan的高性能正则表达式匹配能力提升其单字符串和多字符串匹配效率。通过Hyperscan的Noodle引擎(单字符串匹配)和Teddy/FDR引擎(多字符串匹配),在处理大量规则时,Suricata在Intel i7 6700K CPU上的性能分别提升了1.95x和2.15x。
摘要由CSDN通过智能技术生成

哈哈

DPDK开源社区

Welcome to DPDK

1

点击关注

0?wx_fmt=jpeg

Suricata简介

如前所述,Hyperscan作为一款高性能的正则表达式匹配库,极适用于部署在IDS/IPS等网络解决方案中。

Suricata(https://suricata-ids.org)是一款免费、开源、成熟、快速、健壮的网络威胁检测引擎,该引擎能够进行实时入侵检测(IDS),嵌入式入侵防御(IPS),网络安全监控(NSM)和离线pcap处理。Suricata与其竞争对手Snort类似,有着相似的设计和规则样式,同样涉及到大量纯字符串及正则表达式匹配。本文重点介绍Hyperscan在Suricata中的应用,主要是单字符串匹配和多字符串匹配的基本原理。

0?wx_fmt=jpeg
最低0.47元/天 解锁文章
weixin_37097605
关注
hyperscan在IPS/IDS产品应用
focus on security
12-06 825
hypercan简介 hyperscan是基于intel的高速正则表达式匹配引擎,这个基于状态机(Automata)的引擎经过了多年开发经过不断优化与完善,效率非常之高,虽然没有pcre等对正则语法支持全面,但非常适用于网络设备。用户可以在网络设备数据面(Data Plane)使用hyperscan进行规则匹配,实现高性能DPI/lPS/IDS等应用 API说明文档: http://01org.github.io/hyperscan/dev-reference/getting_started.h..
suricata mysql_Suricata启用Hyperscan支持以及Prelude-siem安装方法.md
weixin_29263201的博客
02-11 440
# Suricata启用Hyperscan支持以及Prelude-siem安装方法## 0x01 安装 Hyperscan### 1、Hyperscan 安装要求:* GCC 版本大于等于 4.8.1,使用 yum 源安装即可* CMake 版本大于等于 2.8.11,使用 yum 源安装即可* Ragel 版本大于等于 6.9,使用 yum 源安装即可* Python 版本为 2.7,使用系统默...
Suricata5.0.1 Hyperscan 安装
u011311291的博客
02-19 1794
一.安装插件 1.安装cmake ragel Ubuntu apt-get install cmake ragel Centos yum install cmake ragel 2.安装libboost headers Ubuntu apt-get install libboost-dev #版本需要1.58以上 centos yum install boost-devel 3.安装Tru...
hyperscan使用教程
zhjuan的专栏
04-04 4213
本文介绍的hyperscan主要能帮你解决以下问题: (1)在一个字符串(连续的内存单元)高速查找是否有一个字符串集的一个或多个字符串; (2)在一个字符串(不连续的内存单元)高速查找是否有一个字符串集的一个或多个字符串; 在一个持续的流高速查找是否有一个字符串集的一个或多个字符串; 关键词 多模匹配、多模式匹配、单模匹配、单模式匹配、流式匹配、自动机、自动状态机、AC( Aho-Corasick)自动机、BM(Boyer-Moore)算法、正则匹配、正则表达式。
hyperscan技术
09-21 911
Hyperscan是一个高性能的正则表达式匹配库,设计用于高速、大规模和并发的匹配需求。它最初是由Intel开发的,现在已经是一个开源项目。Hyperscan是许多安全和网络应用的关键组件,因为它可以非常快速地在大量文本搜索多个正则表达式模式。其使用hyperscan分为四个过程:①用户需要先调用Hyperscan编译函数来生成一个数据库;②然后为运行期的匹配分配一个scratch内存;③以数据库、scratch内存和提供的用户回调函数作为输入触发hs_scan()进行匹配;
Hyperscan in Suricata.pdf
10-21
Hyperscan 在 Suricata 应用 Hyperscan 是 Intel 推出的一个高性能字符串匹配引擎,旨在帮助网络安全设备和应用程序更快速、更高效地进行字符串匹配和规则匹配。Suricata 是一个 GPL 授权的 Snort Competitor,...
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
5. 配置导入导出:Scirius支持导入和导出Suricata的配置文件,这使得在不同环境部署和同步规则集变得简单。 6. 模板与预设:Scirius提供预设的模板和配置,帮助用户快速配置规则集,适用于各种常见的安全场景。 ...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,...首先:使用docker-compose启动Suricata :(您必须在存储库才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
intel提供的开源检测引擎库,hyperscan
11-27
hyperscan提供的开源检测引擎库,2015年10月刚刚开源,这给使用DPI引擎的厂家多了一个参考选择,以往常用的库多采用PCRE,现在hyperscan可以基于DPDK提供30%的性能,对于X86架构的产品是个福音
Suricata开启Hyperscan加速的方法
老陈988的博客
09-21 2261
suricata开启hyperscan加速的方法: We'll install version 4.2.0. git clone https://github.com/01org/hyperscan cd hyperscan mkdir build cd build cmake -DBUILD_STATIC_AND_SHARED=1 ../ If you have your own
suricata + PF_RING + hiredis + hyperscan 自动化安装脚本
yrx0619的专栏
08-30 1032
#!/bin/bash set -e main_dir="/ids/" pf_ring_tar="PF_RING-7.0.0-stable-CrackedVer1.tar.gz" suricata_tar="suricata-4.0.3.tar.gz" pf_ring_dir="PF_RING-7.0.0-sta
hyperscan】hyperscan开源了!
dengdi8115的博客
10-21 329
hyperscan开源了! 官网:https://01.org/zh/hyperscan 1. 新闻背景 当地时间10月19日,intel将它的高速正则表达式匹配引擎hyperscan开源了,版本4.0,基于BSD许可。这个基于自动机(Automata)的引擎经过了多年开发(2008年起),经过不断优化与完善,效率非常之高,虽然没有pcre等对正则语法支持全面,但非常适用于...
推荐开源项目:Hyperscan for Python - 高效多正则匹配库
gitblog_00029的博客
06-10 405
推荐开源项目:Hyperscan for Python - 高效多正则匹配库 python-hyperscanA CPython extension for the Hyperscan regular expression matching library.项目地址:https://gitcode.com/gh_mirrors/py/python-hyperscan 1、项目介绍 Hypersc...
Suricata】05-Suricata 7.0.4 高性能配置
Simo2024的博客
05-14 1130
本文介绍了PF_RING驱动 和 Hyperscan的安装,来提高包处理速度和规则匹配效率。再优化Suricata的性能配置,以启用这些组件。
HyperScan: 高速并行扫描库的革命性创新
gitblog_00039的博客
03-21 488
HyperScan: 高速并行扫描库的革命性创新 项目地址:https://gitcode.com/intel/hyperscan HyperScan 是英特尔开源的一个高性能、多线程的扫描库,其核心目标是加速大规模规则匹配任务。该项目链接如下:https://gitcode.com/intel/hyperscan?utm_source=artical_gitcode 项目简介 HyperScan...
Hyperscan 5.6.0/5.6.1发布啦!
weixin_37097605的博客
04-13 814
Hyperscan 5.6.0/5.6.1发布啦!新版本的主要功能及改进包括:- 引入了新的处理纯字符串规则的API,其包含编译期API hs_compile_reglit()/hs_compile_reglit_multi()和运行期API hs_scan_purelit()。新的编译期API支持以正则表达式语法书写的纯字符串规则(含正则语义或不可打印的字符须转义或用HEX码表达),新的运行期...
Suricata高性能配置
u011311291的博客
03-05 6592
一.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
在docker运行suricata
最新发布
09-10
Suricata 是一个开源的网络威胁检测引擎,能够进行入侵检测、网络和应用程序监控等安全任务。在 Docker 运行 Suricata 可以让你在一个隔离的环境快速部署和测试它,而无需在宿主机上安装复杂的依赖。以下是在 Docker 运行 Suricata 的基本步骤: 1. 拉取官方的 Suricata 镜像(如果有的话): ``` docker pull suricata ``` 2. 创建一个用于运行 Suricata 的 Docker 容器。你可以使用默认的运行命令或者根据需要修改命令,例如指定规则集或者配置文件。 ``` docker run --name suricata -d suricata ``` 3. 如果需要从宿主机的某个目录挂载规则集或者其他配置文件到容器内部,可以使用 `--volume` 或 `-v` 参数: ``` docker run --name suricata -v /path/to/local/rules:/opt/suricata/rules -d suricata ``` 4. 进入容器内部进行配置或运行其他命令,例如加载规则集: ``` docker exec -it suricata /bin/bash suricata-update ``` 5. 使用 Docker 网络功能将 Suricata 容器连接到需要监控的网络。你可以创建一个桥接网络,然后将 Suricata 容器连接到这个网络: ``` docker network create suricata-net docker run --name suricata --network suricata-net -d suricata ``` 6. 之后,根据你的网络设置,可以开始配置 Suricata 的抓包模式或者直接启动 Suricata: ``` docker exec suricata suricata -c /etc/suricata/suricata.yaml --af-packet -i eth0 ``` 请注意,具体的命令和参数可能需要根据你的具体需求和 Suricata 镜像的版本进行调整。你还需要确保 Docker 已经安装在你的系统上,并且你有相应的权限来运行 Docker 命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值