1.簡介

Suricata是一個(gè)免費(fèi)、開源、成熟、快速、健壯的網(wǎng)絡(luò)威脅檢測引擎。Suricata引擎能夠進(jìn)行實(shí)時(shí)入侵檢測(IDS)、內(nèi)聯(lián)入侵預(yù)防(IPS)、網(wǎng)絡(luò)安全監(jiān)控(NSM)和離線pcap處理。Suricata使用強(qiáng)大而廣泛的規(guī)則和簽名語言來檢查網(wǎng)絡(luò)流量，并提供強(qiáng)大的Lua腳本支持來檢測復(fù)雜的威脅。使用標(biāo)準(zhǔn)的輸入和輸出格式(如YAML和JSON)，使用現(xiàn)有的SIEMs、Splunk、Logstash/Elasticsearch、Kibana和其他數(shù)據(jù)庫等工具進(jìn)行集成將變得非常簡單。Suricata項(xiàng)目和代碼由開放信息安全基金會(huì)(OISF)擁有和支持，OISF是一個(gè)非盈利基金會(huì)，致力于確保Suricata作為一個(gè)開源項(xiàng)目的開發(fā)和持續(xù)成功。?

2.特性

（1）IDS/IPS

Suricata實(shí)現(xiàn)了一個(gè)完整的簽名語言來匹配已知的威脅、策略違反和惡意行為。Suricata還將檢測它所檢測的流量中的許多異常。Suricata能夠使用專門的新興威脅Suricata規(guī)則集（https://www.proofpoint.com/us/products/et-intelligence）和VRT規(guī)則集（https://snort.org/talos）。

（2）高性能

一個(gè)Suricata實(shí)例就可以檢查數(shù)千兆的流量。該引擎是圍繞多線程、現(xiàn)代、干凈和高度可伸縮的代碼庫構(gòu)建的。本地支持硬件加速（多個(gè)供應(yīng)商）和通過PF_RING和AF_PACKET。

（3）協(xié)議自動(dòng)檢測

Suricata將自動(dòng)檢測任何端口上的協(xié)議，如HTTP協(xié)議，F(xiàn)TP協(xié)議，并應(yīng)用適當(dāng)?shù)臋z測和日志記錄邏輯。這大大有助于找到惡意軟件和CnC通道。

（4）NSM:不僅僅是IDS

Suricata可以記錄HTTP請求、記錄和存儲TLS證書、從流中提取文件并將它們存儲到磁盤。完整的pcap捕獲支持簡單的分析。所有這些都使Suricata成為網(wǎng)絡(luò)安全監(jiān)視(NSM)生態(tài)系統(tǒng)的強(qiáng)大引擎。

a.TLS/SSL日志記錄和分析:由于Suricata的TLS解析器，您不僅可以在規(guī)則集語言中對SSL/TLS交換信息的大多數(shù)方面進(jìn)行匹配，還可以記錄所有密鑰交換并進(jìn)行分析，這是確保您的網(wǎng)絡(luò)不受信譽(yù)較差的證書頒發(fā)機(jī)構(gòu)的侵害的好方法。

b.HTTP日志記錄:當(dāng)您的IDS已經(jīng)看到HTTP活動(dòng)時(shí)，為什么還要向網(wǎng)絡(luò)中添加更多其他的硬件來記錄HTTP活動(dòng)? Suricata將記錄端口上的所有HTTP連接，以便后續(xù)分析。

（5）LUA 腳本

高級分析和功能可用來檢測規(guī)則集語法中無法檢測的內(nèi)容。

（6）行業(yè)標(biāo)準(zhǔn)輸出

在2.0中，引入了“Eve”，即所有JSON事件和警報(bào)輸出。這允許與Logstash和類似工具輕松集成。

（7）其他

此外，通過Unified2輸出格式和Barnyard2工具，Suricata可以與BASE、Snorby、Sguil、SQueRT和其他所有工具一起使用。

3.所有特性（suricata完整功能列表）

（1）引擎

a、網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)引擎

b、網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)引擎

c、網(wǎng)絡(luò)安全監(jiān)控(NSM)引擎

d、離線分析PCAP文件

e、使用pcap記錄器記錄流量

f、Unix套接字模式

g，用于自動(dòng)PCAP文件處理

h、與Linux Netfilter防火墻的高級集成

（2）操作系統(tǒng)支持

Linux、FreeBSD、OpenBSD、macOS/Mac OS X、Windows

（3）配置文件

a、YAML-人和機(jī)器可讀

b、具有良好的注釋和文檔

c、支持包括其他配置文件

（4）TCP/IP引擎

a、可擴(kuò)展的流引擎

b、完整的IPv6支持

c、隧道解碼：Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE

（5）TCP流引擎

a、跟蹤會(huì)話

b、流重新組裝

c、基于目標(biāo)的流重新組裝

（6）IP整理磁盤碎片引擎

基于目標(biāo)的重新組裝

（7）協(xié)議解析器

a、支持?jǐn)?shù)據(jù)包解碼：IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE；Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN

b、應(yīng)用層解碼:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2;

使用Rust語言開發(fā)的新協(xié)議，用于安全快速的解碼

(8)HTTP 引擎

a、基于libhtp的有狀態(tài)HTTP解析器

b、HTTP請求記錄器

c、支持文件識別、提取和日志記錄

d、支持每個(gè)服務(wù)器設(shè)置-限制，個(gè)性等

e、匹配(規(guī)范化)緩沖區(qū)的關(guān)鍵字：uri和原始uri、headers and raw headers、cookie、user-agent、request body and response body、method, status and status code、host、request and response lines、decompress flash files等等

（9）檢測引擎

a、支持協(xié)議的關(guān)鍵字

b、支持每個(gè)vlan或捕獲設(shè)備的多租戶

c、xbits -流位擴(kuò)展

d、PCRE支持：用于登錄EVE的子字符串捕獲

e、快速模式和預(yù)過濾器支持

f、規(guī)則分析

g、文件匹配：magic文件、文件大小、文件名和擴(kuò)展名、文件MD5/SHA1/SHA256校驗(yàn)和——可擴(kuò)展到數(shù)百萬個(gè)校驗(yàn)和

h、可以選擇的多種模式匹配算法

i、具有廣泛的調(diào)優(yōu)選項(xiàng)

j、實(shí)時(shí)規(guī)則重載-使用新的規(guī)則重新啟動(dòng)Suricata

k、延遲初始化規(guī)則

l、用于自定義檢測邏輯的Lua腳本

m、支持Hyperscan集成

（10）輸出

a、支持Eve日志，所有JSON警告和事件輸出

b、用于生成自己的輸出格式的Lua輸出腳本

c、支持redis支持

e、HTTP請求日志

f、TLS握手日志

g、Unified2輸出-兼容Barnyard2

h、快速警報(bào)日志

i、警告調(diào)試日志—用于規(guī)則編寫器

j、使用pcap記錄器記錄流量

k、Prelude 支持

l、drop log - netfilter樣式的日志，用于在IPS模式下丟棄數(shù)據(jù)包

m、syslog -警告syslog

n、stats-引擎統(tǒng)計(jì)在固定的時(shí)間間隔

o、文件日志，包括JSON格式的MD5校驗(yàn)和

p、提取的文件存儲到磁盤，使用v2格式的重復(fù)數(shù)據(jù)刪除

q、DNS請求/回復(fù)日志程序，包括TXT數(shù)據(jù)

r、基于信號的日志循環(huán)

s、流日志

（11）報(bào)警/事件過濾

a、每個(gè)規(guī)則警告過濾和閾值

b、全局警報(bào)過濾和閾值設(shè)置

c、每個(gè)主機(jī)/子網(wǎng)閾值和速率限制設(shè)置

（12）包收集

a、高性能捕獲：

????????????AF_PACKET：實(shí)驗(yàn)性的eBPF和XDP模式可用

????????????PF_RING

????????????NETMAP

b、標(biāo)準(zhǔn)捕獲：

????????????PCAP

????????????NFLOG (netfilter集成)

c、IPS模式

????????????基于Linux的Netfilter (nfqueue)：不開放的支持

????????????基于FreeBSD和NetBSD的ipfw

????????????基于linux的AF_PACKET?

????????????NETMAP

d、捕獲卡和專用設(shè)備：

? ? ? ? ? ? ? Endace

? ? ? ? ? ? ?Napatech

? ? ? ? ? ? ? ?Tilera

（13）多線程

a、完全可配置線程——從單線程到幾十個(gè)線程

b、?預(yù)先“runmodes”

c、可選cpu關(guān)聯(lián)設(shè)置

d、使用細(xì)粒度鎖定和原子操作獲得最佳性能

e、可選鎖分析

（14）IP聲譽(yù)

a、加載大量基于主機(jī)的信譽(yù)數(shù)據(jù)

b、使用“iprep”關(guān)鍵字在規(guī)則語言中匹配聲譽(yù)數(shù)據(jù)

c、支持live重裝

d、支持CIDR 范圍

（15）Tools

a、suricata -update 易于規(guī)則更新管理的更新

b、Suricata-Verify開發(fā)過程中對QA進(jìn)行開發(fā)