1.简介
Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elasticsearch、Kibana和其他数据库等工具进行集成将变得非常简单。Suricata项目和代码由开放信息安全基金会(OISF)拥有和支持,OISF是一个非盈利基金会,致力于确保Suricata作为一个开源项目的开发和持续成功。
2.特性
(1)IDS/IPS
Suricata实现了一个完整的签名语言来匹配已知的威胁、策略违反和恶意行为。Suricata还将检测它所检测的流量中的许多异常。Suricata能够使用专门的新兴威胁Suricata规则集(https://www.proofpoint.com/us/products/et-intelligence)和VRT规则集(https://snort.org/talos)。
(2)高性能
一个Suricata实例就可以检查数千兆的流量。该引擎是围绕多线程、现代、干净和高度可伸缩的代码库构建的。本地支持硬件加速(多个供应商)和通过PF_RING和AF_PACKET。
(3)协议自动检测
Suricata将自动检测任何端口上的协议,如HTTP协议,FTP协议,并应用适当的检测和日志记录逻辑。这大大有助于找到恶意软件和CnC通道。
(4)NSM:不仅仅是IDS
Suricata可以记录HTTP请求、记录和存储TLS证书、从流中提取文件并将它们存储到磁盘。完整的pcap捕获支持简单的分析。所有这些都使Suricata成为网络安全监视(NSM)生态系统的强大引擎。
a.TLS/SSL日志记录和分析:由于Suricata的TLS解析器,您不仅可以在规则集语言中对SSL/TLS交换信息的大多数方面进行匹配,还可以记录所有密钥交换并进行分析,这是确保您的网络不受信誉较差的证书颁发机构的侵害的好方法。
b.HTTP日志记录:当您的IDS已经看到HTTP活动时,为什么还要向网络中添加更多其他的硬件来记录HTTP活动? Suricata将记录端口上的所有HTTP连接,以便后续分析。
(5)LUA 脚本
高级分析和功能可用来检测规则集语法中无法检测的内容。
(6)行业标准输出
在2.0中,引入了“Eve”,即所有JSON事件和警报输出。这允许与Logstash和类似工具轻松集成。
(7)其他
此外,通过Unified2输出格式和Barnyard2工具,Suricata可以与BASE、Snorby、Sguil、SQueRT和其他所有工具一起使用。
3.所有特性(suricata完整功能列表)
(1)引擎
a、网络入侵检测系统(NIDS)引擎
b、网络入侵防御系统(NIPS)引擎
c、网络安全监控(NSM)引擎
d、离线分析PCAP文件
e、使用pcap记录器记录流量
f、Unix套接字模式
g,用于自动PCAP文件处理
h、与Linux Netfilter防火墙的高级集成
(2)操作系统支持
Linux、FreeBSD、OpenBSD、macOS/Mac OS X、Windows
(3)配置文件
a、YAML-人和机器可读
b、具有良好的注释和文档
c、支持包括其他配置文件
(4)TCP/IP引擎
a、可扩展的流引擎
b、完整的IPv6支持
c、隧道解码:Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE
(5)TCP流引擎
a、跟踪会话
b、流重新组装
c、基于目标的流重新组装
(6)IP整理磁盘碎片引擎
基于目标的重新组装
(7)协议解析器
a、支持数据包解码:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE;Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN
b、应用层解码:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2;
使用Rust语言开发的新协议,用于安全快速的解码
(8)HTTP 引擎
a、基于libhtp的有状态HTTP解析器
b、HTTP请求记录器
c、支持文件识别、提取和日志记录
d、支持每个服务器设置-限制,个性等
e、匹配(规范化)缓冲区的关键字:uri和原始uri、headers and raw headers、cookie、user-agent、request body and response body、method, status and status code、host、request and response lines、decompress flash files等等
(9)检测引擎
a、支持协议的关键字
b、支持每个vlan或捕获设备的多租户
c、xbits -流位扩展
d、PCRE支持:用于登录EVE的子字符串捕获
e、快速模式和预过滤器支持
f、规则分析
g、文件匹配:magic文件、文件大小、文件名和扩展名、文件MD5/SHA1/SHA256校验和——可扩展到数百万个校验和
h、可以选择的多种模式匹配算法
i、具有广泛的调优选项
j、实时规则重载-使用新的规则重新启动Suricata
k、延迟初始化规则
l、用于自定义检测逻辑的Lua脚本
m、支持Hyperscan集成
(10)输出
a、支持Eve日志,所有JSON警告和事件输出
b、用于生成自己的输出格式的Lua输出脚本
c、支持redis支持
e、HTTP请求日志
f、TLS握手日志
g、Unified2输出-兼容Barnyard2
h、快速警报日志
i、警告调试日志—用于规则编写器
j、使用pcap记录器记录流量
k、Prelude 支持
l、drop log - netfilter样式的日志,用于在IPS模式下丢弃数据包
m、syslog -警告syslog
n、stats-引擎统计在固定的时间间隔
o、文件日志,包括JSON格式的MD5校验和
p、提取的文件存储到磁盘,使用v2格式的重复数据删除
q、DNS请求/回复日志程序,包括TXT数据
r、基于信号的日志循环
s、流日志
(11)报警/事件过滤
a、每个规则警告过滤和阈值
b、全局警报过滤和阈值设置
c、每个主机/子网阈值和速率限制设置
(12)包收集
a、高性能捕获:
AF_PACKET:实验性的eBPF和XDP模式可用
PF_RING
NETMAP
b、标准捕获:
PCAP
NFLOG (netfilter集成)
c、IPS模式
基于Linux的Netfilter (nfqueue):不开放的支持
基于FreeBSD和NetBSD的ipfw
基于linux的AF_PACKET
NETMAP
d、捕获卡和专用设备:
Endace
Napatech
Tilera
(13)多线程
a、完全可配置线程——从单线程到几十个线程
b、 预先“runmodes”
c、可选cpu关联设置
d、使用细粒度锁定和原子操作获得最佳性能
e、可选锁分析
(14)IP声誉
a、加载大量基于主机的信誉数据
b、使用“iprep”关键字在规则语言中匹配声誉数据
c、支持live重装
d、支持CIDR 范围
(15)Tools
a、suricata -update 易于规则更新管理的更新
b、Suricata-Verify开发过程中对QA进行开发
网友评论