Suricata
Suricata 是什么?
Suricata由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
Suricata 是 2010 年首次发布、由 Open Information Security Foundation(OISF)开发的多线程开源网络安全引擎。它同时支持入侵检测(IDS)、串接入侵防御(IPS)与丰富的网络安全监控(NSM),输出 EVE JSON 日志、协议元数据(HTTP、TLS、DNS、SMB、Kerberos)以及提取出的文件。Suricata 兼容 Snort 规则语言,同时提供 Lua、datasets、ja3、ja4 等自有关键字,可直接复用 ET Open 与 Talos 等社区规则集。它被广泛部署在互联网出口、云端 TAP 以及 SOC 传感器集群中,常与 Zeek 搭配以获取更丰富的协议解码能力。
● 示例
- 01
在边界防火墙以串接 IPS 模式运行 Suricata,根据 ET Open 规则丢弃流量。
- 02
将 Suricata 的 EVE JSON 日志接入 SIEM,与终端遥测进行关联分析。
● 常见问题
Suricata 是什么?
由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。 它属于网络安全的 防御与运营 分类。
Suricata 是什么意思?
由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
Suricata 是如何工作的?
Suricata 是 2010 年首次发布、由 Open Information Security Foundation(OISF)开发的多线程开源网络安全引擎。它同时支持入侵检测(IDS)、串接入侵防御(IPS)与丰富的网络安全监控(NSM),输出 EVE JSON 日志、协议元数据(HTTP、TLS、DNS、SMB、Kerberos)以及提取出的文件。Suricata 兼容 Snort 规则语言,同时提供 Lua、datasets、ja3、ja4 等自有关键字,可直接复用 ET Open 与 Talos 等社区规则集。它被广泛部署在互联网出口、云端 TAP 以及 SOC 传感器集群中,常与 Zeek 搭配以获取更丰富的协议解码能力。
如何防御 Suricata?
针对 Suricata 的防御通常结合技术控制与运营实践,详见上方完整定义。
Suricata 还有哪些其他名称?
常见的别称包括: Suricata IDS, Suricata IPS。
● 相关术语
- network-security№ 547
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
- network-security№ 548
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
- defense-ops№ 1061
Snort 规则
采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
- defense-ops№ 1261
Zeek
开源的网络安全监控工具(原名 Bro),将网络流量转换为面向协议、结构化的日志,并通过脚本进行威胁检测。
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- network-security№ 724
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
● 参见
- № 1245Wireshark
- № 997Security Onion