Suricata-IDS与IPS

最新推荐文章于 2025-06-08 09:04:07 发布
最新推荐文章于 2025-06-08 09:04:07 发布
阅读量1.1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 suricata 知识分享 文章标签: 网络 安全 ids 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18643341/article/details/113760432
本文详细解读了Suricata的入侵检测系统(IDS)和入侵防御系统(IPS),比较了两者功能,强调了Suricata的强大规则引擎,并介绍了其在网络安全监控中的应用。讨论了IPS的位置选择策略,以及IPS与IDS的不同部署方式和检测方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone.
If you have any questions, please send a email to zhihao.tao@outlook.com

文章目录

1. 简述

Suricata引擎能够进行实时入侵检测(IDS)、入侵预防(IPS)、网络安全监控(NSM)。Suricata使用强大而广泛的规则和签名语言来检查网络流量。

2. 入侵检测系统(IDS)

依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

IDS入侵检测系统是一个旁路监听系统,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。

IDS在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:

  • 服务器邻接的交换机(或旁路其流量);
  • Internet接入路由器之后的第一台交换机(或旁路其流量);
  • 重点保护网段的局域网交换机(或旁路其流量)。

3. 入侵防御系统(IPS)

IPS可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):

  1. 向管理中心告警;
  2. 丢弃该报文;
  3. 切断此次应用会话;
  4. 切断此次TCP连接。

4. IPS与IDS的区别、选择

  • IPS位于防火墙和网络的设备之间。如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
  • IDS只是起到报警的作用。

IPS检测攻击的方法也与IDS不同:

  • IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
  • IDS对数据流进行检测。
Suricata 开源网络入侵检测系统(IDS)和入侵防御系统(IPS)安装和使用
zengliguang的专栏
08-28 2210
Suricata 是一个强大的开源网络入侵检测系统(IDS)和入侵防御系统(IPS)。
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 7235
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NETEXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
Suricata规则管理工具suricata-update详解
最新发布
gitblog_00755的博客
06-08 272
Suricata规则管理工具suricata-update详解 什么是suricata-update suricata-update是Suricata入侵检测系统(IDS)的官方规则管理工具,它简化了规则获取、更新和管理的过程。作为Suricata项目的重要组成部分,它为用户提供了一种高效、自动化的方式来维护规则集。 基本使用方法 安装初始化 从Suricata 4.1版本开始,suricata...
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
开源工具利器之基于网络IDSSuricata
黑白的博客
04-24 7243
主程序目录核心配置(suricata.yaml)日志eve.json:json格式的预警信息(类似wazuh的alert.json)fast.log:预警核心文件,只用于非结构化存储预警信息(类似wazuh的alert.log)stats.log:Suricata的统计信息suricata.log:程序运行日志。
开源USM之IDS suricata
weixin_34100227的博客
01-01 405
  上次我们介绍到USM,想必大家对它已经有一个概貌的认识了,今天我要大家分享的是安全管理平台百宝箱中的入 侵 检 测 系统[IDS],入 侵 检 测 系统是对防火墙的补充,有一个经典的比喻:防火墙相当于一个把门的门卫,对于所有进出大门的人员进行审核:只有符合安全要求的人,就是那些有入门许可证的人才可以进、出大门;门卫可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,而且对于那些本身就在...
suricata-update:更新您的Suricata规则的工具
04-30
Suricata更新 用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update....
SELKS, 基于Suricataids/ips发行版.zip
09-18
SELKS, 基于Suricataids/ips发行版 SELKS 介绍SELKS是一个免费开源的基于 linux ( with x 窗口管理器)的ids/ips平台,它从Stamus网络( https://www.stamus-networks.com/ ) 中发布。SELKS ISO
求助:基于SuricataIDSIPS发行版
02-02
Suricata是一款强大的网络入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域被广泛应用。基于SuricataIDS/IPS发行版通常集成了监控、管理和响应功能,以便于用户保护其网络免受恶意活动的侵害。在Linux...
suricata-5.0.3源码包
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域中扮演着重要的角色。此源码包版本为5.0.3,这意味着它包含了该软件开发过程中的最新特性和改进。这个源码包被确认可以在...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
Suricata开源IDS安装配置
weixin_30662011的博客
05-11 906
开源IDS Suricata安装 Linux下的依赖问题的解决 在Debian,Ubuntu或者Linux Mint系列 $ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1...
开源IDS/IPS-suricata框架之分组流水线模型
sj_djw的博客
01-21 1638
开源IDS/IPS-suricata框架之分组流水线模型 1 分组流水线模型 稍微有些过时的“auto”运行模式示例。 2 初始化 Suricata具有多种运行模式,每种模式都会初始化操作关联的线程,队列和管道。这些模式通常所选择的捕获设备(比如一个抓包接口eth0)、IDSIPS有关。捕获设备有:pcap、pcap文件、nfqueue、ip...
suricata.yaml (一款高性能的网络IDSIPS网络安全监控引擎)默认配置文件(图文详解)...
weixin_34072458的博客
08-09 1252
      不多说,直接上干货!       前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDSIPS网络安全监控引擎)的搭建(图文详解)(博主推荐)     或者 基于Ubuntu14.04下Suricata(一款高性能的网络IDSIPS网络安全监控引擎)的搭建(图文详解)(博主推荐)          [root@surica...
构建基于Suricata+Splunk的IDS入侵检测系统
abg49988的博客
12-12 889
一.什么是IDSIPSIDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并发出安全警报。 IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数...
suricataips模式
Leeboy_Wang的专栏
01-25 4584
suricata --build-info 查看是否支持NFQ模式 Suricata Configuration:   AF_PACKET support:                       yes   PF_RING support:                         no   NFQueue support:                         y
IPS——suricata
weixin_58666006的博客
09-12 1215
利用iptables搭配suricata形成一个IPS(入侵防御系统),包括本机IPS远程IPS
Suricata IPS-NFQ模式
Chaowanq的博客
11-30 2991
Suricata IPS-NFQ模式 注:本文写于2019年,文中的相关概念的介绍摘抄出自哪里已经不记得,如有侵权请指出,本文将补充相关部分的引用。 1.Suricata运行模式 Suricata有两个运行模式的概念。 一个运行模式封装在RunModes(runmmode.c)结构体里,一个RunModes对应一组运行模式。Suricata支持的所有运行模式存储在runmodes数组中,定义为RunModes runmodes[RUNMODE_USER_MAX]。模式包括:“IDS+Pcap”模式组、“Fi
suricata ips模式 编译安装方法+suricata的一些常见运行命令和注意事项---------未完,待补充
Chaowanq的博客
11-26 1552
suricata ips模式 编译安装方法+一些错误定位或注意事项 一、 suricata ips模式 编译安装运行方法 1>安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev li
DPDK加速的Suricata-4.1.4网络入侵检测系统配置
传统的IDS/IPS系统相比,Suricata具有更强的性能和更丰富的功能,能够提供基于规则的检测机制,同时支持网络数据流的线速处理。 - **版本信息**: - DPDK版本为**dpdk-stable-18.11**,表示使用的DPDK是18年11...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

phantasms

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值