Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强？

概念辨析

名称含义

IDS:Intrusion detection systems 入侵检测系统

IPS:Intrusion prevention systems 入侵防御系统

IDS分类

IDS 可以大致分为两类：基于签名的和基于异常的。

基于签名的IDS对已知的恶意签名进行扫描，并在发现这些签名时发出警报。恶意软件的签名是迅速发展的，因此基于签名的IDS需要定期更新最新的签名。

基于异常的IDS侧重于识别异常行为或活动模式。基于异常的IDS善于识别正在探测网络的网络犯罪分子，并标记任何可能被视为异常的东西，如多次失败的登录尝试。

区别对比

IDS和IPS引擎区别，可以参考下表

对比项	IDS引擎	IPS产品
部署方式	旁路部署	串行部署
部署位置	一般在交换机	一般在网络出入口
重要作用	监测告警	阻断攻击

Suricata

用OISF官方的话来说：

Suricata是领先的独立、开源威胁检测引擎。

通过结合入侵检测（IDS）、入侵预防（IPS）、网络安全监控（NSM）和PCAP处理，Suricata可以快速识别、阻止和评估最复杂的攻击。

哦，对了，忘说了，OISF(Open Information Security Foundation)是一家基金会

主要是是做开源信息安全产品的，照片也附上。

为开源安全软件社区和像Suricata这样的世界级威胁检测引擎项目提供架构和基础设施。随着对强大的相关安全技术需求的增长，OISF的作用是保护和维护开源空间的真实性。我们欢迎不同群体的参与，以产生网络和建立活跃的社区。我们通过在世界各地提供用户和开发人员培训课程来加强我们的公共空间。OISF主办了SuriCon，即充满活力的OISF/Suricata年度用户大会，这给我们整个社区提供了一个独特的机会来共同协作。

Snort

SNORT®入侵防御系统是世界上最重要的开源IPS，已经正式推出了Snort 3，这是一次全面的升级，其特点是改进和新功能，从而增强了性能，加快了处理速度，提高了网络的可扩展性，并有一系列200多个插件，因此用户可以为他们的网络创建一个自定义设置。

这logo看着还挺喜感的，没错，是猪鼻子！

但这不是重点，重点是这个产品是Cisco团队在做的，因此开源产品和suricata一样很棒。

Suricata vs Snort3

大部分厂商选择Suricata的原因

Snort自1998年开发至今，拥有比较长的历史和完整的知识库。

即便如此，很多开发厂商还是选择使用了Suricata，主要的原因如下：

• 旧版本的Snort2不支持多线程、吞吐量小，无论一个 CPU 包含多少个内核，都只会使用一个内核或一个线程，很大程度上造成了性能上的短板。

有一个相当复杂的解决方法：运行多个SNORT单线程实例，全部进入同一个日志。然而，管理这个过程的额外开销（AutoFP）和硬件的高成本，意味着这种设置很少在生产环境中出现。

• Suricata可以兼容Snort2的规则签名，也就是snort2的规则直接拿来，放到suricata里就可以用。
• Suricata支持文件提取、文件还原，可以将流量中的文件还原出来。Snort的

产品对比

• 在对比中，这里补充了一个Zeek引擎，主要是为了区别IDS种类，它是基于异常的。

对比项	Snort3	Suricata	Zeek
发布时间	2021年1月	2009年11月	2018年更名（原Bro从1994年开发）
开发语言	C++	C	C++
IDS类型	基于签名	基于签名	基于异常
线程性能	多线程	多线程	单线程
流行程度	1.2k次收藏	2.1k次收藏	4k次收藏
现有规则	约3万条规则	约2万条规则	无需规则

开源地址

Snort3:https://github.com/snort3/snort3

Suricata:https://github.com/OISF/suricata

Zeek:https://github.com/zeek/zeek

规则库分享

规则资料

Snort3

Snort3 社区版规则 3500条 https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Snort3 注册账户后提供了约3-4万条规则 2021年8月19日更新的最新规则 https://www.snort.org/downloads/registered/snortrules-snapshot-3190.tar.gz 规则更新资料 https://www.snort.org/downloads

Suricata

Suricata 规则 大约2万条

• Suricata ET规则

https://rules.emergingthreats.net/open/suricata/rules/

• Suricata 6.0.4稳定版（里面含规则） 更新时间：2021年11月18日

https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz

• Github上不错的第三方规则

包含网络扫描、暴力破解、漏洞利用、后门链接、webshell、病毒木马、间谍软件、安全认证、代码执行、文件还原、文件传输、可疑DNS、HTTP请求、恶意行为、违规操作、敏感信息泄露多类别。

https://github.com/al0ne/suricata-rules

个人评价

今年新出的Snort3可能会是一个不错的、新的开源IDS/IPS引擎，诸多优势让我不禁想试一下，后面在更新Suricata开源引擎玩法之后，我还会专门出一些新的Snort3的玩法，可以期待一下。

Mitre Attack攻击矩阵是否与规则存在映射关系？

这里可以看到Snort3的规则里有reference，上千条都已经围绕着Attack攻击矩阵的策略，还是蛮香的！

suricata少部分有，可能100条左右，当然，之前有老外也尝试进行映射过，可以参考这个github项目https://github.com/0xtf/nsm-attack

参考资料

参考资料

• Suricata-vs-snort https://www.aldeid.com/wiki/Suricata-vs-snort
• Open source IDS:Snort or Suricata https://resources.infosecinstitute.com/topic/open-source-ids-snort-suricata/
• Open Source IDS Tools: Comparing Suricata, Snort, Bro (Zeek), Linux https://cybersecurity.att.com/blogs/security-essentials/open-source-intrusion-detection-tools-a-quick-overview
• Suricata or Zeek? The answer is both. https://bricata.com/blog/suricata-or-zeek-the-answer-is-both/
• 5 open source intrusion detection systems for SMBs https://www.csoonline.com/article/3596315/5-open-source-intrusion-detection-systems-for-smbs.html