概念辨析
名称含义
IDS:Intrusion detection systems 入侵检测系统
IPS:Intrusion prevention systems 入侵防御系统
IDS分类
IDS 可以大致分为两类:基于签名
的和基于异常
的。
基于签名
的IDS对已知的恶意签名进行扫描,并在发现这些签名时发出警报。恶意软件的签名是迅速发展的,因此基于签名的IDS需要定期更新最新的签名。
基于异常
的IDS侧重于识别异常行为或活动模式。基于异常的IDS善于识别正在探测网络的网络犯罪分子,并标记任何可能被视为异常的东西,如多次失败的登录尝试。
区别对比
IDS和IPS引擎区别,可以参考下表
对比项 | IDS引擎 | IPS产品 |
部署方式 | 旁路部署 | 串行部署 |
部署位置 | 一般在交换机 | 一般在网络出入口 |
重要作用 | 监测告警 | 阻断攻击 |
Suricata
用OISF官方的话来说:
Suricata是领先的独立、开源威胁检测引擎。
![图片[1]-Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211220120648505.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
通过结合入侵检测(IDS)、入侵预防(IPS)、网络安全监控(NSM)和PCAP处理,Suricata可以快速识别、阻止和评估最复杂的攻击。
哦,对了,忘说了,OISF(Open Information Security Foundation)是一家基金会
![图片[2]-Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211220120614943.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
主要是是做开源信息安全产品的,照片也附上。
![图片[3]-Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211220120543152.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
为开源安全软件社区和像Suricata这样的世界级威胁检测引擎项目提供架构和基础设施。随着对强大的相关安全技术需求的增长,OISF的作用是保护和维护开源空间的真实性。我们欢迎不同群体的参与,以产生网络和建立活跃的社区。我们通过在世界各地提供用户和开发人员培训课程来加强我们的公共空间。OISF主办了SuriCon,即充满活力的OISF/Suricata年度用户大会,这给我们整个社区提供了一个独特的机会来共同协作。
Snort
SNORT®入侵防御系统是世界上最重要的开源IPS,已经正式推出了Snort 3,这是一次全面的升级,其特点是改进和新功能,从而增强了性能,加快了处理速度,提高了网络的可扩展性,并有一系列200多个插件,因此用户可以为他们的网络创建一个自定义设置。
![图片[4]-Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/12/20211220144535888.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
这logo看着还挺喜感的,没错,是猪鼻子!
但这不是重点,重点是这个产品是Cisco团队在做的,因此开源产品和suricata一样很棒。
Suricata vs Snort3
大部分厂商选择Suricata的原因
Snort自1998年开发至今,拥有比较长的历史和完整的知识库。
即便如此,很多开发厂商还是选择使用了Suricata,主要的原因如下:
- 旧版本的Snort2不支持多线程、吞吐量小,无论一个 CPU 包含多少个内核,都只会使用一个内核或一个线程,很大程度上造成了性能上的短板。
有一个相当复杂的解决方法:运行多个SNORT单线程实例,全部进入同一个日志。然而,管理这个过程的额外开销(AutoFP)和硬件的高成本,意味着这种设置很少在生产环境中出现。
- Suricata可以兼容Snort2的规则签名,也就是snort2的规则直接拿来,放到suricata里就可以用。
- Suricata支持文件提取、文件还原,可以将流量中的文件还原出来。Snort的
产品对比
- 在对比中,这里补充了一个Zeek引擎,主要是为了区别IDS种类,它是基于异常的。
对比项 | Snort3 | Suricata | Zeek |
---|---|---|---|
发布时间 | 2021年1月 | 2009年11月 | 2018年更名(原Bro从1994年开发) |
开发语言 | C++ | C | C++ |
IDS类型 | 基于签名 | 基于签名 | 基于异常 |
线程性能 | 多线程 | 多线程 | 单线程 |
流行程度 | 1.2k次收藏 | 2.1k次收藏 | 4k次收藏 |
现有规则 | 约3万条规则 | 约2万条规则 | 无需规则 |
开源地址
Snort3:https://github.com/snort3/snort3
Suricata:https://github.com/OISF/suricata
Zeek:https://github.com/zeek/zeek
规则库分享
规则资料
Snort3
Snort3 社区版规则 3500条 https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
Snort3 注册账户后提供了约3-4万条规则 2021年8月19日更新的最新规则 https://www.snort.org/downloads/registered/snortrules-snapshot-3190.tar.gz 规则更新资料 https://www.snort.org/downloads
Suricata
Suricata 规则 大约2万条
- Suricata ET规则
https://rules.emergingthreats.net/open/suricata/rules/
- Suricata 6.0.4稳定版(里面含规则) 更新时间:2021年11月18日
https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz
- Github上不错的第三方规则
包含网络扫描、暴力破解、漏洞利用、后门链接、webshell、病毒木马、间谍软件、安全认证、代码执行、文件还原、文件传输、可疑DNS、HTTP请求、恶意行为、违规操作、敏感信息泄露多类别。
https://github.com/al0ne/suricata-rules
个人评价
今年新出的Snort3可能会是一个不错的、新的开源IDS/IPS引擎,诸多优势让我不禁想试一下,后面在更新Suricata开源引擎玩法之后,我还会专门出一些新的Snort3的玩法,可以期待一下。
Mitre Attack攻击矩阵是否与规则存在映射关系?
这里可以看到Snort3的规则里有reference,上千条都已经围绕着Attack攻击矩阵的策略,还是蛮香的!
![图片[5]-Suricata/Snort 开源IDS/IPS入侵检测、防御引擎哪家强?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/01/20220104034404210-1024x428.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
suricata少部分有,可能100条左右,当然,之前有老外也尝试进行映射过,可以参考这个github项目https://github.com/0xtf/nsm-attack
参考资料
参考资料
- Suricata-vs-snort https://www.aldeid.com/wiki/Suricata-vs-snort
- Open source IDS:Snort or Suricata https://resources.infosecinstitute.com/topic/open-source-ids-snort-suricata/
- Open Source IDS Tools: Comparing Suricata, Snort, Bro (Zeek), Linux https://cybersecurity.att.com/blogs/security-essentials/open-source-intrusion-detection-tools-a-quick-overview
- Suricata or Zeek? The answer is both. https://bricata.com/blog/suricata-or-zeek-the-answer-is-both/
- 5 open source intrusion detection systems for SMBs https://www.csoonline.com/article/3596315/5-open-source-intrusion-detection-systems-for-smbs.html
- 最新
- 最热
只看作者