Suricata 开源入侵检测/防御系统
开源的网络威胁检测引擎,同时能当 [ids|IDS]和 [ips|IPS]。
三种工作模式
| 模式 | 干啥 |
|---|---|
| IDS | 监控流量、匹配规则、告警 |
| IPS | 内联部署,匹配到就拦截 |
| NSM | 网络安全监控,记录流量供事后分析 |
怎么工作
Suricata 靠**规则(signature)**判断什么是威胁。规则长这样:
alert http any any -> any any (msg:"可疑下载"; content:"malware.exe"; sid:1001;)
匹配到就产生一条 事件,输出成 EVE JSON 日志,常喂给 SIEM 做关联。
为什么常被提到
免费、规则可自定义、社区规则集庞大(Emerging Threats)。是 签名分析 检测方法的典型落地工具,和 Snort、Zeek 并列开源三强。