IDS入侵檢測防禦之Suricata（Ubuntu）

---

一、Suricata介紹

    Suricata是一個免費，開源，成熟，快速且強大的網絡威脅檢測引擎。它是由the Open Information Security Foundation開發，是一款開源的系統。Suricata引擎能夠進行實時入侵檢測（IDS），內聯入侵防禦（IPS），網絡安全監視（NSM）和脫機pcap處理。

    Suricata使用強大而廣泛的規則和簽名語言來檢查網絡流量，並具有強大的Lua腳本支持來檢測複雜的威脅。藉助YAML和JSON之類的標準輸入和輸出格式，以及與現有SIEM，Splunk，Logstash/ Elasticsearch，Kibana和其他數據庫之類的工具的集成，就變得毫不費力。
    

二、Suricata主要特點

1. 支持從nfqueue中讀取流量；
2. 支持分析離線pcap文件和pcap文件方式存儲流量數據；
3. 支持ipv6；
4. 支持pcap，af_packet，pfring，硬件卡抓包；
5. 多線程；
6. 支持內嵌lua腳本，以實現自定義檢測和輸出腳本；
7. 支持ip信用等級；
8. 支持文件還原；
9. 兼容snort規則；
10. 支持常見數據包解碼：IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN；
11. 支持常見應用層協議解碼：HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5,
    IKEv2, SIP, SNMP, RDP；
        

三、運行模式

    有三種運行模