Snort

🐖🐖🐖Snort的粉红小猪好可爱呜🐷🐷🐷

image.png
Snort是一个开源入侵防御系统,能够进行实时流量分析数据包日志记录。

Snort Users Manual (HTML)

鐵血男兒 - Snort与Suricata功能比较

Snort自发布以来,多年来一直是事实上的IDS引擎,它拥有庞大的用户社区,以及范围广泛的Snort规则订阅者,这些规则不断扩大,促进了Snort的普及和推广。 与Snort相比,Suricata的诞生时间不长,但Suricata已经为自己作为Snort的现代解决方案或替代产品奠定了基础,特别是其多线程处理功能在性能上明显占有优势,占有率也不断扩大。

有几种入-侵检测系统引擎可用于自动化和简化入-侵检测过程,Snort是最佳选择之一。Snort已成为世界上部署最广泛,最值得信赖的入-侵防御和检测技术。Snort IDS的成功归功于全球开源安全社区的用户可以比其他IDS引擎更快,更有效地检测和响应错误、蠕虫、恶意软件攻-击和其他安全威胁。此外,还有各种各样的参考指南可用于在网络上安装、配置、部署和管理Snort IDS传感器和基于规则的签名。

Snort优势

可扩展性

Snort可以在任何网络环境中部署;

灵活性和可用性

Snort可以在各种操作系统上运行,包括Linux,Windows和Mac OS X;

实时性

Snort可以提供实时网络流量事件信息;

部署灵活

Snort可以通过数千种方式进行部署,并且可以使用无数的数据库、日志记录系统和工具;

快速检测和应对安全威胁

Snort与防火墙和其他安全基础架构结合使用,可帮助组织检测和响应旨在消除网络和网络的系统破解程序、蠕虫、网络漏洞、安全威胁和策略滥用者计算机系统;

模块化检测引擎

Snort传感器是模块化的,可以从一个物理和逻辑位置监控多台机器。Snort可以放在防火墙前面、防火墙后面、防火墙旁边、以及其他任何地方,以监控整个网络。因此,使用Snort作为安全解决方案,可以确定是否有未经授权的企图入-侵网络,或者黑-客是否未经授权访问网络系统。

Snort在监控网络系统方面的优势


Snort使用规则驱动的语言,结合了签名,协议和基于异常的检查方法的优点。凭借其惊人的速度、动力和性能,Snort迅速获得了成功。迄今为止,Snort有数百万次的下载,已成为世界上部署最广泛的入-侵检测和预防系统。
Snort使用灵活的基于规则的语言来描述它应该收集或传递的流量。Snort的工作是监听TCP / IP网络流量,并在数据流中查找可能表明组织网络和计算机系统存在安全威胁的签名。规则配置为采取行动,该行动因被动响应(仅记录或发送电子邮件)与主动响应(执行某些操作以阻止恶意活动发生)而不同。
可以利用Snort社区提供的新的或现有的规则集,以及根据网络的要求编写和修改自己的规则。可以编写复杂的规则来识别通过网络的任何类型的流量并执行某些操作。Snort规则不断被审查、修改和改进,以通过Snort社区的支持来检测新的和不断变化的安全威胁。


Suricata优势

开源引擎

社区的力量在IT安全防御中运行良好,因为社区在捕获新兴威胁的特征方面比单个组织更有效;

多线程

多线程架构允许引擎利用当今系统的多核和多处理器架构(Snort自3.0以后也支持多线程);

支持IP信誉

通过在其引擎中加入声誉和签名,Suricata可以标记来自已知不良来源的流量;

自动协议检测

预处理器自动识别网络流中使用的协议,并应用适当的规则,而不管数字端口如何。自动协议检测还可以防止用户错误和错误,这些错误和错误实际上更常见。

Suricata在监控复杂类型的攻-击方面相对更有效

Suricata也是一种基于规则的ID / PS引擎,它利用外部开发的规则集来监控网络流量,并在发生可疑事件时向系统管理员发出警报。Suricata还使用“嗅探器”引擎来分析进出网络系统的流量。多线程功能允许嗅探器快速匹配更多流量规则,并将更多计算能力应用于安全流程。


Suricata旨在与现有网络安全组件兼容,具有Unified2输出功能和可插拔库选项,可接受来自其他应用程序的呼叫。此外,Suricata还可以与Snort规则集配合使用。同时Suricata还整合了革命性的技术,引擎嵌入了HTTP规范化器和解析器(HTP库),它提供了非常高级的HTTP流处理,使人们能够理解OSI模型的第7级流量。


AlienVault - 开源IDS工具:比较Suricata、Snort、Bro (Zeek)和Linux

威胁检测技术主要有两种:基于特征的检测和基于异常的检测。

基于签名的IDS工具

使用基于签名的IDS,即基于知识的IDS,可以搜索已知恶意流量的规则或模式。一旦发现与签名匹配,就会向管理员发送警报。这些警报可以发现已知的恶意软件、网络扫描活动和针对服务器的攻击等问题。

基于异常的 IDS工具

使用基于异常的IDS,即基于行为的IDS,生成流量的活动远比交付的负载重要得多。基于异常的IDS工具依赖于基线而不是签名。它将搜索不寻常的活动,偏离统计平均值的以前的活动或以前看到的活动。例如,如果一个用户总是从加利福尼亚登录到网络并访问工程文件,如果相同的用户从北京登录并查看HR文件,这是一个危险信号。
基于签名和基于异常的检测技术通常都是以相同的方式部署的,尽管您可以(和人们一样)根据外部收集的netflow数据或类似的流量信息创建基于异常的IDS。

优点和缺点

基于签名的检测很少出现误报,但只有已知的签名被标记,为新的和尚未确定的威胁留下了安全漏洞。基于异常的检测会出现更多的误报,但如果配置正确,它会捕获以前未知的威胁。