Suricata IDS入侵检测系统

Suricata

Suricata是一个免费的、开源的网络入侵检测系统（IDS）、入侵预防系统（IPS）和网络安全小红书综合引流工具(正版自动更新)-集采集|监控|关注|评论|点赞|截留养号为一体的小红书综合营销工具工具。它可以对网络流量进行实时分析和检测，并提供了丰富的规则库，可用于检测各种恶意行为，例如漏洞利用、恶意软件、网络扫描等。Suricata具有高性能、多线程处理、可扩展性强等特点，适用于大规模网络环境。同时，Suricata还支持多种协议解析，包括TCP、UDP、ICMP、HTTP等，可用于对不同类型的网络流量进行深度检测和分析。

安装

1 在 CentOS/RHEL 系统上

yum -y install epel-release yum-plugin-copr
yum -y copr enable @oisf/suricata-7.0
yum -y install suricata

2 在 Ubuntu/Debian 系统上

添加 Suricata 仓库（可选，但推荐使用官方仓库以获得最新版本)
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

本篇文章主要已centos 为主

• Suricata主程序目录：/usr/sbin/suricata
• Suricata核心配置目录：/etc/suricata/
• Suricata日志目录：/var/log/suricata/
• Suricata附属程序目录：/usr/bin

安装完成后，运行：

/usr/sbin/suricata --build-info

配置

1 配置 Suricata：Suricata的配置文件位于/etc/suricata/suricata.yaml。你可以根据需要编辑此文件，配置Suricata的规则、日志路径、接口等。

sudo vim /etc/suricata/suricata.yaml

2 请仔细阅读配置文件并根据你的网络环境进行相应的配置。

# 全局配置
vars:
  address-groups:
    HOME_NET: "[192.168.0.0/16, 10.0.0.0/8]" 注意修改网段

# 接口配置
interfaces:
  - interface: eth0 # 注意修改
    enabled: yes
    promisc: no

# 日志输出配置
outputs:
  - fast:
      enabled: yes
      filename: fast.log

# 规则配置 注意与下面提到规则配置路径相对应
default-rule-path: /etc/suricata/rules
rule-files:
  - suricata.rules

# 检测引擎配置
detection:
  engine-analysis-frequency: 16
  cluster-type: cluster_flow

配置规则集

1 下载规则集（可选）：Suricata使用规则集来检测网络流量中的威胁。你可以从Suricata官方网站或其他提供规则的地方下载规则。将规则文件放置在配置文件中指定的规则路径下。

1：https://rules.emergingthreats.net/open/suricata-5.0/rules/

根据你的需求下载相应的规则集，这里我们下载 emerging.rules.zip

2 下载好之后解压到

/etc/suricata/rules/rules/

3 修改配置文件加载规则

1 vim /etc/suricata/suricata.yaml
2 修改default-rule-path 如下图修改为规则所在目录，可以配置多个

使用

1 启动 Suricata：

suricata -c /etc/suricata/suricata.yaml -i ens192

启动成功 告警暂时忽略

2 查看日志 /var/log/suricata

suricata日志文件包含了系统运行时所记录的各种事件和信息。以下是一些常见的 Suricata 日志类型及其说明：

1. eve.json: 这是 Suricata 最常用的日志格式，以 JSON 格式记录事件信息，包括网络流量、警报、HTTP 请求等。该日志文件通常用于分析网络活动和检测潜在的安全威胁。

2. http.log: 记录 HTTP 请求和响应的信息，包括请求方法、URL、来源地址、目的地址、状态码等，有助于分析 Web 流量和检测恶意活动。fast.log: 这个日志文件记录了 Suricata 检测到的快速事件，比如简单的流量匹配、流量流向等信息。

3. stats.log: 该日志文件包含有关 Suricata 运行状态和性能的统计信息，如吞吐量、警报数量、流量量等。

4. tls.log: 记录与 TLS/SSL 加密通信相关的信息，如握手过程、加密套件、证书信息等，有助于小红书综合引流工具(正版自动更新)-集采集|监控|关注|评论|点赞|截留养号为一体的小红书综合营销工具加密流量并检测可能的安全问题。

5. dns.log: 记录 DNS 查询和响应的信息，包括查询类型、域名、IP 地址等，有助于分析 DNS 流量和检测潜在的恶意域名。

6. suricata.log 文件是 Suricata 的运行日志，记录了 Suricata 启动、运行和关闭过程中的各种信息。这包括配置加载、规则文件处理、错误消息、警告以及其他诊断信息。

Suricata 的日志输出和详细程度可以通过编辑配置文件 suricata.yaml 中的相应部分来调整。例如，你可以启用或禁用特定类型的日志，或者调整Eve日志中记录的事件类型和详细程度。