suricata

barnyard2+suricata+snorby 【Barnyard2安装】 #yum install -y gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnet libdnet-devel libyaml-devel file file-devel libtool libpcap libpcap-devel 下载daq并安装 #wget https://snort.org/downloads/snort/daq-2.0.6.tar.gz #tar zxvf daq-2.0.6.tar.gz #cd daq-2.0.6 #./configure && make && make install 下载libdnet并安装 #wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz #tar zxvf libdnet-1.11.tar.gz #cd libdnet-1.11 #./configure && make && make install 下载Barnyard2并安装 #cd .. #wget -O barnyard2.zip --no-check-certificate https://codeload.github.com

linux：centos7 网络环境：连接外网，可ping通百度 下载suricata5.01包 https://www.openinfosecfoundation.org/download/suricata-5.0.1.tar.gz 安装依赖环境 yum install epel-release yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel 解压/编译suricata tar -zxvf suricata-5.0.1.tar.gz mv suricata-5.0.1 suricata cd suricata ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua 结果如图 执行 make make install 编译结束后，执行make

OSSIM架构与组成综述 OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持，就很难快速处理故障。市面上有很多运维监控工具，例如商业版的 Solarwinds、ManageEngine以及WhatsUp等，开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联，无法共享，即便部署了这些工具，很多运维人员并没有从中真正解脱出来，成千上万条警告信息堆积在一起，很难识别问题的根源，结果被海量日志所淹没，无法解脱出来。 另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患，这种优秀的开源平台叫做OSSIM即开源安全信息管理系统(Open source Security Information Management)，下面让我们认识一下OSSIM的基本结构和组成 从架构上来看，OSSIM系统是一个开放的框架，它的核心价值在于创新的集成各开源软件之所长，它里面的模块既有C

0x01 suricata介绍 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的，由一个社区经营的非营利基金会开放信息安全基金会（OISF）开发。 https://www.osgeo.cn/suricata/what-is-suricata.html 0x02 suricata语法 规则语法由规则头部和规则选项组成 alert tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any（ rule options ） 规则行为 协议 源ip 源端口 流量方向 目标ip 目标端口 规则选项 语法：action：确认特征/签名匹配会发生什么 Header: 协议、ip地址、端口和规则的方向 Rule options:定义规则细节 Action：默认顺序为：pass，drop，reject，alert Pass :匹配到规则后，suricata停止扫描数据包，并跳到所有规则末尾(仅针对当前数据包) Drop: ips模式使用，如果匹配到，则立即阻断数据包不会发送任何信息。 Reject :对数据包主动拒绝，接收者与发送者都会收到一个拒绝包。 Alert：记录所有匹配规则并记录与匹配规则相关的数据包并产生报警 协议：在规则中指定匹配那些协议。 源ip和目的ip:分别指定流量的来源和目标 源端口和目的端口

使用suricata和bro分析pcap文件 作者没有在自己电脑上安装这两个软件，而是直接通过学校的服务器来使用suricata和bro的（这里推荐远程连接工具MobaXterm，比xshell好用太多），也是黑瞎子摸鱼，啥也不会，然后看suricata和bro的文档看到吐，下面的步骤比较简单，但对于当时零起步的我来说也是费了好大功夫（菜菜菜的，捂脸）~~~ 1.pcap包的来源： 1）从wireshark软件中抓取 2）从一些网站中下载，这个页面提供了几个链接https://www.cnblogs.com/bonelee/p/11379587.html 我主要从https://www.malware-traffic-analysis.net/index.html下载pcap文件 2.使用suricata分析pcap文件并产生日志 上图是使用suricata对pcap文件进行分析，格式是：suricata -r pcap文件名 -l 自定义输出位置 我们看到在我们的指定文件夹下就有了suricata对pcap文件的检测日志。每种日志的信息可以去官网https://suricata.readthedocs.io/en/suricata-5.0.1/查看。 这个是fast.log里面的部分条目，里面是警报记录。 2.使用bro分析pcap文件 得到日志文件 以上只是完成了入侵检测的功能

目录 Suricata简介 IDS/IPS简介 Suricata主要特点 Suricata基本架构 Suricata抓包性能 Suricata规则 Suricata自定义检测 Suricata http log自定义输出 Suricata单进程同时监听两个网口 问题 总结 参考 Suricata简介 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的，由一个社区经营的非营利基金会开放信息安全基金会（OISF）开发。 安装环境建议使用centos7/redhat7版本以上的操作系统，Suricata版本建议使用4.x以上，这样方便多线程，Hypersca，pfring等功能的使用。6版本的操作系统编译环境需要花时间取升级修复，不建议使用。 IDS/IPS简介 检测系统（Intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，根据预设的策略，在发现可疑传输时发出警报。 预防系统(Intrusion prevention system，简称“IPS”)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，一般位于防火墙和网络的设备之间，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。相对于IDS主能提供了中断防御功能。 Suricata主要特点 支持从nfqueue中读取流量

0 | 1 一.什么是IDS和IPS？ IDS(Intrusion Detection Systems)：入侵检测系统，是一种网络安全设备或应用软件，可以依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并发出安全警报。 IPS(Intrusion Prevention System)：入侵防御系统，除了具有IDS的监控检测功能之外，可以深度感知检测数据流量，对恶意报文进行丢弃，以阻止这些异常的或是具有伤害性的网络行为。 NSM：网络安全监控系统，用于收集、检测和分析网络安全数据，通常IDS是其组成部分之一。 IPS入侵防御系统，是在IDS入侵检测系统的基础上，增加了事件处理以及安全防护功能，能够主动对安全事件进行响应。 0 | 1 二.IDS/IPS的功能及分类 1.IDS根据两种方法进行分类：按照数据来源、按照入侵检测策略。 按照数据来源分类 基于网络的入侵检测系统（NIDS） 基于主机的入侵监测系统（HIDS） 分布式入侵检测系统（DIDS） 按照入侵检测策略分类 滥用检测 异常检测 完整性分析 2.IPS从功能上具有以下几个组成部分： 数据采集：采集和捕获流量数据 入侵检测：分析流量和日志数据，发现安全异常行为并发出警报,常见的有Snort、Suricata、Bro 结果展示：用于分析IDS警报并进行友好展示

COPY From： POSTED IN NETWORK SECURITY ON JANUARY 18, 2018 SNORT Suricata . What are the main differences and what can we expect in the future from SNORT? Rules Talos’ SO / VRT rules CrowdStrikes Threat Intelligence Services . Emerging Threats additional features file extraction . Application Detection Since the early days of Snorts existence, it has been called out that Snort is not “application aware.” It simply looks at traffic matching its rules and takes an action (alert, drop, etc) when there is a match. Pre-processors assist by shaping the traffic into a usable format for the rules to