Suricata — система виявлення і попередження мережевих вторгнень. Програма була розроблена Open Information Security Foundation. Бета-версія вийшла у грудні 2009, перший стандартний випуск вийшов у липні 2010.[1][2]

Suricata
Тип система виявлення атак
система запобігання вторгненням
Розробник Open Information Security Foundation
Операційна система FreeBSD, Linux, UNIX, Mac OS X, Microsoft Windows
Мова програмування C
Ліцензія GNU General Public License
Репозиторій github.com/OISF/suricata
Вебсайт suricata-ids.org

Сирцеві тексти проекту поширюються під ліцензією GPLv2.

Особливості ред.

  • Система відрізняється підтримкою прискорення роботи через задіяння обчислень на стороні GPU (CUDA і OpenCL), підтримує багатонитевість для оптимального задіяння потужностей багатоядерних систем і має розвинуті засоби інспектування різних видів трафіку. У конфігураціях Suricata допустимо задіяння бази сигнатур, що розвивається проектом Snort, а також наборів правил Emerging Threats і Emerging Threats Pro.
  • Використання для виведення результатів перевірки уніфікованого формату Unified2, також використовуваного проектом Snort, що дозволяє використовувати стандартні інструменти для аналізу, такі як barnyard2. Можливість інтеграції з продуктами BASE, Snorby, Sguil і SQueRT. Підтримка виводу у форматі PCAP;
  • Підтримка автоматичного визначення протоколів (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB тощо), що дозволяє оперувати в правилах тільки типом протоколу, без прив'язки до номера порту (наприклад, блокувати HTTP трафік на нестандартному порту). Наявний декодувальник для протоколів HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
  • Потужна система аналізу HTTP-трафіку, що використовує для розбору і нормалізації HTTP-трафіку спеціальну бібліотеку HTP, створену автором проекту Mod_Security. Доступний модуль для ведення докладного журналу транзитних HTTP пересилань, лог зберігається в стандартному форматі Apache. Підтримується витяг і перевірка переданих за протоколом HTTP файлів. Підтримка розбору стисненого контенту. Можливість ідентифікації за URI, Cookie, заголовкам, user-agent, тілу запиту/відповіді;
  • Підтримка різних інтерфейсів для перехоплення трафіку, в тому числі NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Можливий аналіз вже збережених файлів у форматі PCAP;
  • Висока продуктивність, здатність обробляти на звичайному обладнанні потоки до 10 гігабіт/сек.
  • Високопродуктивний механізм зіставлення по масці з великими наборами IP-адрес. Підтримка виділення контенту за маскою і регулярними виразами. Виділення файлів з трафіку, в тому числі їхня ідентифікація за іменем, типом або контрольною сумою MD5
  • Можливість використання змінних в правилах: можна зберегти інформацію з потоку і пізніше використовувати її в інших правилах;
  • Використання формату YAML у файлах конфігурації, що дозволяє зберегти наочність при легкості машинної обробки;
  • Повна підтримка IPv6;
  • Вбудований рушій для автоматичної дефрагментації і перезбирання пакетів, що дозволяє забезпечити коректну обробку потоків, незалежно від порядку надходження пакетів;
  • Підтримка протоколів тунелювання: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Підтримка декодування пакетів: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Режим ведення логу ключів і сертифікатів, які фігурують в рамках з'єднань TLS/SSL;
  • Можливість написання скриптів на мові Lua для забезпечення розширеного аналізу і реалізації додаткових можливостей, необхідних для визначення видів трафіку, для яких не досить стандартних правил.

Виноски ред.

  1. New Open Source Intrusion Detector Suricata Released. Slashdot. 31 грудня 2009. Архів оригіналу за 25 серпня 2013. Процитовано 8 листопада 2011. 
  2. Suricata Downloads. Open Security Information Foundation. Архів оригіналу за 25 серпня 2013. Процитовано 8 листопада 2011. 

Посилання ред.