Snort 与 Suricata功能比较

因为pfSense与OPNsense在IDS上使用不同的引擎，前者使用Snort，后者使用SurIicata，本文对这两种IDS进行简单的介绍。至于pfSense和OPNsense有什么不同，请参考这篇文章。

Snort自发布以来，多年来一直是事实上的IDS引擎，它拥有庞大的用户社区，以及范围广泛的Snort规则订阅者，这些规则不断扩大，促进了Snort的普及和推广。尽管与Snort相比，Suricata的诞生时间不长，但Suricata已经为自己作为Snort的现代解决方案或替代产品奠定了基础，特别是其多线程处理功能在性能上明显占有优势，占有率也不断扩大。

项目	Snort	Suricata
开发公司	Sourcefire，Inc。	开放信息安全基金会（OISF）
可用性	自1998年以来	自2009年以来
编程语言	C	C
操作系统	跨平台	跨平台
稳定版本	3.0（2018年8月29）	4.05（2018年7月18日）
线程	多线程	多线程
IPv6支持	支持	支持
Snort（VRT）规则支持	支持	支持
新兴威胁规则支持	支持	支持
记录格式	Unified2	Unified2
Aanval兼容性	支持	支持

有几种入-侵检测系统引擎可用于自动化和简化入-侵检测过程，Snort是最佳选择之一。Snort已成为世界上部署最广泛，最值得信赖的入-侵防御和检测技术。Snort IDS的成功归功于全球开源安全社区的用户可以比其他IDS引擎更快，更有效地检测和响应错误、蠕虫、恶意软件攻-击和其他安全威胁。此外，还有各种各样的参考指南可用于在网络上安装、配置、部署和管理Snort IDS传感器和基于规则的签名。


Snort的主要优势：

1. 可扩展性：Snort可以在任何网络环境中部署。


2. 灵活性和可用性：Snort可以在各种操作系统上运行，包括Linux，Windows和Mac OS X。

3. 实时性：Snort可以提供实时网络流量事件信息。


4. 部署灵活：Snort可以通过数千种方式进行部署，并且可以使用无数的数据库、日志记录系统和工具。


5. 快速检测和应对安全威胁：Snort与防火墙和其他安全基础架构结合使用，可帮助组织检测和响应旨在消除网络和网络的系统破解程序、蠕虫、网络漏洞、安全威胁和策略滥用者计算机系统。


6. 模块化检测引擎：Snort传感器是模块化的，可以从一个物理和逻辑位置监控多台机器。Snort可以放在防火墙前面、防火墙后面、防火墙旁边、以及其他任何地方，以监控整个网络。因此，使用Snort作为安全解决方案，可以确定是否有未经授权的企图入-侵网络，或者黑-客是否未经授权访问网络系统。

为什么Snort在监控网络系统方面的优势


Snort使用规则驱动的语言，结合了签名，协议和基于异常的检查方法的优点。凭借其惊人的速度、动力和性能，Snort迅速获得了成功。迄今为止，Snort有数百万次的下载，已成为世界上部署最广泛的入-侵检测和预防系统。Snort使用灵活的基于规则的语言来描述它应该收集或传递的流量。Snort的工作是监听TCP / IP网络流量，并在数据流中查找可能表明组织网络和计算机系统存在安全威胁的签名。规则配置为采取行动，该行动因被动响应（仅记录或发送电子邮件）与主动响应（执行某些操作以阻止恶意活动发生）而不同。可以利用Snort社区提供的新的或现有的规则集，以及根据网络的要求编写和修改自己的规则。可以编写复杂的规则来识别通过网络的任何类型的流量并执行某些操作。Snort规则不断被审查、修改和改进，以通过Snort社区的支持来检测新的和不断变化的安全威胁。


上图为pfSense中Snort IDS配置界面

Suricata在应对当今的安全威胁方面提供了更多好处

Suricata是一个基于开源的入-侵检测系统，是由开放信息安全基金会（OISF）和许多开发人员历经多年的开发成果，旨在帮助构建下一×××源IDS引擎。OISF的目标是为入-侵检测行业引入新的安全理念和技术创新。该非营利组织接受政府和私营部门的捐款，初始资金来自政府，因为该公司的主要任务是保护政府记录免受外国和国内对手的侵害。在美国国土安全部的资金支持下，创建了一个多线程引擎来替代Snort，以帮助保护网络免受高级安全入-侵。Suricata的多线程架构是独一无二的，因为它可以支持高性能的多核和多处理器系统。多线程设计的主要优点是它可以提高网络流量分析的速度和效率，还可以根据处理需求的位置帮助划分IDS / IPS工作负载。除硬件加速（具有硬件和网卡限制）外，该引擎还可利用最新多核CPU芯片组提供的增强处理能力。



上图为OPNsense中的Suricata IDS配置界面

Suricata功能已经逐步完善，也容易安装和使用，并附带入门文档和用户手册。该引擎也是用C语言编写的。虽然与Snort相比，Suricata仍然是一种新的且不太普及的产品，但该技术在所有企业和IT用户中都获得了增长势头。提升性能，本机IPv6支持，多模型统计异常检测，GPU加速，IP信誉，评分阈值，极高速正则表达式和可扩展性是Suricata的主要卖点。


Suricata的主要优势：

1. 开源引擎：社区的力量在IT安全防御中运行良好，因为社区在捕获新兴威胁的特征方面比单个组织更有效。


2. 多线程：多线程架构允许引擎利用当今系统的多核和多处理器架构（Snort自3.0以后也支持多线程）。


3. 支持IP信誉：通过在其引擎中加入声誉和签名，Suricata可以标记来自已知不良来源的流量。


4. 自动协议检测：预处理器自动识别网络流中使用的协议，并应用适当的规则，而不管数字端口如何。自动协议检测还可以防止用户错误和错误，这些错误和错误实际上更常见。

   
   

Suricata在监控复杂类型的攻-击方面相对更有效

Suricata也是一种基于规则的ID / PS引擎，它利用外部开发的规则集来监控网络流量，并在发生可疑事件时向系统管理员发出警报。Suricata还使用“嗅探器”引擎来分析进出网络系统的流量。多线程功能允许嗅探器快速匹配更多流量规则，并将更多计算能力应用于安全流程。



Suricata旨在与现有网络安全组件兼容，具有Unified2输出功能和可插拔库选项，可接受来自其他应用程序的呼叫。此外，Suricata还可以与Snort规则集配合使用。同时Suricata还整合了革命性的技术，引擎嵌入了HTTP规范化器和解析器（HTP库），它提供了非常高级的HTTP流处理，使人们能够理解OSI模型的第7级流量。