Suricata (программное обеспечение)
Suricata — свободное программное обеспечение с открытым исходным кодом для обнаружения вторжений (IDS)[2], предотвращения вторжений (IPS) и сетевого мониторинга безопасности (NSM). Разрабатывается фондом Open Information Security Foundation (OISF)[3].
Suricata поддерживает глубокий анализ пакетов (DPI). Программное обеспечение допускает различные этичные сценарии использования, включая сбор качественной и количественной информации.
Scirius — это веб-интерфейс под лицензией GPLv3, написанный с использованием Django, предназначенный для редактирования правил Suricata[4]. Односерверная версия Scirius распространяется как свободное ПО с открытым исходным кодом, а мультисерверная версия Scirius Enterprise коммерциализирована; обе выпускаются компанией Stamus Network[5].
Дистрибутив GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius), основанный на Debian, позволяет тестировать Suricata. Также существует образ для Docker[6].
Что важно знать
| Suricata | |
|---|---|
| Тип | Система обнаружения вторжений |
| Разработчик | Open Information Security Foundation |
| Написана на | C |
| Операционные системы | FreeBSD, Linux, UNIX, macOS, Microsoft Windows |
| Последняя версия | 8.0.4 (17 марта 2026) |
| Репозиторий | github.com/OISF/suricata |
| Лицензия | GNU GPL 2[1] |
| Сайт | suricata.io |
Возможности
- IDS/IPS
- высокая производительность: многопоточность, поддержка GPU (аппаратное ускорение)
- автоматическое определение протоколов (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS)
- NSM: журналирование DNS, модуль журналирования HTTP, сохранение сертификатов и извлечение файлов, контроль и проверка контрольных сумм MD5
- собственная библиотека HTP
- многочисленные форматы вывода: Unified2, JSON, Prelude
- поддержка пользовательских скриптов на Lua для расширенного анализа
Принцип работы
Suricata анализирует сетевой трафик на одной или нескольких сетевых интерфейсах в соответствии с активированными правилами. По умолчанию формирует файл JSON, который далее можно обрабатывать с помощью программ класса ETL, например Logstash, зачастую в связке с Elasticsearch.
Сторонние инструменты
Все инструменты, совместимые с Snort, функционируют и с Suricata, например BASE, Sguil, Snorby (свободное ПО), а также Aanval и Telesoft MPAC Security (проприетарные).
Примечания
Ссылки
- https://suricata.io/ — Официальный сайт
- http://www.oisf.net — Сайт фонда OISF (Open Information Security Foundation)
- http://doc.ubuntu-fr.org/ips — Информация об IDS/IPS на wiki сообщества Ubuntu (фр.)
- http://www.donneespersonnelles.fr/ids-ips-dlp-il-faut-l-autorisation-de-la-cnil — Правовые аспекты внедрения систем обнаружения и предотвращения вторжений (фр.)
- http://suricata-ids.org/features/all-features/ — Полный список возможностей Suricata (en)
- https://github.com/StamusNetworks/Scirius — Репозиторий проекта Scirius на GitHub (en)
