Suricata网络入侵检测系统中Storage的实现详解

最新推荐文章于 2024-05-27 09:50:12 发布
最新推荐文章于 2024-05-27 09:50:12 发布
阅读量139 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络 jenkins 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IiwEngine/article/details/132935473
本文深入解析Suricata IDS中Storage的实现,包括配置存储、多种存储引擎(文件、Elasticsearch、Logstash)的使用,以及在检测到网络流量时的数据存储与管理。通过示例代码展示了如何在规则中应用Storage模块。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网络安全一直是当今互联网时代的重要议题之一。为了保障网络的安全,网络入侵检测系统(Intrusion Detection System,简称IDS)应运而生。Suricata是一种强大的开源IDS/IPS引擎,它具备高性能、多线程处理和丰富的协议支持等特点。本文将详细介绍Suricata中Storage的实现原理,并提供相应的源代码示例。

在Suricata中,Storage模块负责对检测到的网络流量进行存储和管理,以便进行后续分析和审计。它可以将流量数据保存到磁盘上的文件中,或者将数据发送到外部存储系统,如Elasticsearch、Logstash等,以便进行日志分析和可视化展示。

下面我们将详细介绍Suricata中Storage的实现过程。

  1. 配置Storage

在Suricata的配置文件中,可以通过以下方式配置Storage模块:

storage:
  enabled: yes
  type: file
  filename: /var/log/suricata/eve.json

以上配置示例中,我们启用了Storage模块,并将其类型设置为文件(file)。同时,我们指定了存储文件的路径和名称。

  1. 存储引擎

Suricata支持多种存储引擎,包括文件存储、Elasticsearch存储、Logstash存储等。在配置文件中,可以根据需求选择适合的存储引擎。

2.1 文件存储

文件存储是Suricata默认的存储引擎。它将所有的流量数据保存到指定的文件中,以JSON格式进行存储。

<
了解本专栏 订阅专栏 解锁全文
网络入侵检测系统Suricata(九)--Storage实现详解
诗酒趁年华
03-08 233
数据区的真实创建需要用到下面的结构体Host,我理解它是一种钥匙,上电时会预分配一些host对象,创建host对象时,并非只分配sizeof(host),而是多分配出若干个void *,这个数量和注册storage数据区一致。后面这个host通过偏移sizeof(host)+id,这样就能找到各个数据区了,每个host都会分配自己的数据区,彼此不干扰。Host对象负责数据区的读写,它可以调用注册的malloc分配size的字节数,也可以set为其他的数据区指针。
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 5040
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata 3.1 源码分析29 (数据包队列)
superbfly的专栏
10-12 3225
这块的东西我现在还没有用到,所以很不厚道的抄了背着笔记本流浪的原文下来。简介Suricata中使用队列来缓存数据包,包括缓存线程模块内部新产生数据包的线程内队列,以及线程之间用来传递数据包的线程间队列。 用于表示数据包队列的结构体为PacketQueue,其定义如下(省略了调试相关字段): typedef struct PacketQueue_ { Packet top; / 头指针
suricata源码之Storage
村中少年的专栏
06-29 980
简述suricata中的storage含义
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 7338
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
evebox:Elastic Search中Suricata EVE事件的基于Web的事件查看器(GUI)
02-06
夏娃盒 EveBox是用于Elastic Search的基于Web的Suricata“ eve”事件查看器。 产品特点 基于Web的事件查看器,采用“收件箱”方法进行警报管理。 事件搜索。 用于将Suricata事件发送到EveBox服务器的代理(但您可以改用Filebeat / Logstash)。 嵌入式SQLite,用于独立安装。 要求 Suricata-生成警报和事件。 还有... 现有的ElasticSearch / Logstash(版本6或更高版本)设置已经在处理Suricata事件(EveBox此时Filebeat索引有问题)。 只需使用EveBox或EveBox
Suricata产生的数据存储目录
weixin_30535565的博客
08-17 404
  不多说,直接上干货!   我这里呢,分两种常用的Suricata。 一、源码编译安装的Suricata   这里不多说,大家可以去看我下面写的博客 使用 Suricata 进行入侵监控(一个简单小例子访问百度) [root@suricata suricata]# ls certs eve.json fast.log ...
网络文件共享挑战应对全攻略:微软协议案例研究{实战版
![网络文件共享挑战应对全攻略:微软协议案例研究{实战版]... # 摘要 网络文件共享作为数据传输和协作的关键技术,已经广泛应用于各个领域。本文首先介绍了网络文件共享的基本概念与需求,随后深入解析了微软网络文件...
【系统安装指南】:EI32JD从规划到执行的每一步
![【系统安装指南】:EI32JD从规划到执行的每一步]...第三章详解了系统安装过程,包括分步指导、常见问题解决,以及系统优化与安全设置。第四章关注安装后的系统配置与优化,从用户管理、网络
【开发】中间件——ElasticStack
努力,奋斗!
03-28 1368
ElasticStack简介,Beats日志采集,Kibana可视化,LogStash日志
5.2网安学习第五阶段第二周回顾(个人学习记录使用)
最新发布
lovely2610的博客
05-27 812
1、定义:网络入侵检测系统2、工作机制:网络流量需要经过NIDS系统,如果通过NIDS的检测规则,没有发现问题,则可以进入后续的设备。类似于在服务器的前面加入一层过滤器。1、安装:按照官方文档的提示,使用提供的命令进行在线安装 2、修改基础配置信息直接编辑/etc/suricata/suricata.yaml 3、手工创建一个规则文件(没有规则文件启动会报错) 4、启动 3、规则语法基础 预警规则 ()中的内容,使用key:value的方式来设置元素,元素之间使用“;”隔开。如果规则中存在特色字符,使用
Suricata通过barnyard2将告警事件存入mysql
u011311291的博客
01-10 2737
barnyard2的输入可以为bro,snort,suricata的告警文件,输出可以为文件,sguil,database 这里以suricata+barnyard2为例,输出文件格式必须为unified2格式 一.修改suricata的配置文件suricata.yaml,修正输出格式 outputs: - fast: enabled: yes filename: fast.l...
「网安学习」IDS事件分析工具调研
鱼的博客
01-26 871
IDS事件分析工具 几个月前写的,由于内存、系统限制,并未采用本文中介绍的这几款IDS分析工具,而是使用原生ELK+自己搭建Suricata前端显示的方式。 名称 要求 工作方式/构成图 备注 PFelk (1)Ubuntu Server v18.04+ or Debian Server 9+ (stretch and buster are tested)(现在服务器用的是16.04的稳定版本) (3) Java v11 LTS and Elastic Stack v7.9.2 (4)Min
Security:如何安装 Elastic SIEM 和 EDR
Elastic 中国社区官方博客
02-25 6729
Elastic Security 为分析人员提供了预防,检测和响应威胁的手段。 该解决方案解决了SIEM,endpoint,威胁搜寻等安全用例,使 SecOps 团队能够收集各种数据,执行自动化和分析师驱动的分析,并通过嵌入式工作流和自动化来应对安全威胁。在今天的文章中,我将介绍如何安装 Elastic SIEM 及 EDR。 在我的系统配置中,我们使用如下的结构: 我有两台机器,在其中的一台机器上安装有 Elasticsearch,Filebeat及 Kibana,而在另外一台机器上安装有 en.
Zeek--Suricata--ELK
woainiainiaini的博客
04-28 2492
** Zeek–Suricata–ELK ** 一、介绍 ​ Zeek是一个被动的开源网络流量分析器,许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。 新用户从Zeek获得的第一个好处是描述网络活动的大量日志。这些日志不仅包括网络上看到的每个连接的全面记录,还包括应用程序层记录。这些包括所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应。带回复的DNS请求;SSL证书;SMTP会话的关键
使用Suricata和ELK进行网络入侵检测
热门推荐
xiaomaiaidandan的博客
07-24 1万+
数据包捕获是实现网络入侵检测系统(IDS)和执行网络安全监控(NSM)的关键组件。 有几种开源IDS工具可以处理数据包捕获并查找可能的网络入侵和恶意活动的签名。  其中一个开源工具是Suricata,这是一种IDS引擎,它使用规则集来监控网络流量,并在发生可疑事件时触发警报。 Suricata提供多线程引擎,这意味着它可以以更快的速度和效率执行网络流量分析。 有关Suricata及其功能的更多详...
elasticsearch 运维中遇到的问题
h952520296的博客
12-22 6472
[2020-12-22T16:28:07,485][INFO ][logstash.outputs.elasticsearch][main][7a9bd902efcf008d8e54ca5c1eae1bb97fe2712e0be94b53b9e2a59022ef3172] retrying failed action with response code: 503 ({"type"=>"unavailable_shards_exception", "reason"=>"[log-app-tclo
Elastic:使用 Elastic Stack 来监督系统日志及指标
Elastic 中国社区官方博客
12-07 3581
在我之前的许多文章中,我基本上都已经讲到了这些方面的内容。在今天的文章中,我想针对一些开发还没有自己的系统,比如 centos 或 Ubuntu OS 来写一篇非常详细的文章。在这篇文章中,我将详述: 使用 Docker 安装 Elastic Stack:Elasticsearch 及 Kibana 使用 Vagrant 来创建一个 centos 7 的系统,并使用 Filebeat 及 Metricbeat 把系统日志和指标发送至 Elasticsearch 使用 Vagrant 来创建一个 Ubu
基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)...
weixin_33910385的博客
08-09 1095
      不多说,直接上干货!     为什么,要写这篇论文?    是因为,目前科研的我,正值研三,致力于网络安全、大数据、机器学习研究领域!   论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此,为了需要的博友们,能在自己虚拟机里(我这里是CentOS6.5)来搭建部署snort+barnyard2+base的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值