Suricata
Suricata是OISF(Open Information Security Foundation)开发的高性能开源IDP(Intrusion Detection & Prevention),支持多线程,针对多模式字符串规则和单字符串规则匹配采用Hyperscan进行算法优化。华为提供Suricata在鲲鹏平台的最优适配。
Suricata工作流由包获取、解码、检测和输出等阶段组成,其中包获取阶段可利用DPDK优化流量采集,检测阶段可利用Hyperscan优化规则匹配。检测引擎约占据端到端开销的50%。
Suricata作为业界典型的开源IDP方案,其工作流和规则集在数据分流场景具备代表性;众多ISV自研应用都有参考Suricata框架实现。
Suricata的关键技术包括:多线程实时流量采集和检测;多模式匹配算法;自动机算法。
Suricata技术适用场景包括:网络安全入侵检测,运营商数据精细分流,公安、技侦数据分流等。
父主题: 方案特性