比wine强的开源框架（开源IPSSuricata）

Suricata是一个免费的开源，成熟，快速和强大的网络威胁检测引擎。Suricata引擎能够实时入侵检测（IDS），内联入侵防御（IPS），网络安全监控（NSM）和离线pcap处理。Suricata使用强大而广泛的规则和签名语言检查网络流量，并为检测复杂威胁提供强大的Lua脚本支持。

使用标准输入和输出格式（如YAML和JSON）与现有SIEM，Splunk，Logstash / Elasticsearch，Kibana和其他数据库等工具的集成变得毫不费力。

Suricata快节奏的社区驱动开发侧重于安全性，可用性和效率。Suricata项目和代码由开放信息安全基金会（OISF）拥有和支持，该基金会是一个致力于确保Suricata作为开源项目的开发和持续成功的非营利基金会。

1.高度可扩展 suricata

Suricata是多线程的。这意味着您可以运行一个实例，它将平衡Suricata配置使用的传感器上每个处理器的处理负载。这允许商用硬件在实际流量上实现10千兆位速度，而不会牺牲规则集覆盖范围。

2.协议识别

当流启动时，Suricata会自动识别最常见的协议，从而允许规则编写者将规则写入协议，而不是预期的端口。这使得Suricata成为一个与众不同的恶意软件命令和控制频道猎人。关闭端口HTTP CnC频道，通常由大多数IDS系统直接滑动，是Suricata的儿童游戏！此外，由于专用关键字，您可以在协议字段上匹配，范围从http URI到SSL证书标识符。

3.文件识别，MD5校验和和文件提取

Suricata可以在穿越您的网络时识别数千种文件类型！您不仅可以识别它，而且如果您决定要进一步查看它，您可以将其标记为提取，并且文件将使用描述捕获情况和流的元数据文件写入磁盘。文件的MD5校验和是即时计算的，因此如果您想要保留在网络中的md5哈希列表，或想要保留，Suricata可以找到它。

• 多线程
• 自动协议检测
• Gzip减压
• 独立的HTP库
• 标准输入法
• Unified2输出
• 流量变量
• 快速IP匹配
• HTTP日志模块
• 显卡加速
• Windows二进制文件
• Lua脚本
• 前奏输出
• 文件匹配，记录，提取，md5校验和计算
• 知名度
• DNS记录器

下载地址：https://suricata-ids.org/download/

指南：https://suricata-ids.org/docs/