old-times-sake/IDS-IPS-Implementation-Suricata

# 实验 2：使用 Suricata 实现 IDS/IPS ## 项目概述 本实验侧重于部署和配置 Suricata 作为入侵检测系统 (IDS) 和入侵防御系统 (IPS)。项目涵盖环境搭建、规则管理、流量生成以及高级日志分析。 ## 技术实现 ### 引擎配置 * **部署**：安装并初始化 Suricata 引擎。 * **运行模式**：在 `suricata.yaml` 中利用 `af-packet` 配置并对比了被动 IDS 模式（监控）与内联 IPS 模式（主动拦截）。 * **可观测性与日志记录**：启用多格式日志记录。配置 `fast.log` 用于快速、实时的警报分类，以及 `eve.json`（捕获警报、flows、DNS、HTTP）用于全面的 SIEM 集成。 ### 规则管理 * **威胁情报**：通过 `suricata-update` 更新和管理基础规则集 (ET/Open)。 * **自定义策略**：开发并部署本地规则（例如，显式 ICMP 丢弃），并将其维护在独立的 `local.rules` 文件中，以防止更新冲突。 * **优化**：对高频签名实施阈值机制，以最大限度地减少误报 (FP) 并降低警报噪音。 ## 测试与验证 * **流量生成**：利用 `nmap` 和 `hping3`（TCP SYN、UDP、ICMP）合成网络流量，以触发特定规则匹配。 * **动作执行**： * 验证了被动模式下的警报能力。 * 验证了内联模式下的主动丢包功能，确保 `action=drop` 状态被正确记录。 * **日志关联**：将合成的网络流与 EVE JSON 日志中记录的警报和丢弃动作进行了关联分析。

标签：af-packet, AMSI绕过, AWS, BurpSuite集成, DNS通配符暴力破解, DPI, ET/Open 规则集, EVE JSON, Hping3, ICMP 控制, IDS/IPS, Metaprompt, Nmap, PB级数据处理, Redis利用, SIEM 集成, Suricata, suricata-update, 不可变基础设施, 云计算, 入侵检测系统, 入侵防御系统, 威胁检测, 威胁猎捕, 子域枚举, 安全实验环境, 安全数据湖, 安全策略, 安全运维, 安全配置, 密码管理, 提示词设计, 插件系统, 数据包丢弃, 流量生成, 深度包检测, 现代安全运营, 红队模拟, 网络安全, 网络安全分析, 虚拟驱动器, 规则引擎, 误报优化, 防御绕过, 隐私保护