Suricata(수리카타) - Snort(스노트)의 후손

특장점(Features)	기존 IDS/IPS 엔진 (오픈소스 및 상용)	Suricata (by the OISF)
Multi-Threaded Processing	X	O
IPv6 지원여부	△(일부 지원)	O
IP Reputation	Cisco Only	Yes(soon)
Automated Protocol Detection	X	O
GPU Acceleration	X	O
Multi-Platform Native H/W Acceleration Support	X	O
Global Variables/Flowbits	X	Yes(soon)
Full Windows Support	Some	Yes
Inline Windows Support	No	Yes
GeoIP Lookups	No	Yes(soon)
Advanced HTTP Parsing	No	Yes
SMB Access Logging	No	Yes(soon)
HTTP Blocklist Lookups	No	Yes(soon)
Price Free	Some	Yes
IPS feature	Snort_inline 또는  snort를  -Q 옵션으로 사용	optional while compiling ( --enable-nfqueue)
Rules	VRT rules::Snort rules SO rules  EmergingThreats rules	VRT rules::Snort rules  EmergingThreats rules
설치 난이도	패키지 존재 상대적으로 직관적	패키지 없음 수작업 설치
문서화		인터넷에 소량 존재
이벤트 로깅	Flat file, Database, unified2 logs (barnyard용)	Flat file, Database, unified2 logs (barnyard용)
Capture accelerators	없음(PF_RING도 가능), libpcap	PF_RING, capture accelerator
Configuration file	snort.conf, threshold.conf	suricata.yaml, classification.config, reference.config, threshold.config
Offline analysis(pcap file)	yes	yes
Frontends	Sguil, Aanval, BASE, FPCGUI(Full Packet Capture GUI), Snortsnarf	Sguil, Aanval, BASE, FPCGUI(Full Packet Capture GUI), Snortsnarf
제작사/단체	Sourcefire	Open Information Security Foundation (OISF)

테스트를 위한 도구들

• Scapy:임의의 유형의 패킷 생성 
• Scapytain 는 payload를 저장하고, 쉽게 replay하는데 사용됨.
• Netcat: 특정 host/port에 echo로 payload를 보낼때 사용
• Hping: DoS 수행
• Nmap: 다양한 포트 스캔 유형을 수행
• tcpdump: 트래픽 수집과 분석(필터)
• tcpreplay: 수집된 파일을 replay
• Hydra: brute force logon cracker 

참고:

1. http://www.openinfosecfoundation.org/
2. A Performance Analysis of Snort and Suricata Network Intrusion Detection and. Prevention Engines. David J. Day. Benjamin M. Burns
3.  http://www.aldeid.com/wiki/Suricata-vs-snort
4. 비교 테스트용 데이터