[review중] 수정가능SuricataSuricata는 고성능 네트워크 IDS, IPS와 네트워크 시큐리티 모니터링 엔진(Network Security Monitoring engine)이다.오픈 소스이고 커뮤니티에 의해 소유되며, 비영리 단체인 OISF(Open Information Security Foundation)이다. Suricata는 OISF와 이를 지원하는 벤더에 의해 개발되었다. Suricata를 사용해야 하는 3가지 이유:1. 높은 확장성(Highly Scalable)Suricata는 멀티 쓰레드를 지원한다. 이는 하나의 인스턴스를 돌리고, Suricata 센서의 모든 프로세서에 거쳐 프로세싱 로드를 밸런스 할 수 있다는 것을 의미한다. 이는 통상적인 하드웨어에서 룰셋 커버리지의 희생없이..
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/IDS, IPS에 관심이 있는 사람은 한번 쯤 읽어야 할 문서라고 본다.Three Open Source IDS/IPS Engines: The SetupAug 26th, 2010 by John GerberConfused over the different functionality and information IDS/IPS engines provide? Are you looking for an open source solution? There are options, each with different features and st..
특장점(Features) 기존 IDS/IPS 엔진 (오픈소스 및 상용) Suricata (by the OISF) Multi-Threaded Processing X O IPv6 지원여부 △(일부 지원) O IP Reputation Cisco Only Yes(soon) Automated Protocol Detection X O GPU Acceleration X O Multi-Platform Native H/W Acceleration Support X O Global Variables/Flowbits X Yes(soon) Full Windows Support Some Yes Inline Windows Support No Yes GeoIP Lookups No Yes(soon) Advanced HTTP Parsi..
PF_RING 과 Snort의 간단한 리뷰(Review)
Snort®는 소스파이어에서 개발되고 있는 오픈 소스 네트워크 침입 방지/탐지 시스템(NIPS/NIDS)이다. 시그니처(signature), 프로토콜(protocol), 비정상탐지(anomaly-based inspection)을 조합한 스노트는 전세계적으로 가장 넓게 사용되고 있는 IDS/IPS 기술이다. 수백만 다운로드와 약 40만명의 등록된 사용자들과 함께, Snort는 IPS의 사실상 표준이다.각설하고,......Luca Deri의 페이퍼 "Improving Passive Packet Capture: Beyond Device Polling"에서 소개된 NAPI, PF_RING은 기존 libpcap의 성능을 1)NAPI를 사용(device polling)하고, 2) winpcap처럼 ring 버퍼를 ..