Suricata 맛보기
Suricata란 네트워크 보안 분야에서 널리 사용되는 오픈 소스 IDS
IDS: Intrusion Detection System (침입 탐지 시스템)
-> 네트워크 트래픽과 디바이스에서 알려진 악의적, 의심스런 활동 또는 보안 정책 위반이 있는지 모니터링하는 네트워크 보안 도구
네트워크 침입 탐지 시스템(NIDS) 및 침입 방지 시스템(IPS)
네트워크 트래픽 실시간 모니터링 -> 악의적인 활동 탐지, 차단
주요 기능
패킷 캡처
네트워크 트래픽을 실시간으로 모니터링하면서 패킷을 캡처 -> 네트워크에서 발생하는 모든 트래픽 기록,분석 / 데이터 흐름 실시간으로 관찰하여 위협을 탐지
pcap 파일 생성 - 패킷 캡처 내용을 pcap 파일로 저장하여 나중에 분석 시 유용함
서명 기반 탐지
Snort 규칙을 따르고, 미리 정의된 공격 서명을 바탕으로 트래픽을 분석, 악성 패턴 탐지
Snort 규칙 호환성: Snort 규칙을 그대로 사용 -> Snort 사용자들이 쉽게 Suricata로 전환
IDS/IPS mod: 탐지 모드 - 경고만 하고 차단은 X / 차단 모드 - 악의적인 트래픽을 실시간으로 차단
프로토콜 분석
HTTP, HTTPS, FTP, DNS, SMB 등 다양한 네트워크 프로토콜을 해석하여 위협을 탐지
HTTP/HTTPS 처리 - HTTP 트래픽을 분석 -> 특정 URI, 헤더, 파라미터 등을 통해 악성 트래픽 탐지
SSL/TLS를 사용하는 HTTPS 트래픽도 탐지
파일 추출
네트워크 트래픽을 통해 전달되는 파일을 자동으로 추출하고 분석
ex) 네트워크 상에서 다운로드, 업로드되는 파일을 실시간으로 탐지 -> 의심스런 파일 추출하여 분석
악성코드 탐지 - 악성 PDF, 실행 파일 등을 네트워크에서 다운로드/업로드 할 때 탐지하고 추출
행동 기반 탐지
트래픽의 패턴, 사용자의 행동을 분석 -> 비정상적 활동 탐지
이상 트래픽 탐지 - 네트워크에서 트래픽 급증, 비정상적 연결 시도 탐지
ex) DDos 공격, 봇넷 활동 등
멀티스레딩
멀티코어 CPU를 활용 -> 멀티스레딩 기반으로 트래픽 처리 -> 대규모 네트워크의 고속 트래픽 효율적으로 처리
병렬 처리 - 패킷을 여러 스레드로 나누어 병렬 처리 -> 대규모 네트워크에서 성능 저하 X
로그 및 통계
네트워크 트래픽을 기반으로 한 다양한 로그, 통계 제공 -> 네트워크 상태 분석
Eve JSON 포맷 로그 - 이벤트 로그를 JSON 형태로 저장, 다른 시스템&SIEM 시스템과 쉽게 연동
(SIEM: Security Information and Event Management)
통계 수집 - 트래픽 양, 프로토콜별 사용량, 감지된 위협 등을 통계적으로 분석 -> 네트워크 상태 시각적으로 표현
네트워크 플로우 탐지
네트워크 플로우 정보를 수집 -> 트래픽 감시 후 공격 발생 시 원인 분석
NetFlow 및 IPFIX 지원 - 표준 네트워크 플로우 프로토콜 지원 -> 대규모 네트워크 환경에서 트래픽 흐름을 관리
