基于Ubuntu14.04下Suricata（一款高性能的网络IDS、IPS和网络安全监控引擎）的搭建（图文详解）（博主推荐）

为什么，要写这篇论文？

　　是因为，目前科研的我，正值研三，致力于网络安全、大数据、机器学习研究领域！

　　论文方向的需要，同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此，为了需要的博友们，能在自己虚拟机里（我这里是CentOS6.5）来搭建部署snort+barnyard2+base的入侵检测系统。分享与交流是进步的阶梯！

　　同时，本人还尝试过在Ubuntu14.04里搭建这入侵检测系统的环境。同时，还尝试过在win7\win10里搭建这入侵检测系统的环境。

　　同时，也欢迎做报警数据方向的烟酒僧留言评论加好友交流。欢迎指正！谢谢。

　　见Suricata的官网

https://suricata.readthedocs.io/en/latest/install.html

一、准备工作

Suricata介绍

　　Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通过http://suricata-ids.org/获得。

　　

　　随着安全威胁的不断发生，入侵检测系统（IDS）在如今的数据中心环境中显得尤为必要。然而，随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网，对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统，它将 CPU 密集型的深度包检测工作并行的分配给多个并发任务来完成。这样的并行检测可以充分利用多核硬件的优势来轻松提升入侵检测系统的吞吐量。在这方面有两个知名的开源项目，分别是 Suricata 和 Bro。

　　为此，我本篇博客呢，给大家分享的是，Suricata。

suricata的官网

https://suricata-ids.org/

　　Suricata的安装官网（基于Ubuntu）

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation

注意，以下操作，都是在root用户下进行。

1.    安装wget

[root@suricata~]# yum install wget -y

2.    更换源

　　更换成阿里云源，更新系统、下载软件速度快。

[root@suricata~]# mv cp /etc/apt/sources.list /etc/apt/sources.list.backup

　　见

Ubuntu14.04和16.04官方默认更新源sources.list和第三方源推荐（干货！）

　　然后，再

[root@suricata~]# apt-get clean all

[root@suricata~]# apt-get makecache

3.更新系统

[root@suricata~]# apt-get update

4.安装epel源

[root@suricata~]# apt-get install -y epel-release

 5、在 Debian, Ubuntu 或者 Linux Mint 操作系统上安装依赖包

[root@suricata~]# sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

　　或者

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-- libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \
make libmagic-dev libjansson-dev libjansson4 pkg-config

　　一旦将所有依赖包安装完毕，我们就可以继续安装 Suricata 了。

Suricata 源代码的下载和编译安装

　　首先从 http://suricata-ids.org/download/ 下载 Suricata 源代码，然后构建它。撰写这篇文章的时候，其最新版本号为suricata-4.0.0.tar.gz 。

　　但是，官方文档里，这个suricata-3.1.tar.gz版本是测试过的，所以，我这里也是安装这个版本；

参考

如何在 Linux 系统上安装 Suricata 入侵检测系统（https://linux.cn/article-6985-1.html#4_1498）

suricata的简介以及安装过程