Пытаясь продвинуться вперед в развертывании IDS / IPS на нескольких брандмауэрах FreeBSD, мне было любопытно узнать о разнице между snort и suricata. Я знаю, что Suricata многопоточна, но с точки зрения обработки правил и прочего, как они работают, есть ли какая-то реальная разница, которая должна побудить меня выбрать одно из других?
Основное отличие состоит в том, что Suricata использует графический процессор в режиме IPS. В целом он имеет более продвинутый режим IPS, включает многозадачность, и в результате вы получаете высокую производительность, позволяющую обрабатывать до 10 Гбайт трафика на обычном оборудовании. И он полностью поддерживает правила Snort. Вы можете узнать больше о функциях Suricata здесь: https://suricata-ids.org/features/all-features/
Я попытался запустить обе системы на одноядерной встроенной системе (шлюз IOT), и они делают одни и те же вещи. Одно из основных различий заключается в том, что Suricata "из коробки" требовала гораздо больше ресурсов ЦП, чем SNORT, для обработки того же объема трафика.