Cisco op die ontwikkeling van 'n vrystellingskandidaat vir 'n heeltemal herontwerpte aanvalvoorkomingstelsel , ook bekend as die Snort++-projek, waaraan met tussenposes sedert 2005 gewerk word. Die stabiele vrystelling word beplan om binne 'n maand gepubliseer te word.
In die Snort 3-tak is die produkkonsep heeltemal heroorweeg en die argitektuur is herontwerp. Onder die sleutelareas van ontwikkeling van Snort 3: vereenvoudiging van die opstel en bestuur van Snort, outomatisering van konfigurasie, vereenvoudiging van die taal vir die konstruksie van reëls, outomatiese opsporing van alle protokolle, voorsiening van 'n dop vir beheer vanaf die opdragreël, aktiewe gebruik van multithreading met gesamentlike toegang van verskillende verwerkers tot 'n enkele konfigurasie.
Die volgende belangrike innovasies is geïmplementeer:
- 'n Oorgang is gemaak na 'n nuwe konfigurasiestelsel wat 'n vereenvoudigde sintaksis bied en die gebruik van skrifte toelaat om instellings dinamies te genereer. LuaJIT word gebruik om konfigurasielêers te verwerk. Inproppe gebaseer op LuaJIT word voorsien met die implementering van bykomende opsies vir reëls en 'n aantekenstelsel;
- Die aanvalopsporingsenjin is gemoderniseer, die reëls is opgedateer en die vermoë om buffers in reëls (taai buffers) te bind, is bygevoeg. Die Hyperscan-soekenjin is gebruik, wat dit moontlik gemaak het om vinnige en meer akkuraat geaktiveerde patrone te gebruik gebaseer op gereelde uitdrukkings in die reëls;
- 'n Nuwe introspeksiemodus vir HTTP bygevoeg wat sessietoestand in ag neem en 99% van situasies dek wat deur die toetssuite ondersteun word . Bygevoeg HTTP/2 verkeersinspeksiestelsel;
- Die werkverrigting van die dieppakkie-inspeksiemodus is aansienlik verbeter. Bygevoeg die vermoë om multi-draad pakkie verwerking, wat gelyktydige uitvoering van verskeie drade met pakkie verwerkers moontlik maak en die verskaffing van lineêre skaalbaarheid afhangende van die aantal SVE kerns;
- 'n Algemene konfigurasieberging en kenmerktabelle is geïmplementeer, wat tussen verskillende substelsels gedeel word, wat geheueverbruik aansienlik verminder het deur duplisering van inligting uit te skakel;
- Nuwe gebeurtenisregistrasiestelsel met behulp van JSON-formaat en maklik geïntegreer met eksterne platforms soos Elastic Stack;
- Oorgang na 'n modulêre argitektuur, die vermoë om funksionaliteit uit te brei deur plugins te koppel en sleutelsubstelsels in die vorm van vervangbare plugins te implementeer. Tans is 'n paar honderd plugins reeds vir Snort 3 geïmplementeer, wat verskeie toepassingsgebiede dek, byvoorbeeld, sodat jy jou eie kodeks, introspeksiemodusse, logmetodes, aksies en opsies in die reëls kan byvoeg;
- Outomatiese opsporing van lopende dienste, wat die behoefte uitskakel om aktiewe netwerkpoorte handmatig te spesifiseer.
- Bygevoeg ondersteuning vir lêers om vinnig instellings te ignoreer relatief tot die verstek konfigurasie. Om konfigurasie te vereenvoudig, is die gebruik van snort_config.lua en SNORT_LUA_PATH gestaak.
Bygevoeg ondersteuning vir die herlaai instellings op die vlieg; - Die kode bied die vermoë om C++-konstrukte te gebruik wat in die C++14-standaard gedefinieer is (bou vereis 'n samesteller wat C++14 ondersteun);
- Bygevoeg nuwe VXLAN hanteerder;
- Verbeterde soektog na inhoudtipes volgens inhoud met behulp van opgedateerde alternatiewe algoritme-implementerings и ;
- Opstart word versnel deur verskeie drade te gebruik om groepe reëls saam te stel;
- Bygevoeg 'n nuwe aanteken meganisme;
- 'n RNA (Real-time Network Awareness) inspeksiestelsel is bygevoeg, wat inligting insamel oor hulpbronne, gashere, toepassings en dienste wat op die netwerk beskikbaar is.
Bron: opennet.ru