ድርጅት OISF (ክፍት የመረጃ ደህንነት ፋውንዴሽን)
ዋና ለውጦች፡-
- ለፕሮቶኮሎች አዲስ የመተንተን እና የምዝግብ ማስታወሻ ሞጁሎችን አስተዋውቋል
RDP፣ SNMP እና SIP በዝገት የተፃፈ። በJSON ቅርፀት የዝግጅቶችን ውፅዓት በሚያቀርበው EVE ንዑስ ስርዓት በኩል የመግባት ችሎታ ወደ ኤፍቲፒ የመተንተን ሞጁል ተጨምሯል። - በቀደመው ልቀት ላይ ለተዋወቀው የ JA3 TLS ደንበኛ ማረጋገጫ ዘዴ ድጋፍ በተጨማሪ ለስልቱ ድጋፍ
JA3S ,መፍቀድ በግንኙነት ድርድር እና በተገለጹት መለኪያዎች ላይ በመመስረት የትኛው ሶፍትዌር ግንኙነት ለመመስረት ጥቅም ላይ እንደሚውል ይወስኑ (ለምሳሌ ፣ የቶር እና ሌሎች የተለመዱ መተግበሪያዎችን አጠቃቀም ለመወሰን ያስችልዎታል)። JA3 ደንበኞችን ለመግለጽ ያስችላል, እና JA3S - አገልጋዮች. የውሳኔው ውጤት በደንብ ቅንብር ቋንቋ እና በምዝግብ ማስታወሻዎች ውስጥ መጠቀም ይቻላል; - አዳዲስ ስራዎችን በመጠቀም የተተገበረውን ከትልቅ የውሂብ ስብስቦች ናሙና ጋር የማዛመድ ተጨማሪ የሙከራ ችሎታ
የውሂብ ስብስብ እና datatarep . ለምሳሌ፣ ባህሪው በሚሊዮን የሚቆጠሩ ግቤቶች ባሉባቸው ትላልቅ ጥቁር መዝገብ ውስጥ ማስክን ለመፈለግ ተፈጻሚ ይሆናል። - የኤችቲቲፒ ፍተሻ ሁነታ በሙከራ ክፍል ውስጥ የተገለጹትን ሁሉንም ሁኔታዎች ሙሉ ሽፋን ይሰጣል
HTTP Evader (ለምሳሌ በትራፊክ ውስጥ ተንኮል አዘል ድርጊቶችን ለመደበቅ የሚያገለግሉ ዘዴዎችን ይሸፍናል); - የዝገት ሞጁል ማጎልበቻ መሳሪያዎች ከአማራጮች ወደ ተፈላጊ መደበኛ ባህሪያት ተወስደዋል. ወደፊት, ይህ ፕሮጀክት ኮድ መሠረት ውስጥ ዝገት አጠቃቀም ለማስፋት እና ቀስ በቀስ ዝገት ውስጥ የተገነቡ analogues ጋር ሞጁሎች ለመተካት ታቅዷል;
- የፕሮቶኮል ማወቂያ ሞተር ከትክክለኛነት እና ያልተመሳሰሉ የትራፊክ ፍሰቶች አያያዝ አንፃር ተሻሽሏል;
- እሽጎች ሲገለጡ የተገኙ ያልተለመዱ ክስተቶችን የሚያከማች ለአዲስ የመዝገብ አይነት "አኖማሊ" ድጋፍ ወደ ዋዜማ ምዝግብ ማስታወሻ ተጨምሯል። ኢቪ ስለ VLANs እና የትራፊክ ቀረጻ በይነገጾች መረጃ ማሳያን አስፋፍቷል። ሁሉንም የኤችቲቲፒ ራስጌዎች በ EVE ሎግ http ግቤቶች ለማስቀመጥ አማራጭ ታክሏል።
- በ eBPF ላይ የተመሰረቱ ተቆጣጣሪዎች የፓኬት ቀረጻን ለማፋጠን ለሃርድዌር ዘዴዎች ድጋፍ ይሰጣሉ። የሃርድዌር ማጣደፍ በአሁኑ ጊዜ በ Netronome አውታረ መረብ አስማሚዎች ብቻ የተገደበ ነው፣ ግን በቅርቡ ለሌሎች መሳሪያዎች ይታያል።
- የኔትማፕ ማዕቀፍን በመጠቀም ትራፊክን ለመያዝ እንደገና የተጻፈ ኮድ። እንደ ምናባዊ መቀየሪያ ያሉ የላቁ የ Netmap ባህሪያትን የመጠቀም ችሎታ ታክሏል።
ሸለቆ ; -
ታክሏል። ለ Sticky Buffers አዲስ ቁልፍ ቃል ፍቺ እቅድ ድጋፍ። አዲሱ እቅድ በprotocol.buffer ቅርጸት ይገለጻል፣ ለምሳሌ፣ ዩአርአይን ወደ ውስጥ ለማስገባት፣ ቁልፍ ቃሉ ከ"http_uri" ይልቅ "http.uri" ይሆናል። - ሁሉም ጥቅም ላይ የዋለው የፓይዘን ኮድ ከተኳሃኝነት ጋር የተጣጣመ ነው
Python3; - ለTilera architecture፣ dns.log የጽሑፍ መዝገብ እና የድሮ ፋይሎች-json.log ሎግ ድጋፍ ተቋርጧል።
የሱሪካታ ባህሪዎች
- የማረጋገጫ ውጤቶችን ለማሳየት የተዋሃደ ቅርጸትን በመጠቀም
የተዋሃደ2 , እንዲሁም በ Snort ፕሮጀክት ጥቅም ላይ የዋለ, እንደ መደበኛ ትንታኔ መሳሪያዎችን መጠቀም ያስችላልbarnyard2 . ከ BASE, Snorby, Sguil እና SQueRT ምርቶች ጋር የመዋሃድ ችሎታ. በ PCAP ቅርጸት የውጤት ድጋፍ; - የፕሮቶኮሎችን (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ወዘተ) በራስ-ሰር ለመለየት ድጋፍ, ይህም በፕሮቶኮል አይነት ብቻ በደንቦቹ ውስጥ እንዲሰሩ የሚፈቅድልዎ ወደብ ቁጥር (ለ) ለምሳሌ፣ መደበኛ ባልሆነ ወደብ ላይ የኤችቲቲፒ ትራፊክን ለማገድ) . ለኤችቲቲፒ፣ SSL፣ TLS፣ SMB፣ SMB2፣ DCERPC፣ SMTP፣ FTP እና SSH ፕሮቶኮሎች ዲኮደሮች;
- የኤችቲቲፒ ትራፊክን ለመተንተን እና መደበኛ ለማድረግ በMod_Security ፕሮጀክት ፀሃፊ የተፈጠረውን ልዩ የኤችቲቲፒ ትራፊክ ትንተና ስርዓት። የመተላለፊያ HTTP ዝውውሮችን ዝርዝር ምዝግብ ማስታወሻ ለማቆየት አንድ ሞጁል አለ ፣ ምዝግብ ማስታወሻው በመደበኛ ቅርጸት ይቀመጣል
Apache በኤችቲቲፒ ፕሮቶኮል የሚተላለፉ ፋይሎችን ማውጣት እና ማረጋገጥ ይደገፋል። የታመቀ ይዘትን ለመተንተን ድጋፍ። በዩአርአይ ፣ ኩኪ ፣ ራስጌዎች ፣ በተጠቃሚ-ወኪል ፣ በጥያቄ / ምላሽ አካል የመለየት ችሎታ; - NFQueue፣ IPFRing፣ LibPcap፣ IPFW፣ AF_PACKET፣ PF_RINGን ጨምሮ ትራፊክን ለመጥለፍ ለተለያዩ በይነገጾች ድጋፍ። ቀደም ሲል የተቀመጡ ፋይሎችን በ PCAP ቅርጸት መተንተን ይቻላል;
- ከፍተኛ አፈፃፀም ፣ በተለመደው መሳሪያዎች ላይ እስከ 10 ጊጋቢት / ሰከንድ ዥረቶችን የማካሄድ ችሎታ።
- ከፍተኛ የአፈፃፀም ጭንብል ተዛማጅ ሞተር ከትላልቅ የአይፒ አድራሻዎች ስብስብ ጋር። በጭምብል እና በመደበኛ መግለጫዎች ለይዘት ምርጫ ድጋፍ። በስም ፣ በአይነት ወይም በኤምዲ 5 ቼክሰም መታወቂያቸውን ጨምሮ ፋይሎችን ከትራፊክ መለየት ።
- በደንቦች ውስጥ ተለዋዋጮችን የመጠቀም ችሎታ-መረጃን ከዥረቱ ላይ ማስቀመጥ እና በኋላ በሌሎች ህጎች ውስጥ መጠቀም ይችላሉ ።
- የማሽን ሂደትን ቀላል በሆነ መልኩ ታይነትን እንዲጠብቁ የሚያስችልዎትን የ YAML ቅርጸት በማዋቀር ፋይሎች ውስጥ መጠቀም።
- ሙሉ የ IPv6 ድጋፍ;
- አብሮ የተሰራ ሞተር ለራስ-ሰር መቆራረጥ እና ፓኬቶችን እንደገና ማገጣጠም ፣ ይህም ፓኬቶች የሚመጡበት ቅደም ተከተል ምንም ይሁን ምን የጅረቶችን ትክክለኛ ሂደት ለማረጋገጥ ያስችላል ።
- የመሿለኪያ ፕሮቶኮሎች ድጋፍ፡ ቴሬዶ፣ IP-IP፣ IP6-IP4፣ IP4-IP6፣ GRE;
- የፓኬት መፍታት ድጋፍ፡ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- በTLS/SSL ግንኙነቶች ውስጥ ለሚታዩ ቁልፎች እና የምስክር ወረቀቶች የምዝግብ ማስታወሻ ሁነታ;
- የላቀ ትንተና ለማቅረብ እና መደበኛ ደንቦች በቂ እንዳልሆኑ የትራፊክ ዓይነቶችን ለመለየት የሚያስፈልጉትን ተጨማሪ ባህሪያትን ለመተግበር የ Lua ስክሪፕቶችን የመፃፍ ችሎታ።
ምንጭ: opennet.ru