ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ሱሪካታ 5.0 የጥቃት ማወቂያ ስርዓት ይገኛል።

ሱሪካታ 5.0 የጥቃት ማወቂያ ስርዓት ይገኛል።

ድርጅት OISF (ክፍት የመረጃ ደህንነት ፋውንዴሽን) ታትሟል የአውታረ መረብ ጣልቃ ገብነትን መለየት እና መከላከል ስርዓት መልቀቅ Meerkat 5.0, ይህም የተለያዩ የትራፊክ ዓይነቶችን የመፈተሽ ዘዴን ያቀርባል. በሱሪካታ ውቅሮች ውስጥ መጠቀም ይፈቀዳል። ፊርማ መሠረቶችበ Snort ፕሮጀክት የተገነባ, እንዲሁም ደንቦች ስብስብ እያደጉ ያሉ ማስፈራሪያዎች и እያደጉ ያሉ ስጋቶች ፕሮ. የፕሮጀክት ምንጭ ኮድ ስርጭት በ GPLv2 ፍቃድ የተሰጠው።

ዋና ለውጦች፡-

  • ለፕሮቶኮሎች አዲስ የመተንተን እና የምዝግብ ማስታወሻ ሞጁሎችን አስተዋውቋል
    RDP፣ SNMP እና SIP በዝገት የተፃፈ። በJSON ቅርፀት የዝግጅቶችን ውፅዓት በሚያቀርበው EVE ንዑስ ስርዓት በኩል የመግባት ችሎታ ወደ ኤፍቲፒ የመተንተን ሞጁል ተጨምሯል።

  • በቀደመው ልቀት ላይ ለተዋወቀው የ JA3 TLS ደንበኛ ማረጋገጫ ዘዴ ድጋፍ በተጨማሪ ለስልቱ ድጋፍ JA3S, መፍቀድ በግንኙነት ድርድር እና በተገለጹት መለኪያዎች ላይ በመመስረት የትኛው ሶፍትዌር ግንኙነት ለመመስረት ጥቅም ላይ እንደሚውል ይወስኑ (ለምሳሌ ፣ የቶር እና ሌሎች የተለመዱ መተግበሪያዎችን አጠቃቀም ለመወሰን ያስችልዎታል)። JA3 ደንበኞችን ለመግለጽ ያስችላል, እና JA3S - አገልጋዮች. የውሳኔው ውጤት በደንብ ቅንብር ቋንቋ እና በምዝግብ ማስታወሻዎች ውስጥ መጠቀም ይቻላል;
  • አዳዲስ ስራዎችን በመጠቀም የተተገበረውን ከትልቅ የውሂብ ስብስቦች ናሙና ጋር የማዛመድ ተጨማሪ የሙከራ ችሎታ የውሂብ ስብስብ እና datatarep. ለምሳሌ፣ ባህሪው በሚሊዮን የሚቆጠሩ ግቤቶች ባሉባቸው ትላልቅ ጥቁር መዝገብ ውስጥ ማስክን ለመፈለግ ተፈጻሚ ይሆናል።
  • የኤችቲቲፒ ፍተሻ ሁነታ በሙከራ ክፍል ውስጥ የተገለጹትን ሁሉንም ሁኔታዎች ሙሉ ሽፋን ይሰጣል HTTP Evader (ለምሳሌ በትራፊክ ውስጥ ተንኮል አዘል ድርጊቶችን ለመደበቅ የሚያገለግሉ ዘዴዎችን ይሸፍናል);
  • የዝገት ሞጁል ማጎልበቻ መሳሪያዎች ከአማራጮች ወደ ተፈላጊ መደበኛ ባህሪያት ተወስደዋል. ወደፊት, ይህ ፕሮጀክት ኮድ መሠረት ውስጥ ዝገት አጠቃቀም ለማስፋት እና ቀስ በቀስ ዝገት ውስጥ የተገነቡ analogues ጋር ሞጁሎች ለመተካት ታቅዷል;
  • የፕሮቶኮል ማወቂያ ሞተር ከትክክለኛነት እና ያልተመሳሰሉ የትራፊክ ፍሰቶች አያያዝ አንፃር ተሻሽሏል;
  • እሽጎች ሲገለጡ የተገኙ ያልተለመዱ ክስተቶችን የሚያከማች ለአዲስ የመዝገብ አይነት "አኖማሊ" ድጋፍ ወደ ዋዜማ ምዝግብ ማስታወሻ ተጨምሯል። ኢቪ ስለ VLANs እና የትራፊክ ቀረጻ በይነገጾች መረጃ ማሳያን አስፋፍቷል። ሁሉንም የኤችቲቲፒ ራስጌዎች በ EVE ሎግ http ግቤቶች ለማስቀመጥ አማራጭ ታክሏል።
  • በ eBPF ላይ የተመሰረቱ ተቆጣጣሪዎች የፓኬት ቀረጻን ለማፋጠን ለሃርድዌር ዘዴዎች ድጋፍ ይሰጣሉ። የሃርድዌር ማጣደፍ በአሁኑ ጊዜ በ Netronome አውታረ መረብ አስማሚዎች ብቻ የተገደበ ነው፣ ግን በቅርቡ ለሌሎች መሳሪያዎች ይታያል።
  • የኔትማፕ ማዕቀፍን በመጠቀም ትራፊክን ለመያዝ እንደገና የተጻፈ ኮድ። እንደ ምናባዊ መቀየሪያ ያሉ የላቁ የ Netmap ባህሪያትን የመጠቀም ችሎታ ታክሏል። ሸለቆ;
  • ታክሏል። ለ Sticky Buffers አዲስ ቁልፍ ቃል ፍቺ እቅድ ድጋፍ። አዲሱ እቅድ በprotocol.buffer ቅርጸት ይገለጻል፣ ለምሳሌ፣ ዩአርአይን ወደ ውስጥ ለማስገባት፣ ቁልፍ ቃሉ ከ"http_uri" ይልቅ "http.uri" ይሆናል።
  • ሁሉም ጥቅም ላይ የዋለው የፓይዘን ኮድ ከተኳሃኝነት ጋር የተጣጣመ ነው
    Python3;

  • ለTilera architecture፣ dns.log የጽሑፍ መዝገብ እና የድሮ ፋይሎች-json.log ሎግ ድጋፍ ተቋርጧል።

የሱሪካታ ባህሪዎች

  • የማረጋገጫ ውጤቶችን ለማሳየት የተዋሃደ ቅርጸትን በመጠቀም የተዋሃደ2, እንዲሁም በ Snort ፕሮጀክት ጥቅም ላይ የዋለ, እንደ መደበኛ ትንታኔ መሳሪያዎችን መጠቀም ያስችላል barnyard2. ከ BASE, Snorby, Sguil እና SQueRT ምርቶች ጋር የመዋሃድ ችሎታ. በ PCAP ቅርጸት የውጤት ድጋፍ;
  • የፕሮቶኮሎችን (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ወዘተ) በራስ-ሰር ለመለየት ድጋፍ, ይህም በፕሮቶኮል አይነት ብቻ በደንቦቹ ውስጥ እንዲሰሩ የሚፈቅድልዎ ወደብ ቁጥር (ለ) ለምሳሌ፣ መደበኛ ባልሆነ ወደብ ላይ የኤችቲቲፒ ትራፊክን ለማገድ) . ለኤችቲቲፒ፣ SSL፣ TLS፣ SMB፣ SMB2፣ DCERPC፣ SMTP፣ FTP እና SSH ፕሮቶኮሎች ዲኮደሮች;
  • የኤችቲቲፒ ትራፊክን ለመተንተን እና መደበኛ ለማድረግ በMod_Security ፕሮጀክት ፀሃፊ የተፈጠረውን ልዩ የኤችቲቲፒ ትራፊክ ትንተና ስርዓት። የመተላለፊያ HTTP ዝውውሮችን ዝርዝር ምዝግብ ማስታወሻ ለማቆየት አንድ ሞጁል አለ ፣ ምዝግብ ማስታወሻው በመደበኛ ቅርጸት ይቀመጣል
    Apache በኤችቲቲፒ ፕሮቶኮል የሚተላለፉ ፋይሎችን ማውጣት እና ማረጋገጥ ይደገፋል። የታመቀ ይዘትን ለመተንተን ድጋፍ። በዩአርአይ ፣ ኩኪ ፣ ራስጌዎች ፣ በተጠቃሚ-ወኪል ፣ በጥያቄ / ምላሽ አካል የመለየት ችሎታ;

  • NFQueue፣ IPFRing፣ LibPcap፣ IPFW፣ AF_PACKET፣ PF_RINGን ጨምሮ ትራፊክን ለመጥለፍ ለተለያዩ በይነገጾች ድጋፍ። ቀደም ሲል የተቀመጡ ፋይሎችን በ PCAP ቅርጸት መተንተን ይቻላል;
  • ከፍተኛ አፈፃፀም ፣ በተለመደው መሳሪያዎች ላይ እስከ 10 ጊጋቢት / ሰከንድ ዥረቶችን የማካሄድ ችሎታ።
  • ከፍተኛ የአፈፃፀም ጭንብል ተዛማጅ ሞተር ከትላልቅ የአይፒ አድራሻዎች ስብስብ ጋር። በጭምብል እና በመደበኛ መግለጫዎች ለይዘት ምርጫ ድጋፍ። በስም ፣ በአይነት ወይም በኤምዲ 5 ቼክሰም መታወቂያቸውን ጨምሮ ፋይሎችን ከትራፊክ መለየት ።
  • በደንቦች ውስጥ ተለዋዋጮችን የመጠቀም ችሎታ-መረጃን ከዥረቱ ላይ ማስቀመጥ እና በኋላ በሌሎች ህጎች ውስጥ መጠቀም ይችላሉ ።
  • የማሽን ሂደትን ቀላል በሆነ መልኩ ታይነትን እንዲጠብቁ የሚያስችልዎትን የ YAML ቅርጸት በማዋቀር ፋይሎች ውስጥ መጠቀም።
  • ሙሉ የ IPv6 ድጋፍ;
  • አብሮ የተሰራ ሞተር ለራስ-ሰር መቆራረጥ እና ፓኬቶችን እንደገና ማገጣጠም ፣ ይህም ፓኬቶች የሚመጡበት ቅደም ተከተል ምንም ይሁን ምን የጅረቶችን ትክክለኛ ሂደት ለማረጋገጥ ያስችላል ።
  • የመሿለኪያ ፕሮቶኮሎች ድጋፍ፡ ቴሬዶ፣ IP-IP፣ IP6-IP4፣ IP4-IP6፣ GRE;
  • የፓኬት መፍታት ድጋፍ፡ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • በTLS/SSL ግንኙነቶች ውስጥ ለሚታዩ ቁልፎች እና የምስክር ወረቀቶች የምዝግብ ማስታወሻ ሁነታ;
  • የላቀ ትንተና ለማቅረብ እና መደበኛ ደንቦች በቂ እንዳልሆኑ የትራፊክ ዓይነቶችን ለመለየት የሚያስፈልጉትን ተጨማሪ ባህሪያትን ለመተግበር የ Lua ስክሪፕቶችን የመፃፍ ችሎታ።

    • ምንጭ: opennet.ru

አስተያየት ያክሉ