После года разработки организация OISF (Open Information Security Foundation) የአውታረ መረብ ጣልቃ ገብነትን መለየት እና መከላከል ስርዓት መልቀቅ , ይህም የተለያዩ የትራፊክ ዓይነቶችን የመፈተሽ ዘዴን ያቀርባል. በሱሪካታ ውቅሮች ውስጥ መጠቀም ይፈቀዳል። በ Snort ፕሮጀክት የተገነባ, እንዲሁም ደንቦች ስብስብ и . የፕሮጀክት ምንጭ ኮድ በ GPLv2 ፍቃድ የተሰጠው።
ዋና ለውጦች፡-
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
የሱሪካታ ባህሪዎች
- የማረጋገጫ ውጤቶችን ለማሳየት የተዋሃደ ቅርጸትን በመጠቀም , እንዲሁም በ Snort ፕሮጀክት ጥቅም ላይ የዋለ, እንደ መደበኛ ትንታኔ መሳሪያዎችን መጠቀም ያስችላል . ከ BASE, Snorby, Sguil እና SQueRT ምርቶች ጋር የመዋሃድ ችሎታ. በ PCAP ቅርጸት የውጤት ድጋፍ;
- የፕሮቶኮሎችን (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ወዘተ) በራስ-ሰር ለመለየት ድጋፍ, ይህም በፕሮቶኮል አይነት ብቻ በደንቦቹ ውስጥ እንዲሰሩ የሚፈቅድልዎ ወደብ ቁጥር (ለ) ለምሳሌ፣ መደበኛ ባልሆነ ወደብ ላይ የኤችቲቲፒ ትራፊክን ለማገድ) . ለኤችቲቲፒ፣ SSL፣ TLS፣ SMB፣ SMB2፣ DCERPC፣ SMTP፣ FTP እና SSH ፕሮቶኮሎች ዲኮደሮች;
- የኤችቲቲፒ ትራፊክን ለመተንተን እና መደበኛ ለማድረግ በMod_Security ፕሮጀክት ፀሃፊ የተፈጠረውን ልዩ የኤችቲቲፒ ትራፊክ ትንተና ስርዓት። የመተላለፊያ HTTP ዝውውሮችን ዝርዝር ምዝግብ ማስታወሻ ለማቆየት አንድ ሞጁል አለ ፣ ምዝግብ ማስታወሻው በመደበኛ ቅርጸት ይቀመጣል
Apache በኤችቲቲፒ ፕሮቶኮል የሚተላለፉ ፋይሎችን ማውጣት እና ማረጋገጥ ይደገፋል። የታመቀ ይዘትን ለመተንተን ድጋፍ። በዩአርአይ ፣ ኩኪ ፣ ራስጌዎች ፣ በተጠቃሚ-ወኪል ፣ በጥያቄ / ምላሽ አካል የመለየት ችሎታ; - NFQueue፣ IPFRing፣ LibPcap፣ IPFW፣ AF_PACKET፣ PF_RINGን ጨምሮ ትራፊክን ለመጥለፍ ለተለያዩ በይነገጾች ድጋፍ። ቀደም ሲል የተቀመጡ ፋይሎችን በ PCAP ቅርጸት መተንተን ይቻላል;
- ከፍተኛ አፈፃፀም ፣ በተለመደው መሳሪያዎች ላይ እስከ 10 ጊጋቢት / ሰከንድ ዥረቶችን የማካሄድ ችሎታ።
- ከፍተኛ የአፈፃፀም ጭንብል ተዛማጅ ሞተር ከትላልቅ የአይፒ አድራሻዎች ስብስብ ጋር። በጭምብል እና በመደበኛ መግለጫዎች ለይዘት ምርጫ ድጋፍ። በስም ፣ በአይነት ወይም በኤምዲ 5 ቼክሰም መታወቂያቸውን ጨምሮ ፋይሎችን ከትራፊክ መለየት ።
- በደንቦች ውስጥ ተለዋዋጮችን የመጠቀም ችሎታ-መረጃን ከዥረቱ ላይ ማስቀመጥ እና በኋላ በሌሎች ህጎች ውስጥ መጠቀም ይችላሉ ።
- የማሽን ሂደትን ቀላል በሆነ መልኩ ታይነትን እንዲጠብቁ የሚያስችልዎትን የ YAML ቅርጸት በማዋቀር ፋይሎች ውስጥ መጠቀም።
- ሙሉ የ IPv6 ድጋፍ;
- አብሮ የተሰራ ሞተር ለራስ-ሰር መቆራረጥ እና ፓኬቶችን እንደገና ማገጣጠም ፣ ይህም ፓኬቶች የሚመጡበት ቅደም ተከተል ምንም ይሁን ምን የጅረቶችን ትክክለኛ ሂደት ለማረጋገጥ ያስችላል ።
- የመሿለኪያ ፕሮቶኮሎች ድጋፍ፡ ቴሬዶ፣ IP-IP፣ IP6-IP4፣ IP4-IP6፣ GRE;
- የፓኬት መፍታት ድጋፍ፡ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- በTLS/SSL ግንኙነቶች ውስጥ ለሚታዩ ቁልፎች እና የምስክር ወረቀቶች የምዝግብ ማስታወሻ ሁነታ;
- የላቀ ትንተና ለማቅረብ እና መደበኛ ደንቦች በቂ እንዳልሆኑ የትራፊክ ዓይነቶችን ለመለየት የሚያስፈልጉትን ተጨማሪ ባህሪያትን ለመተግበር የ Lua ስክሪፕቶችን የመፃፍ ችሎታ።
ምንጭ: opennet.ru