ProHoster > بلوق > أخبار الإنترنت > يتوفر نظام الكشف عن هجوم Suricata 5.0

يتوفر نظام الكشف عن هجوم Suricata 5.0

منظمة OISF (مؤسسة أمن المعلومات المفتوحة) опубликовала إطلاق نظام كشف التسلل والوقاية في الشبكة ميركات 5.0، مما يوفر وسيلة لتفتيش مختلف أنواع حركة المرور. في تكوينات Suricata ، يجوز استخدامه قواعد التوقيع، تم تطويره بواسطة مشروع Snort ، بالإضافة إلى مجموعة من القواعد التهديدات الناشئة и التهديدات الناشئة برو. كود مصدر المشروع الانتشار مرخص بموجب GPLv2.

التغييرات الرئيسية:

  • تقديم وحدات جديدة للتحليل والتسجيل للبروتوكولات
    RDP و SNMP و SIP مكتوب في Rust. تمت إضافة القدرة على التسجيل عبر نظام EVE الفرعي ، الذي يوفر إخراج الأحداث بتنسيق JSON ، إلى وحدة تحليل FTP ؛

  • بالإضافة إلى دعم طريقة مصادقة عميل JA3 TLS المقدمة في الإصدار الأخير ، دعم هذه الطريقة JA3S, السماح بناءً على تفاصيل مفاوضات الاتصال والمعلمات المحددة ، حدد البرنامج المستخدم لإنشاء اتصال (على سبيل المثال ، يسمح لك بتحديد استخدام Tor والتطبيقات النموذجية الأخرى). يتيح JA3 تحديد العملاء ، و JA3S - الخوادم. يمكن استخدام نتائج التحديد في لغة تحديد القواعد وفي السجلات ؛
  • تمت إضافة القدرة التجريبية على المطابقة مع عينة من مجموعات البيانات الكبيرة ، والتي تم تنفيذها باستخدام عمليات جديدة مجموعة البيانات و datarep. على سبيل المثال ، الميزة قابلة للتطبيق للبحث عن الأقنعة في القوائم السوداء الكبيرة التي تحتوي على ملايين الإدخالات ؛
  • يوفر وضع فحص HTTP تغطية كاملة لجميع المواقف الموضحة في مجموعة الاختبار المتهرب من HTTP (على سبيل المثال ، يغطي التقنيات المستخدمة لإخفاء النشاط الضار في حركة المرور) ؛
  • تم نقل أدوات تطوير وحدة الصدأ من الخيارات إلى الميزات القياسية المطلوبة. في المستقبل ، من المخطط توسيع استخدام Rust في قاعدة رمز المشروع واستبدال الوحدات تدريجياً بنظائرها المطورة في Rust ؛
  • تم تحسين محرك اكتشاف البروتوكول من حيث الدقة والتعامل مع تدفقات حركة المرور غير المتزامنة ؛
  • تمت إضافة الدعم إلى سجل EVE لنوع سجل جديد ، "الشذوذ" ، والذي يخزن الأحداث غير النمطية التي يتم اكتشافها عند فك تشفير الحزم. قامت EVE أيضًا بتوسيع عرض المعلومات حول شبكات VLAN وواجهات التقاط حركة المرور. خيار مضاف لحفظ جميع رؤوس HTTP في إدخالات http في سجل EVE ؛
  • توفر المعالجات المستندة إلى eBPF دعمًا لآليات الأجهزة لتسريع التقاط الحزم. يقتصر تسريع الأجهزة حاليًا على محولات شبكة Netronome ، ولكنه سيظهر قريبًا لمعدات أخرى ؛
  • إعادة كتابة التعليمات البرمجية لالتقاط حركة المرور باستخدام إطار عمل Netmap. تمت إضافة القدرة على استخدام ميزات Netmap المتقدمة مثل المحول الافتراضي VALE;
  • أضيفت بواسطة دعم نظام تعريف الكلمات الأساسية الجديد للمخازن المؤقتة اللاصقة. يتم تعريف المخطط الجديد في شكل Protocol.buffer ، على سبيل المثال ، لاستكشاف URI ، ستكون الكلمة الأساسية "http.uri" بدلاً من "http_uri" ؛
  • تم اختبار كافة أكواد Python المستخدمة للتأكد من توافقها مع
    بايثون 3 ؛

  • تم إيقاف دعم بنية Tilera ، وسجل نص dns.log ، وسجل files-json.log القديم.

ميزات Suricata:

  • استخدام تنسيق موحد لعرض نتائج التحقق من الصحة موحد 2، يستخدم أيضًا بواسطة مشروع Snort ، مما يسمح باستخدام أدوات التحليل القياسية مثل الفناء2. القدرة على التكامل مع منتجات BASE و Snorby و Sguil و SQueRT. دعم الإخراج بتنسيق PCAP ؛
  • دعم الاكتشاف التلقائي للبروتوكولات (IP ، TCP ، UDP ، ICMP ، HTTP ، TLS ، FTP ، SMB ، إلخ) ، والذي يسمح لك بالعمل في القواعد فقط من خلال نوع البروتوكول ، دون الرجوع إلى رقم المنفذ (على سبيل المثال ، لمنع حركة مرور HTTP على منفذ غير قياسي). أجهزة فك التشفير لبروتوكولات HTTP و SSL و TLS و SMB و SMB2 و DCERPC و SMTP و FTP و SSH ؛
  • نظام تحليل حركة مرور HTTP قوي يستخدم مكتبة HTP خاصة أنشأها مؤلف مشروع Mod_Security لتحليل وتطبيع حركة مرور HTTP. تتوفر وحدة نمطية للاحتفاظ بسجل مفصل لعمليات نقل HTTP العابر ، ويتم حفظ السجل بتنسيق قياسي
    اباتشي. يتم دعم استخراج والتحقق من الملفات المنقولة عبر بروتوكول HTTP. دعم لتحليل المحتوى المضغوط. القدرة على التحديد عن طريق URI ، ملف تعريف الارتباط ، الرؤوس ، وكيل المستخدم ، هيئة الطلب / الاستجابة ؛

  • دعم واجهات مختلفة لاعتراض حركة المرور ، بما في ذلك NFQueue و IPFRing و LibPcap و IPFW و AF_PACKET و PF_RING. من الممكن تحليل الملفات المحفوظة بالفعل بتنسيق PCAP ؛
  • أداء عالي ، والقدرة على معالجة تدفقات تصل إلى 10 جيجابت / ثانية على المعدات التقليدية.
  • قناع عالي الأداء يطابق المحرك مع مجموعات كبيرة من عناوين IP. دعم اختيار المحتوى عن طريق القناع والتعبيرات العادية. فصل الملفات عن حركة المرور ، بما في ذلك تحديدها بالاسم أو النوع أو المجموع الاختباري MD5.
  • القدرة على استخدام المتغيرات في القواعد: يمكنك حفظ المعلومات من الدفق واستخدامها لاحقًا في قواعد أخرى ؛
  • استخدام تنسيق YAML في ملفات التكوين ، مما يسمح لك بالحفاظ على الرؤية مع سهولة معالجة الجهاز ؛
  • دعم IPv6 الكامل ؛
  • محرك مدمج لإلغاء التجزئة التلقائي وإعادة تجميع الحزم ، مما يسمح بضمان المعالجة الصحيحة للتدفقات ، بغض النظر عن ترتيب وصول الحزم ؛
  • دعم بروتوكولات الأنفاق: Teredo و IP-IP و IP6-IP4 و IP4-IP6 و GRE ؛
  • دعم فك تشفير الحزمة: IPv4 ، IPv6 ، TCP ، UDP ، SCTP ، ICMPv4 ، ICMPv6 ، GRE ، Ethernet ، PPP ، PPPoE ، Raw ، SLL ، VLAN ؛
  • وضع التسجيل للمفاتيح والشهادات التي تظهر داخل اتصالات TLS / SSL ؛
  • القدرة على كتابة نصوص Lua لتوفير تحليل متقدم وتنفيذ الميزات الإضافية اللازمة لتحديد أنواع حركة المرور التي لا تكفي القواعد القياسية لها.

    • المصدر: opennet.ru

إضافة تعليق