ProHoster > بلوق > أخبار الإنترنت > الإصدار التجريبي النهائي لنظام الكشف عن التسلل Snort 3

الإصدار التجريبي النهائي لنظام الكشف عن التسلل Snort 3

سيسكو مقدم النسخة التجريبية النهائية من نظام منع الهجمات المعاد تصميمه بالكامل شخير 3، المعروف أيضًا باسم مشروع Snort++، قيد التنفيذ بشكل متقطع منذ عام 2005. ومن المقرر نشر مرشح الإصدار في وقت لاحق من هذا العام.

وفي الفرع الجديد، تم إعادة النظر في مفهوم المنتج بالكامل وتم إعادة تصميم الهندسة المعمارية. من المجالات التي تم التركيز عليها عند إعداد فرع جديد، هناك تبسيط تكوين وتشغيل Snort، وأتمتة التكوين، وتبسيط لغة بناء القواعد، والكشف التلقائي عن جميع البروتوكولات، وتوفير shell للتحكم من سطر الأوامر، والاستخدام النشط تعدد مؤشرات الترابط مع الوصول المشترك لمعالجات مختلفة لتكوين واحد.

تم تنفيذ الابتكارات الهامة التالية:

  • تم الانتقال إلى نظام تكوين جديد، مما يوفر بنية مبسطة ويسمح باستخدام البرامج النصية لإنشاء الإعدادات ديناميكيًا. يتم استخدام LuaJIT لمعالجة ملفات التكوين. يتم توفير المكونات الإضافية المستندة إلى LuaJIT مع تنفيذ خيارات إضافية للقواعد ونظام التسجيل؛
  • تم تحديث محرك اكتشاف الهجمات، وتم تحديث القواعد، وتمت إضافة القدرة على ربط المخازن المؤقتة في القواعد (المخازن المؤقتة اللاصقة). تم استخدام محرك البحث Hyperscan، الذي جعل من الممكن استخدام قوالب سريعة وأكثر دقة تعتمد على التعبيرات العادية في القواعد؛
  • تمت إضافة وضع استبطان جديد لـ HTTP يمثل حالة الجلسة ويغطي 99% من المواقف التي تدعمها مجموعة الاختبار المتهرب من HTTP. رمز دعم HTTP/2 قيد التطوير؛
  • تم تحسين أداء وضع Deep Packet Inspection بشكل ملحوظ. تمت إضافة القدرة على معالجة الحزم متعددة الخيوط، مما يسمح بالتنفيذ المتزامن لعدة سلاسل رسائل باستخدام معالجات الحزم وتوفير قابلية التوسع الخطي اعتمادًا على عدد مراكز وحدة المعالجة المركزية؛
  • تنفيذ مستودع مشترك لجداول التكوين والسمات، والذي يتم مشاركته بين أنظمة فرعية مختلفة، مما أدى إلى تقليل استهلاك الذاكرة بشكل كبير بسبب القضاء على ازدواجية المعلومات؛
  • نظام جديد لتسجيل الأحداث باستخدام تنسيق JSON ويمكن دمجه بسهولة مع الأنظمة الأساسية الخارجية مثل Elastic Stack؛
  • الانتقال إلى بنية معيارية، والقدرة على توسيع الوظائف من خلال توصيل المكونات الإضافية وتنفيذ الأنظمة الفرعية الرئيسية في شكل مكونات إضافية قابلة للاستبدال. حاليًا، تم بالفعل تنفيذ عدة مئات من المكونات الإضافية لـ Snort 3، والتي تغطي مجالات مختلفة من التطبيق، على سبيل المثال، مما يسمح لك بإضافة برامج الترميز الخاصة بك، وأنماط الاستبطان، وطرق التسجيل، والإجراءات والخيارات في القواعد؛
  • الكشف التلقائي عن الخدمات قيد التشغيل، مما يلغي الحاجة إلى تحديد منافذ الشبكة النشطة يدويًا.

التغييرات منذ الإصدار التجريبي الأخير، والذي تم نشره في عام 2018:

  • تمت إضافة دعم للملفات لتجاوز الإعدادات المتعلقة بالتكوين الافتراضي بسرعة؛
  • يوفر الكود القدرة على استخدام بنيات C++ المحددة في معيار C++ 14 (يتطلب البناء مترجمًا يدعم C++ 14)؛
  • تمت إضافة معالج VXLAN جديد؛
  • تحسين البحث عن أنواع المحتوى حسب المحتوى باستخدام تطبيقات بديلة محدثة للخوارزميات بوير مور и هايبرسكان;
  • لقد أصبح نظام فحص حركة المرور HTTP/2 جاهزًا عمليًا؛
  • يتم تسريع بدء التشغيل بسبب استخدام عدة سلاسل لتجميع مجموعات من القواعد؛
  • تمت إضافة آلية تسجيل جديدة؛
  • تحسين اكتشاف أخطاء Lua وتحسين القائمة البيضاء؛
  • تم إجراء تغييرات لتنفيذ إعدادات إعادة التحميل بسرعة؛
  • تمت إضافة نظام فحص RNA (التوعية بالشبكة في الوقت الفعلي) الذي يجمع معلومات حول الموارد والمضيفين والتطبيقات والخدمات المتوفرة على الشبكة؛
  • لقد تم إيقاف استخدام snort_config.lua وSNORT_LUA_PATH لتبسيط عملية التكوين.

المصدر: opennet.ru

إضافة تعليق