ProHoster > بلوق > أخبار الإنترنت > الافراج عن مرشح لنظام الكشف عن الهجوم Snort 3

الافراج عن مرشح لنظام الكشف عن الهجوم Snort 3

سيسكو أعلن بشأن تطوير إصدار مرشح لنظام منع الهجمات المعاد تصميمه بالكامل شخير 3، والمعروف أيضًا باسم مشروع Snort++، والذي تم العمل عليه بشكل متقطع منذ عام 2005. ومن المقرر أن يتم نشر الإصدار المستقر في غضون شهر.

في فرع Snort 3، تم إعادة التفكير في مفهوم المنتج بالكامل وتم إعادة تصميم البنية. من بين المجالات الرئيسية لتطوير Snort 3: تبسيط إعداد وتشغيل Snort، وأتمتة التكوين، وتبسيط لغة إنشاء القواعد، والكشف التلقائي عن جميع البروتوكولات، وتوفير غلاف للتحكم من سطر الأوامر، والاستخدام النشط لـ Snort XNUMX. تعدد مؤشرات الترابط مع الوصول المشترك لمعالجات مختلفة إلى تكوين واحد.

تم تنفيذ الابتكارات الهامة التالية:

  • تم الانتقال إلى نظام تكوين جديد، مما يوفر بنية مبسطة ويسمح باستخدام البرامج النصية لإنشاء الإعدادات ديناميكيًا. يتم استخدام LuaJIT لمعالجة ملفات التكوين. يتم توفير المكونات الإضافية المستندة إلى LuaJIT مع تنفيذ خيارات إضافية للقواعد ونظام التسجيل؛
  • تم تحديث محرك اكتشاف الهجمات، وتم تحديث القواعد، وتمت إضافة القدرة على ربط المخازن المؤقتة في القواعد (المخازن المؤقتة اللاصقة). تم استخدام محرك البحث Hyperscan، الذي جعل من الممكن استخدام قوالب سريعة وأكثر دقة تعتمد على التعبيرات العادية في القواعد؛
  • تمت إضافة وضع استبطان جديد لـ HTTP يمثل حالة الجلسة ويغطي 99% من المواقف التي تدعمها مجموعة الاختبار المتهرب من HTTP. تمت إضافة نظام فحص حركة المرور HTTP/2؛
  • تم تحسين أداء وضع Deep Packet Inspection بشكل ملحوظ. تمت إضافة القدرة على معالجة الحزم متعددة الخيوط، مما يسمح بالتنفيذ المتزامن لعدة سلاسل رسائل باستخدام معالجات الحزم وتوفير قابلية التوسع الخطي اعتمادًا على عدد مراكز وحدة المعالجة المركزية؛
  • تنفيذ مستودع مشترك لجداول التكوين والسمات، والذي يتم مشاركته بين أنظمة فرعية مختلفة، مما أدى إلى تقليل استهلاك الذاكرة بشكل كبير بسبب القضاء على ازدواجية المعلومات؛
  • نظام جديد لتسجيل الأحداث باستخدام تنسيق JSON ويمكن دمجه بسهولة مع الأنظمة الأساسية الخارجية مثل Elastic Stack؛
  • الانتقال إلى بنية معيارية، والقدرة على توسيع الوظائف من خلال توصيل المكونات الإضافية وتنفيذ الأنظمة الفرعية الرئيسية في شكل مكونات إضافية قابلة للاستبدال. حاليًا، تم بالفعل تنفيذ عدة مئات من المكونات الإضافية لـ Snort 3، والتي تغطي مجالات مختلفة من التطبيق، على سبيل المثال، مما يسمح لك بإضافة برامج الترميز الخاصة بك، وأنماط الاستبطان، وطرق التسجيل، والإجراءات والخيارات في القواعد؛
  • الكشف التلقائي عن الخدمات قيد التشغيل، مما يلغي الحاجة إلى تحديد منافذ الشبكة النشطة يدويًا.
  • تمت إضافة دعم للملفات لتجاوز الإعدادات المتعلقة بالتكوين الافتراضي بسرعة. لتبسيط التكوين، تم إيقاف استخدام snort_config.lua وSNORT_LUA_PATH.
    تمت إضافة دعم لإعادة تحميل الإعدادات بسرعة؛

  • يوفر الكود القدرة على استخدام بنيات C++ المحددة في معيار C++ 14 (يتطلب البناء مترجمًا يدعم C++ 14)؛
  • تمت إضافة معالج VXLAN جديد؛
  • تحسين البحث عن أنواع المحتوى حسب المحتوى باستخدام تطبيقات بديلة محدثة للخوارزميات بوير مور и هايبرسكان;
  • يتم تسريع بدء التشغيل بسبب استخدام عدة سلاسل لتجميع مجموعات من القواعد؛
  • تمت إضافة آلية تسجيل جديدة؛
  • تمت إضافة نظام فحص RNA (التوعية بالشبكة في الوقت الحقيقي)، والذي يجمع معلومات حول الموارد والمضيفين والتطبيقات والخدمات المتاحة على الشبكة.

المصدر: opennet.ru

إضافة تعليق