После года разработки организация OISF (Open Information Security Foundation) опубликовала إطلاق نظام كشف التسلل والوقاية في الشبكة ميركات 6.0، مما يوفر وسيلة لتفتيش مختلف أنواع حركة المرور. في تكوينات Suricata ، يجوز استخدامه قواعد التوقيع، تم تطويره بواسطة مشروع Snort ، بالإضافة إلى مجموعة من القواعد التهديدات الناشئة и التهديدات الناشئة برو. كود مصدر المشروع الانتشار مرخص بموجب GPLv2.
التغييرات الرئيسية:
Начальная поддержка HTTP/2.
Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
Возможность ведения лога для протокола DCERPC.
Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
Возможность определения условий для сброса сведений в лог.
Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
Повышение производительности движка обработки потоков (flow engine).
На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
Добавлена начальная поддержка плагинов.
ميزات Suricata:
استخدام تنسيق موحد لعرض نتائج التحقق من الصحة موحد 2، يستخدم أيضًا بواسطة مشروع Snort ، مما يسمح باستخدام أدوات التحليل القياسية مثل الفناء2. القدرة على التكامل مع منتجات BASE و Snorby و Sguil و SQueRT. دعم الإخراج بتنسيق PCAP ؛
دعم الاكتشاف التلقائي للبروتوكولات (IP ، TCP ، UDP ، ICMP ، HTTP ، TLS ، FTP ، SMB ، إلخ) ، والذي يسمح لك بالعمل في القواعد فقط من خلال نوع البروتوكول ، دون الرجوع إلى رقم المنفذ (على سبيل المثال ، لمنع حركة مرور HTTP على منفذ غير قياسي). أجهزة فك التشفير لبروتوكولات HTTP و SSL و TLS و SMB و SMB2 و DCERPC و SMTP و FTP و SSH ؛
نظام تحليل حركة مرور HTTP قوي يستخدم مكتبة HTP خاصة أنشأها مؤلف مشروع Mod_Security لتحليل وتطبيع حركة مرور HTTP. تتوفر وحدة نمطية للاحتفاظ بسجل مفصل لعمليات نقل HTTP العابر ، ويتم حفظ السجل بتنسيق قياسي
اباتشي. يتم دعم استخراج والتحقق من الملفات المنقولة عبر بروتوكول HTTP. دعم لتحليل المحتوى المضغوط. القدرة على التحديد عن طريق URI ، ملف تعريف الارتباط ، الرؤوس ، وكيل المستخدم ، هيئة الطلب / الاستجابة ؛
دعم واجهات مختلفة لاعتراض حركة المرور ، بما في ذلك NFQueue و IPFRing و LibPcap و IPFW و AF_PACKET و PF_RING. من الممكن تحليل الملفات المحفوظة بالفعل بتنسيق PCAP ؛
أداء عالي ، والقدرة على معالجة تدفقات تصل إلى 10 جيجابت / ثانية على المعدات التقليدية.
قناع عالي الأداء يطابق المحرك مع مجموعات كبيرة من عناوين IP. دعم اختيار المحتوى عن طريق القناع والتعبيرات العادية. فصل الملفات عن حركة المرور ، بما في ذلك تحديدها بالاسم أو النوع أو المجموع الاختباري MD5.
القدرة على استخدام المتغيرات في القواعد: يمكنك حفظ المعلومات من الدفق واستخدامها لاحقًا في قواعد أخرى ؛
استخدام تنسيق YAML في ملفات التكوين ، مما يسمح لك بالحفاظ على الرؤية مع سهولة معالجة الجهاز ؛
دعم IPv6 الكامل ؛
محرك مدمج لإلغاء التجزئة التلقائي وإعادة تجميع الحزم ، مما يسمح بضمان المعالجة الصحيحة للتدفقات ، بغض النظر عن ترتيب وصول الحزم ؛
دعم بروتوكولات الأنفاق: Teredo و IP-IP و IP6-IP4 و IP4-IP6 و GRE ؛