Пасля года распрацоўкі арганізацыя OISF (Open Information Security Foundation) апублікавала рэліз сістэмы выяўлення і прадухілення сеткавых уварванняў Сурыкат 6.0, Якая дае сродкі інспектавання розных відаў трафіку. У канфігурацыях Suricata дапушчальна задзейнічанне базы сігнатур, якая развіваецца праектам Snort, а таксама набораў правілаў Emerging Threats и Emerging Threats Pro. Зыходныя тэксты праекта распаўсюджваюцца пад ліцэнзіяй GPLv2.
Асноўныя змены:
Пачатковая падтрымка HTTP/2.
Падтрымка пратаколаў RFB і MQTT, у тым ліку магчымасць вызначэння пратакола і вядзення лога.
Магчымасць вядзення лога для пратаколу DCERPC.
Значнае павышэнне прадукцыйнасці вядзення лога праз падсістэму EVE, якая забяспечвае вывад падзей у фармаце JSON. Паскарэнне дасягнута дзякуючы задзейнічанню новага пабудоўшчык сцёк JSON, напісанага на мове Rust.
Падвышаная маштабаванасць сістэмы логаў EVE і рэалізаваная магчымасць вядзення гатэльнага лог-файла на кожны струмень.
Магчымасць вызначэння ўмоў для скіду звестак у лог.
Магчымасць адлюстравання MAC-адрасоў у логу EVE і павышэнне дэталізацыі лога DNS.
Падвышэнне прадукцыйнасці рухавічка апрацоўкі струменяў (flow engine).
На мове Rust перапісаны код для апрацоўкі АСН.1, DCERPC і SSH. На Rust таксама рэалізавана падтрымка новых пратаколаў.
У мове вызначэння правіл у ключавым слове byte_jump дададзена падтрымка параметра from_end, а ў byte_test - параметра bitmask. Рэалізавана ключавое слова pcrexform, якое дазваляе выкарыстоўваць рэгулярныя выразы (pcre) для захопу падрадка. Дададзена пераўтварэнне urldecode. Дададзена ключавое слова byte_math.
Прадастаўлення магчымасць выкарыстання cbindgen для генерацыі прывязак на мовах Rust і C.
Дададзена пачатковая падтрымка плагінаў.
Асаблівасці Suricata:
Выкарыстанне для вываду вынікаў праверкі уніфікаванага фармату Unified2, таксама выкарыстоўванага праектам Snort, што дазваляе выкарыстоўваць стандартныя інструменты для аналізу, такія як barnyard2. Магчымасць інтэграцыі з прадуктамі BASE, Snorby, Sguil і SQueRT. Падтрымка вываду ў фармаце PCAP;
Падтрымка аўтаматычнага вызначэння пратаколаў (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB і да т.п.), якая дазваляе апераваць у правілах толькі тыпам пратаколу, без прывязкі да нумара порта (напрыклад, блакаваць HTTP трафік на нестандартным порце) . Наяўнасць дэкадавальнікаў для пратаколаў HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP і SSH;
Магутная сістэма аналізу HTTP-трафіка, якая выкарыстоўвае для разбору і нармалізацыі HTTP-трафіка адмысловую бібліятэку HTP, створаную аўтарам праекту Mod_Security. Даступны модуль для вядзення падрабязнага лога транзітных HTTP перасылак, лог захоўваецца ў стандартным фармаце
Apache. Падтрымліваецца выманне і праверка перадаюцца па пратаколе HTTP файлаў. Падтрымка разбору сціснутага кантэнту. Магчымасць ідэнтыфікацыі па URI, Cookie, загалоўкам, user-agent, целу запыту/адказу;
Падтрымка розных інтэрфейсаў для перахопу трафіку, у тым ліку NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Магчымы аналіз ужо захаваных файлаў у фармаце PCAP;
Высокая прадукцыйнасць, здольнасць апрацоўваць на звычайным абсталяванні патокі да 10 гігабіт/сек.
Высокапрадукцыйны механізм супастаўлення па масцы з вялікімі наборамі IP адрасоў. Падтрымка вылучэнне кантэнту па масцы і рэгулярным выразам. Вылучэнне файлаў з трафіку, у тым ліку іх ідэнтыфікацыя па імі, тыпу або кантрольнай суме MD5.
Магчымасць выкарыстання зменных у правілах: можна захаваць інфармацыю з патоку і пазней выкарыстоўваць яе ў іншых правілах;
Выкарыстанне фармату YAML у файлах канфігурацыі, што дазваляе захаваць навочнасць пры лёгкасці машыннай апрацоўкі;
Поўная падтрымка IPv6;
Убудаваны рухавічок для аўтаматычнай дэфрагментацыі і перазборкі пакетаў, які дазваляе забяспечыць карэктную апрацоўку струменяў, незалежна ад парадку паступлення пакетаў;
Рэжым вядзення лога ключоў і сертыфікатаў, якія фігуруюць у рамках злучэнняў TLS/SSL;
Магчымасць напісання скрыптоў на мове Lua для забеспячэння пашыранага аналізу і рэалізацыі дадатковых магчымасцяў, неабходных для вызначэння відаў трафіку, для якіх не дастаткова стандартных правілаў.