После года разработки организация OISF (Open Information Security Foundation) objavljeno oslobađanje sistema za detekciju i prevenciju upada u mrežu Meerkat 6.0, koji omogućava inspekciju raznih vrsta saobraćaja. U Suricata konfiguracijama, dozvoljena je upotreba baze potpisa, koji je razvio projekat Snort, kao i skupove pravila Emerging Threats и Emerging Threats Pro. Izvorni kod projekta širenje licenciran pod GPLv2.
Glavne promjene:
Начальная поддержка HTTP/2.
Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
Возможность ведения лога для протокола DCERPC.
Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
Возможность определения условий для сброса сведений в лог.
Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
Повышение производительности движка обработки потоков (flow engine).
На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
Добавлена начальная поддержка плагинов.
Karakteristike Suricate:
Upotreba objedinjenog formata za prikaz rezultata validacije unified2, koji također koristi projekt Snort, omogućavajući korištenje standardnih alata za analizu kao što su barnyard2. Mogućnost integracije sa BASE, Snorby, Sguil i SQueRT proizvodima. Podrška za izlaz u PCAP formatu;
Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućava da radite u pravilima samo prema tipu protokola, bez upućivanja na broj porta (npr. , za blokiranje HTTP prometa na nestandardnom portu) . Dekoderi za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
Moćan HTTP sistem za analizu saobraćaja koji koristi specijalnu HTP biblioteku kreiranu od strane autora Mod_Security projekta za raščlanjivanje i normalizaciju HTTP saobraćaja. Dostupan je modul za održavanje detaljnog dnevnika tranzitnih HTTP transfera, dnevnik se čuva u standardnom formatu
Apache. Podržano je izdvajanje i provjera datoteka prenesenih putem HTTP protokola. Podrška za raščlanjivanje komprimovanog sadržaja. Mogućnost identifikacije po URI-ju, kolačiću, zaglavljima, korisničkim agentom, tijelom zahtjeva/odgovora;
Podrška za različite interfejse za presretanje saobraćaja, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već sačuvane datoteke u PCAP formatu;
Visoke performanse, mogućnost obrade tokova do 10 gigabita/s na konvencionalnoj opremi.
Motor za usklađivanje maski visokih performansi sa velikim skupovima IP adresa. Podrška za odabir sadržaja po maski i regularnim izrazima. Odvajanje datoteka od prometa, uključujući njihovu identifikaciju po imenu, tipu ili MD5 kontrolnoj sumi.
Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućava da održite vidljivost uz lakoću mašinske obrade;
Potpuna IPv6 podrška;
Ugrađeni motor za automatsku defragmentaciju i ponovno sastavljanje paketa, koji omogućava da se osigura ispravna obrada streamova, bez obzira na redoslijed kojim paketi pristižu;
Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Način evidentiranja za ključeve i certifikate koji se pojavljuju unutar TLS/SSL veza;
Sposobnost pisanja Lua skripti za pružanje napredne analize i implementaciju dodatnih funkcija potrebnih za identifikaciju tipova saobraćaja za koje standardna pravila nisu dovoljna.