Cisco versió beta final d'un sistema de prevenció d'atacs completament redissenyat , també conegut com el projecte Snort++, que treballa de manera intermitent des del 2005. Està previst que es publiqui un candidat de llançament a finals d'any.
A la nova branca es replanteja completament el concepte de producte i es redissenya l'arquitectura. Entre les àrees que es van destacar a l'hora de preparar una nova branca, hi havia una simplificació de la configuració i llançament de Snort, automatització de la configuració, simplificació del llenguatge per a la construcció de regles, detecció automàtica de tots els protocols, subministrament d'un shell per al control des de la comanda. línia, ús actiu de multithreading amb accés compartit de diferents processadors a una única configuració.
S'han implementat les següents innovacions significatives:
- S'ha fet una transició a un nou sistema de configuració que ofereix una sintaxi simplificada i permet l'ús d'scripts per generar configuracions dinàmicament. LuaJIT s'utilitza per processar fitxers de configuració. Els connectors basats en LuaJIT es proporcionen amb la implementació d'opcions addicionals per a regles i un sistema de registre;
- S'ha modernitzat el motor de detecció d'atacs, s'han actualitzat les regles i s'ha afegit la possibilitat d'unir memòries intermèdies en regles (búfers adhesius). Es va utilitzar el cercador Hyperscan, que va permetre utilitzar patrons activats de manera ràpida i amb més precisió basats en expressions regulars de les regles;
- S'ha afegit un nou mode d'introspecció per a HTTP que té en compte l'estat de la sessió i cobreix el 99% de les situacions compatibles amb la suite de proves . El codi per suportar HTTP/2 està en desenvolupament;
- El rendiment del mode d'inspecció profunda de paquets s'ha millorat significativament. S'ha afegit la capacitat de processament de paquets multifils, permetent l'execució simultània de diversos fils amb processadors de paquets i proporcionant escalabilitat lineal en funció del nombre de nuclis de CPU;
- S'ha implementat una configuració comuna d'emmagatzematge i taules d'atributs, que es comparteix entre diferents subsistemes, fet que ha reduït notablement el consum de memòria eliminant la duplicació d'informació;
- Nou sistema de registre d'esdeveniments amb format JSON i fàcil d'integrar amb plataformes externes com Elastic Stack;
- Transició a una arquitectura modular, la capacitat d'ampliar la funcionalitat mitjançant la connexió de connectors i la implementació de subsistemes clau en forma de connectors substituïbles. Actualment, ja s'han implementat diversos centenars de connectors per a Snort 3, que cobreixen diverses àrees d'aplicació, per exemple, que us permeten afegir els vostres propis còdecs, modes d'introspecció, mètodes de registre, accions i opcions a les regles;
- Detecció automàtica dels serveis en execució, eliminant la necessitat d'especificar manualment els ports de xarxa actius.
Canvis en comparació amb l'última versió de prova, que es va publicar el 2018:
- S'ha afegit suport per a fitxers per substituir ràpidament la configuració relativa a la configuració predeterminada;
- El codi proporciona la possibilitat d'utilitzar construccions C++ definides a l'estàndard C++14 (la construcció requereix un compilador que admeti C++14);
- S'ha afegit un nou controlador VXLAN;
- Cerca millorada de tipus de contingut per contingut mitjançant implementacions d'algorismes alternatius actualitzats и ;
- El sistema d'inspecció de trànsit HTTP/2 gairebé s'ha posat a punt;
- L'inici s'accelera utilitzant diversos fils per compilar grups de regles;
- S'ha afegit un nou mecanisme de registre;
- Detecció millorada d'errors de Lua i llistes blanques optimitzades;
- S'han fet canvis per permetre la recàrrega de la configuració sobre la marxa;
- S'ha afegit un sistema d'inspecció RNA (Real-time Network Awareness), que recull informació sobre recursos, amfitrions, aplicacions i serveis disponibles a la xarxa;
- Per simplificar la configuració, s'ha deixat d'utilitzar snort_config.lua i SNORT_LUA_PATH.
Font: opennet.ru