Cisco sobre el desenvolupament d'una versió candidata per a un sistema de prevenció d'atacs completament redissenyat , també conegut com el projecte Snort++, que treballa de manera intermitent des del 2005. Està previst que el llançament estable es publiqui en un mes.
A la branca Snort 3, s'ha repensat completament el concepte de producte i s'ha redissenyat l'arquitectura. Entre les àrees clau de desenvolupament de Snort 3: simplificació de la configuració i execució de Snort, automatització de la configuració, simplificació del llenguatge per construir regles, detecció automàtica de tots els protocols, subministrament d'un shell per al control des de la línia d'ordres, ús actiu de multithreading amb accés conjunt de diferents processadors a una única configuració.
S'han implementat les següents innovacions significatives:
- S'ha fet una transició a un nou sistema de configuració que ofereix una sintaxi simplificada i permet l'ús d'scripts per generar configuracions dinàmicament. LuaJIT s'utilitza per processar fitxers de configuració. Els connectors basats en LuaJIT es proporcionen amb la implementació d'opcions addicionals per a regles i un sistema de registre;
- S'ha modernitzat el motor de detecció d'atacs, s'han actualitzat les regles i s'ha afegit la possibilitat d'unir memòries intermèdies en regles (búfers adhesius). Es va utilitzar el cercador Hyperscan, que va permetre utilitzar patrons activats de manera ràpida i amb més precisió basats en expressions regulars de les regles;
- S'ha afegit un nou mode d'introspecció per a HTTP que té en compte l'estat de la sessió i cobreix el 99% de les situacions compatibles amb la suite de proves . S'ha afegit un sistema d'inspecció de trànsit HTTP/2;
- El rendiment del mode d'inspecció profunda de paquets s'ha millorat significativament. S'ha afegit la capacitat de processament de paquets multifils, permetent l'execució simultània de diversos fils amb processadors de paquets i proporcionant escalabilitat lineal en funció del nombre de nuclis de CPU;
- S'ha implementat una configuració comuna d'emmagatzematge i taules d'atributs, que es comparteix entre diferents subsistemes, fet que ha reduït notablement el consum de memòria eliminant la duplicació d'informació;
- Nou sistema de registre d'esdeveniments amb format JSON i fàcil d'integrar amb plataformes externes com Elastic Stack;
- Transició a una arquitectura modular, la capacitat d'ampliar la funcionalitat mitjançant la connexió de connectors i la implementació de subsistemes clau en forma de connectors substituïbles. Actualment, ja s'han implementat diversos centenars de connectors per a Snort 3, que cobreixen diverses àrees d'aplicació, per exemple, que us permeten afegir els vostres propis còdecs, modes d'introspecció, mètodes de registre, accions i opcions a les regles;
- Detecció automàtica dels serveis en execució, eliminant la necessitat d'especificar manualment els ports de xarxa actius.
- S'ha afegit suport per a fitxers per substituir ràpidament la configuració relativa a la configuració predeterminada. Per simplificar la configuració, s'ha deixat d'utilitzar snort_config.lua i SNORT_LUA_PATH.
S'ha afegit suport per tornar a carregar la configuració sobre la marxa; - El codi proporciona la possibilitat d'utilitzar construccions C++ definides a l'estàndard C++14 (la construcció requereix un compilador que admeti C++14);
- S'ha afegit un nou controlador VXLAN;
- Cerca millorada de tipus de contingut per contingut mitjançant implementacions d'algorismes alternatius actualitzats и ;
- L'inici s'accelera utilitzant diversos fils per compilar grups de regles;
- S'ha afegit un nou mecanisme de registre;
- S'ha afegit un sistema d'inspecció RNA (Real-time Network Awareness), que recull informació sobre recursos, amfitrions, aplicacions i serveis disponibles a la xarxa.
Font: opennet.ru