ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang Suricata 5.0 attack detection system anaa

Ang Suricata 5.0 attack detection system anaa

Organisasyon OISF (Open Information Security Foundation) gipatik pagpagawas sa network intrusion detection ug prevention system Meerkat 5.0, nga naghatag og mga himan alang sa pag-inspeksyon sa nagkalain-laing matang sa trapiko. Sa mga pagsumpo sa Suricata posible nga gamiton mga database sa pirma, naugmad sa proyekto sa Snort, ingon man mga hugpong sa mga lagda Mitumaw nga mga Panghulga ΠΈ Nag-uswag nga mga Panghulga Pro. Mga tinubdan sa proyekto pagkaylap lisensyado ubos sa GPLv2.

Panguna nga mga pagbag-o:

  • Bag-ong mga module para sa parsing ug logging protocols gipaila
    RDP, SNMP ug SIP gisulat sa Rust. Ang abilidad sa pag-log pinaagi sa EVE subsystem gidugang sa FTP parsing module, nga naghatag og output sa panghitabo sa JSON format;

  • Dugang sa suporta alang sa pamaagi sa pag-ila sa kliyente sa JA3 TLS nga nagpakita sa katapusan nga pagpagawas, suporta alang sa pamaagi JA3S, pagtugot Pinasukad sa mga kinaiya sa negosasyon sa koneksyon ug gipiho nga mga parameter, mahibal-an kung unsang software ang gigamit aron magtukod usa ka koneksyon (pananglitan, gitugotan ka nga mahibal-an ang paggamit sa Tor ug uban pang mga sumbanan nga aplikasyon). Gitugotan ka sa JA3 nga mahibal-an ang mga kliyente, ug gitugotan ka sa JA3S nga mahibal-an ang mga server. Ang mga resulta sa determinasyon mahimong magamit sa pinulongan sa pagtakda sa lagda ug sa mga troso;
  • Gidugang ang abilidad sa pag-eksperimento sa pagpares sa mga sampol gikan sa dagkong mga set sa datos, nga gipatuman gamit ang bag-ong mga operasyon dataset ug datarep. Pananglitan, ang bahin magamit sa pagpangita sa mga maskara sa dagkong mga blacklist nga adunay minilyon nga mga entry;
  • Ang HTTP inspection mode naghatag og bug-os nga coverage sa tanang sitwasyon nga gihulagway sa test suite HTTP Evader (pananglitan, naglangkob sa mga teknik nga gigamit sa pagtago sa malisyosong kalihokan sa trapiko);
  • Ang mga himan alang sa pagpalambo sa mga module sa Rust nga pinulongan gibalhin gikan sa mga opsyon ngadto sa mandatory standard nga kapabilidad. Sa umaabot, giplano nga palapdan ang paggamit sa Rust sa base sa code sa proyekto ug anam-anam nga ilisan ang mga module nga adunay mga analogue nga naugmad sa Rust;
  • Ang makina sa kahulugan sa protocol gipauswag aron mapauswag ang katukma ug pagdumala sa mga asynchronous nga agianan sa trapiko;
  • Ang suporta alang sa usa ka bag-ong "anomaliya" nga tipo sa pagsulod gidugang sa EVE log, nga nagtipig sa mga dili tipikal nga panghitabo nga nakit-an kung nag-decode sa mga pakete. Gipalapdan usab sa EVE ang pagpakita sa kasayuran bahin sa mga VLAN ug mga interface sa pagkuha sa trapiko. Gidugang nga opsyon sa pagluwas sa tanang HTTP header sa EVE http log entries;
  • Ang mga tigdumala nga nakabase sa eBPF naghatag suporta alang sa mga mekanismo sa hardware alang sa pagpadali sa pagkuha sa pakete. Ang pagpadali sa hardware sa pagkakaron limitado sa mga adapter sa network sa Netronome, apan sa dili madugay magamit na alang sa ubang mga kagamitan;
  • Ang kodigo para sa pagkuha sa trapiko gamit ang Netmap framework kay gisulat na usab. Gidugang ang abilidad sa paggamit sa mga advanced nga bahin sa Netmap sama sa usa ka virtual switch walog;
  • Gidugang suporta alang sa bag-ong laraw sa kahulugan sa keyword para sa Sticky Buffers. Ang bag-ong laraw gihubit sa "protocol.buffer" nga format, pananglitan, alang sa pag-inspeksyon sa usa ka URI, ang keyword magkuha sa porma nga "http.uri" imbes nga "http_uri";
  • Ang tanan nga Python code nga gigamit gisulayan alang sa pagkaangay sa
    Python3;

  • Ang suporta alang sa Tilera nga arkitektura, ang text log dns.log ug ang daan nga log files-json.log gihunong na.

Mga Kinaiya sa Suricata:

  • Paggamit sa usa ka hiniusa nga format aron ipakita ang mga resulta sa pag-scan Nahiusa2, gigamit usab sa proyekto sa Snort, nga nagtugot sa paggamit sa standard nga mga himan sa pagtuki sama sa barnyar2. Posibilidad sa pag-integrate sa mga produkto sa BASE, Snorby, Sguil ug SQueRT. suporta sa output sa PCAP;
  • Suporta alang sa awtomatikong pag-ila sa mga protocol (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ug uban pa), nga nagtugot kanimo sa pag-operate sa mga lagda pinaagi lamang sa tipo sa protocol, nga walay paghisgot sa numero sa port (pananglitan, block HTTP trapiko sa usa ka dili standard nga pantalan). Pagkabaton sa mga decoder alang sa HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ug SSH nga mga protocol;
  • Usa ka kusgan nga sistema sa pag-analisa sa trapiko sa HTTP nga naggamit usa ka espesyal nga librarya sa HTP nga gihimo sa tagsulat sa proyekto sa Mod_Security aron ma-parse ug ma-normalize ang trapiko sa HTTP. Adunay usa ka module nga magamit alang sa pagpadayon sa usa ka detalyado nga log sa transit HTTP nga pagbalhin; ang log gitipig sa usa ka standard nga format
    Apache. Gisuportahan ang pagkuha ug pagsusi sa mga file nga gipasa pinaagi sa HTTP. Suporta alang sa pag-parse sa compressed content. Abilidad sa pag-ila pinaagi sa URI, Cookie, header, user-agent, request/response lawas;

  • Suporta alang sa lain-laing mga interface alang sa traffic interception, lakip ang NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Posible nga analisahon ang na-save na nga mga file sa format nga PCAP;
  • Taas nga pasundayag, abilidad sa pagproseso sa mga agos hangtod sa 10 gigabits / sec sa naandan nga kagamitan.
  • High-performance mask matching mechanism para sa dagkong set sa mga IP address. Suporta alang sa pagpili sa sulud pinaagi sa maskara ug regular nga mga ekspresyon. Paglain sa mga file gikan sa trapiko, lakip ang ilang pag-ila sa ngalan, tipo o MD5 checksum.
  • Abilidad sa paggamit sa mga baryable sa mga lagda: mahimo nimong i-save ang impormasyon gikan sa usa ka sapa ug sa ulahi gamiton kini sa ubang mga lagda;
  • Paggamit sa format nga YAML sa mga file sa pag-configure, nga nagtugot kanimo sa pagpadayon sa katin-aw samtang dali nga proseso sa makina;
  • Bug-os nga suporta sa IPv6;
  • Ang built-in nga makina alang sa awtomatik nga defragmentation ug reassembly sa mga pakete, nga nagtugot alang sa husto nga pagproseso sa mga sapa, bisan unsa pa ang pagkasunod-sunod diin ang mga pakete moabut;
  • Suporta alang sa mga protocol sa tunneling: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Suporta sa pag-decode sa pakete: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Mode para sa mga yawe sa pag-log ug mga sertipiko nga makita sulod sa mga koneksyon sa TLS/SSL;
  • Ang katakus sa pagsulat sa mga script sa Lua aron mahatagan ang abante nga pagtuki ug ipatuman ang mga dugang nga kapabilidad nga gikinahanglan aron mailhan ang mga tipo sa trapiko diin ang mga sumbanan nga lagda dili igo.

    • Source: opennet.ru

Idugang sa usa ka comment