Cisco nantu à u sviluppu di un candidatu di liberazione per un sistema di prevenzione di attaccu cumplettamente riprogettatu , cunnisciutu ancu u prughjettu Snort++, chì hà travagliatu intermittenti da 2005. A liberazione stabile hè prevista per esse publicata in un mesi.
In a filiera Snort 3, u cuncettu di u produttu hè statu ripensatu cumplettamente è l'architettura hè stata riprogettata. Trà i zoni chjave di u sviluppu di Snort 3: simplificazione di l'installazione è l'esecuzione di Snort, l'automatizazione di a cunfigurazione, a simplificazione di a lingua per a custruzzione di e regule, a rilevazione automatica di tutti i protokolli, a prestazione di una shell per u cuntrollu da a linea di cummanda, l'usu attivu di multithreading cù l'accessu cumuni di diversi processori à una sola cunfigurazione.
E seguenti innovazioni significative sò state implementate:
- Una transizione hè stata fatta à un novu sistema di cunfigurazione chì offre una sintassi simplificata è permette l'usu di script per generà dinamicamente paràmetri. LuaJIT hè utilizatu per processà i schedarii di cunfigurazione. I plugins basati in LuaJIT sò furniti cù l'implementazione di opzioni supplementari per e regule è un sistema di logging;
- U mutore di deteczione di l'attaccu hè statu mudernizatu, i reguli sò stati aghjurnati, è a capacità di ligà i buffers in regule (buffers appiccicosa) hè stata aghjunta. U mutore di ricerca Hyperscan hè stata utilizata, chì hà permessu d'utilizà mudelli rapidi è più accurati basati nantu à espressioni regulari in e regule;
- Aggiuntu un novu modu d'introspezione per HTTP chì piglia in contu u statu di sessione è copre u 99% di situazioni supportate da a suite di teste. . Aghjunghje un sistema d'ispezione di trafficu HTTP / 2;
- U rendimentu di u modu d'ispezione di pacchetti profondi hè statu migliuratu significativamente. Aggiunta l'abilità di processazione di pacchetti multi-thread, chì permette l'esecuzione simultanea di parechji filamenti cù processori di pacchetti è furnisce una scalabilità lineale secondu u numeru di core CPU;
- Un almacenamentu di cunfigurazione cumuni è e tavule di attributi sò stati implementati, chì hè spartutu trà i diversi sottosistemi, chì hà riduciutu significativamente u cunsumu di memoria eliminendu a duplicazione di l'infurmazioni;
- Novu sistema di registrazione di l'avvenimenti cù u formatu JSON è facilmente integratu cù e plataforme esterne cum'è Elastic Stack;
- Transizione à una architettura modulare, a capacità di espansione a funziunalità attraversu plugins di cunnessione è implementendu sottosistemi chjave in forma di plugins rimpiazzabili. Attualmente, parechji cintunari di plugins sò digià implementati per Snort 3, chì coprenu diversi spazii di applicazione, per esempiu, chì vi permettenu di aghjunghje i vostri codecs, modi d'introspezione, metudi di logging, azzioni è opzioni in e regule;
- Rilevazione automatica di servizii in esecuzione, eliminendu a necessità di specificà manualmente i porti di rete attivi.
- Aghjunghje supportu per i fugliali per annullà rapidamente i paràmetri relative à a cunfigurazione predeterminata. Per simplificà a cunfigurazione, l'usu di snort_config.lua è SNORT_LUA_PATH hè stata interrotta.
Aghjunghje supportu per a recarga di i paràmetri nantu à a mosca; - U codice furnisce l'abilità d'utilizà custruzzioni C++ definite in u standard C++ 14 (custruisce richiede un compilatore chì sustene C++ 14);
- Aggiuntu novu gestore VXLAN;
- Ricerca migliorata per i tipi di cuntenutu per cuntenutu utilizendu implementazioni di algoritmi alternativi aghjurnati и ;
- L'iniziu hè acceleratu usendu parechje fili per cumpilà gruppi di regule;
- Aggiuntu un novu mecanismu di logu;
- Un sistema d'ispezione RNA (Real-time Network Awareness) hè statu aghjuntu, chì raccoglie infurmazioni nantu à risorse, ospiti, applicazioni è servizii dispunibili nantu à a reta.
Source: opennet.ru