Po roce vývoje organizace OISF (Open Information Security Foundation). publikováno uvolnění systému detekce a prevence narušení sítě Surikata 6.0, která poskytuje nástroje pro kontrolu různých typů provozu. V konfiguracích Suricata je možné použít podpisové databáze, vyvinutý projektem Snort, a také sady pravidel Vznikající hrozby и Emerging Threats Pro. Zdroje projektu šíření pod licencí GPLv2.
Hlavní změny:
Počáteční podpora HTTP/2.
Podpora protokolů RFB a MQTT, včetně možnosti definovat protokol a udržovat protokol.
Možnost logování pro protokol DCERPC.
Výrazné zlepšení výkonu protokolování prostřednictvím subsystému EVE, který poskytuje výstup událostí ve formátu JSON. Zrychlení bylo dosaženo díky použití nového JSON Stock Builder napsaného v jazyce Rust.
Byla zvýšena škálovatelnost systému protokolů EVE a byla implementována možnost udržovat samostatný soubor protokolu pro každé vlákno.
Schopnost definovat podmínky pro resetování informací do protokolu.
Možnost promítnutí MAC adres do EVE logu a zvýšení detailnosti DNS logu.
Kód pro zpracování byl přepsán do jazyka Rust ASN.1, DCERPC a SSH. Rust také podporuje nové protokoly.
V jazyce definice pravidel byla do klíčového slova byte_jump přidána podpora parametru from_end a do byte_test byla přidána podpora parametru bitmask. Implementováno klíčové slovo pcrexform, aby bylo možné použít regulární výrazy (pcre) k zachycení podřetězce. Přidána konverze urldecode. Přidáno klíčové slovo byte_math.
Poskytuje možnost používat cbindgen ke generování vazeb v jazycích Rust a C.
Přidána počáteční podpora pluginu.
Vlastnosti Suricaty:
Použití jednotného formátu k zobrazení výsledků skenování Sjednocený 2, také používaný projektem Snort, který umožňuje použití standardních analytických nástrojů, jako je např chlév 2. Možnost integrace s produkty BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
Podpora automatické detekce protokolů (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atd.), která umožňuje pracovat v pravidlech pouze podle typu protokolu, bez vazby na číslo portu (například blokovat HTTP provoz na nestandardním portu). Dostupnost dekodérů pro protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
Výkonný systém pro analýzu provozu HTTP, který používá speciální knihovnu HTP vytvořenou autorem projektu Mod_Security k analýze a normalizaci provozu HTTP. Pro vedení podrobného záznamu tranzitních HTTP přenosů je k dispozici modul, který je ukládán ve standardním formátu
Apache. Je podporováno načítání a kontrola souborů přenášených přes HTTP. Podpora pro analýzu komprimovaného obsahu. Schopnost identifikovat pomocí URI, Cookie, hlaviček, user-agent, těla požadavku/odpovědi;
Podpora různých rozhraní pro zachycování provozu, včetně NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovat již uložené soubory ve formátu PCAP;
Vysoký výkon, schopnost zpracovávat toky až 10 gigabitů/s na konvenčním zařízení.
Vysoce výkonný mechanismus porovnávání masek pro velké sady IP adres. Podpora výběru obsahu podle masky a regulárních výrazů. Izolace souborů od provozu, včetně jejich identifikace podle názvu, typu nebo kontrolního součtu MD5.
Schopnost používat proměnné v pravidlech: můžete uložit informace z proudu a později je použít v jiných pravidlech;
Použití formátu YAML v konfiguračních souborech, který umožňuje zachovat přehlednost a přitom se snadno strojně zpracovávat;
Plná podpora IPv6;
Vestavěný engine pro automatickou defragmentaci a opětovné sestavení paketů, umožňující správné zpracování toků bez ohledu na pořadí, ve kterém pakety přicházejí;
Režim pro protokolování klíčů a certifikátů objevujících se v připojeních TLS/SSL;
Schopnost psát skripty v jazyce Lua, které poskytují pokročilou analýzu a implementují další funkce potřebné k identifikaci typů provozu, pro které standardní pravidla nestačí.