Cisco ettevõte täielikult ümber kujundatud rünnakute ennetamise süsteemi vabastamise kandidaadi väljatöötamise kohta , tuntud ka kui Snort++ projekt, mille kallal on vahelduvalt tööd tehtud alates 2005. aastast. Stabiilne väljalase on plaanis avaldada kuu aja jooksul.
Snort 3 harus on tootekontseptsioon täielikult ümber mõeldud ja arhitektuur ümber kujundatud. Snort 3 arendamise põhivaldkondade hulgas: Snorti seadistamise ja käitamise lihtsustamine, konfigureerimise automatiseerimine, reeglite koostamise keele lihtsustamine, kõigi protokollide automaatne tuvastamine, kesta pakkumine käsurealt juhtimiseks, aktiivne kasutamine multithreading koos erinevate protsessorite ühise juurdepääsuga ühele konfiguratsioonile.
Rakendatud on järgmised olulised uuendused:
- Tehtud on üleminek uuele konfiguratsioonisüsteemile, mis pakub lihtsustatud süntaksit ja võimaldab kasutada skripte sätete dünaamiliseks genereerimiseks. LuaJIT-i kasutatakse konfiguratsioonifailide töötlemiseks. LuaJIT-il põhinevad pistikprogrammid on varustatud reeglite ja logimissüsteemi lisavõimaluste rakendamisega;
- Rünnakute tuvastamise mootorit on kaasajastatud, reegleid on uuendatud ja lisatud on võimalus siduda reeglites puhvreid (kleepuvad puhvrid). Kasutati otsingumootorit Hyperscan, mis võimaldas kasutada reeglites regulaaravaldiste põhjal kiireid ja täpsemalt käivitatavaid mustreid;
- HTTP jaoks on lisatud uus enesevaatlusrežiim, mis võtab arvesse seansi olekut ja katab 99% testkomplekti toetatud olukordadest . Lisatud HTTP/2 liiklusjärelevalve süsteem;
- Sügava pakettide kontrollimise režiimi jõudlust on oluliselt paranenud. Lisatud mitme lõimega paketttöötluse võimalus, võimaldades mitme lõime samaaegset täitmist pakettprotsessoritega ja pakkudes lineaarset mastaapsust sõltuvalt protsessori tuumade arvust;
- Realiseeritud on ühtne konfiguratsioonisalvestus ja atribuutide tabelid, mis on jagatud erinevate alamsüsteemide vahel, mis on oluliselt vähendanud mälukulu, välistades info dubleerimise;
- Uus sündmuste logimise süsteem, mis kasutab JSON-vormingut ja on hõlpsasti integreeritav väliste platvormidega, nagu Elastic Stack;
- Üleminek modulaarsele arhitektuurile, võimalus laiendada funktsionaalsust pluginate ühendamise ja peamiste alamsüsteemide juurutamise kaudu asendatavate pluginate kujul. Hetkel on Snort 3 jaoks juurutatud juba mitusada pluginat, mis hõlmavad erinevaid kasutusvaldkondi, võimaldades näiteks lisada reeglitesse oma koodekeid, sisekaemusrežiime, logimismeetodeid, toiminguid ja valikuid;
- Töötavate teenuste automaatne tuvastamine, välistades vajaduse aktiivsete võrguportide käsitsi määramiseks.
- Lisatud on failide tugi, et vaikekonfiguratsiooniga võrreldes sätteid kiiresti alistada. Seadistamise lihtsustamiseks on snort_config.lua ja SNORT_LUA_PATH kasutamine lõpetatud.
Lisatud tugi seadete käigupealt uuesti laadimiseks; - Kood annab võimaluse kasutada C++14 standardis määratletud C++ konstruktsioone (ehitamiseks on vaja kompilaatorit, mis toetab C++14);
- Lisatud uus VXLAN-i töötleja;
- Täiustatud sisutüüpide otsing sisu järgi, kasutades uuendatud alternatiivseid algoritme и ;
- Käivitamist kiirendab mitme lõime kasutamine reeglirühmade koostamiseks;
- Lisatud uus logimismehhanism;
- Lisatud on RNA (Real-time Network Awareness) kontrollisüsteem, mis kogub teavet võrgus saadaolevate ressursside, hostide, rakenduste ja teenuste kohta.
Allikas: opennet.ru