Cisco Erabat birmoldatutako erasoen prebentzio sistema baten azken beta bertsioa , Snort++ proiektu bezala ere ezaguna, 2005etik tarteka lantzen ari dena. Urte amaieran kaleratzeko hautagai bat argitaratzea aurreikusten da.
Adar berrian, produktuaren kontzeptua guztiz birplanteatzen da eta arkitektura birdiseinatzen da. Adar berri bat prestatzerakoan nabarmendu ziren arloen artean, Snort konfiguratzeko eta abiarazteko sinplifikazioa, konfigurazioaren automatizazioa, arauak eraikitzeko lengoaia sinplifikatu, protokolo guztien detekzio automatikoa, komandotik kontrolatzeko shell bat hornitu zen. linea, hari anitzeko erabilera aktiboa prozesadore ezberdinen sarbide partekatuarekin konfigurazio bakarrerako.
Berrikuntza esanguratsu hauek ezarri dira:
- Sintaxi sinplifikatua eskaintzen duen eta ezarpenak dinamikoki sortzeko script-ak erabiltzeko aukera ematen duen konfigurazio-sistema berri baterako trantsizioa egin da. LuaJIT konfigurazio fitxategiak prozesatzeko erabiltzen da. LuaJIT-en oinarritutako pluginak arauetarako aukera osagarriak eta erregistro-sistema bat ezartzeko eskaintzen dira;
- Erasoen detektatzeko motorra modernizatu da, arauak eguneratu dira eta buffer-ak arauetan (buffer itsaskorrak) lotzeko gaitasuna gehitu da. Hyperscan bilatzailea erabili zen, eta horri esker, arauetan espresio erregularretan oinarritutako abiarazitako eredu azkarrak eta zehatzagoak erabiltzea ahalbidetu zen;
- Saioen egoera kontuan hartzen duen eta proba-multzoak onartzen dituen egoeren % 99 estaltzen duen HTTPrako introspekzio modu berri bat gehitu da. . HTTP/2 onartzen duen kodea garatzen ari da;
- Pakete sakonak ikuskatzeko moduaren errendimendua nabarmen hobetu da. Hari anitzeko paketeen prozesamendurako gaitasuna gehitu da, pakete-prozesadoreekin hainbat hari aldi berean exekutatzeko eta eskalagarritasun lineala eskainiz CPU-nukleoen kopuruaren arabera;
- Konfigurazio biltegiratze eta atributu-taul komun bat ezarri da, azpisistema ezberdinen artean partekatzen dena, eta horrek memoria-kontsumoa nabarmen murriztu du informazioaren bikoizketa ezabatuz;
- Gertaerak erregistratzeko sistema berria JSON formatua erabiliz eta Elastic Stack bezalako kanpoko plataformekin erraz integratzen da;
- Arkitektura modular baterako trantsizioa, pluginak konektatuz eta plugin ordezkagarrien moduan azpisistema gakoak inplementatuz funtzionalitatea zabaltzeko gaitasuna. Gaur egun, ehunka plugin inplementatu dira dagoeneko Snort 3rako, aplikazio-eremu desberdinak hartzen dituztenak, adibidez, zure kodekak, introspekzio moduak, erregistro-metodoak, ekintzak eta aukerak arauetan gehitzeko aukera emanez;
- Exekutatzen diren zerbitzuak automatikoki hautematea, sareko ataka aktiboak eskuz zehaztu beharra ezabatuz.
Aldaketak 2018an argitaratu zen azken probako bertsioarekin alderatuta:
- Fitxategientzako laguntza gehitu da lehenetsitako konfigurazioarekiko ezarpenak azkar gainidazteko;
- Kodeak C++14 estandarrean definitutako C++ eraikuntzak erabiltzeko gaitasuna ematen du (eraiketak C++14 onartzen duen konpilatzaile bat behar du);
- VXLAN kudeatzaile berria gehitu da;
- Eduki-moten bilaketa hobetua edukiaren arabera, algoritmo alternatiboen inplementazio eguneratuak erabiliz ΠΈ ;
- HTTP/2 trafikoa ikuskatzeko sistema ia erabat prest jarri da;
- Abiaraztea bizkortzen da hainbat hari erabiliz arau-taldeak konpilatzeko;
- Erregistratzeko mekanismo berri bat gehitu da;
- Lua akatsen detekzio hobetua eta zerrenda zuri optimizatuak;
- Aldaketak egin dira ezarpenak birkargatu ahal izateko;
- RNA (Real-time Network Awareness) ikuskatzeko sistema bat gehitu da, sarean dauden baliabideei, ostalariei, aplikazioei eta zerbitzuei buruzko informazioa bilduz;
- Konfigurazioa errazteko, snort_config.lua eta SNORT_LUA_PATH erabiltzeari utzi zaio.
Iturria: opennet.ru