ProHoster > وبلاگ > اخبار اینترنتی > سیستم تشخیص حمله Suricata 5.0 در دسترس است

سیستم تشخیص حمله Suricata 5.0 در دسترس است

سازمان OISF (بنیاد امنیت اطلاعات باز) опубликовала انتشار سیستم تشخیص نفوذ و جلوگیری از نفوذ شبکه میرکات 5.0، که ابزارهایی را برای بازرسی انواع ترافیک فراهم می کند. در پیکربندی های Suricata امکان استفاده وجود دارد پایگاه های داده امضا، توسعه یافته توسط پروژه Snort، و همچنین مجموعه ای از قوانین تهدیدات در حال ظهور и Emerging Threats Pro. منابع پروژه گسترش تحت مجوز GPLv2.

تغییرات اصلی:

  • ماژول های جدیدی برای تجزیه و گزارش پروتکل ها معرفی شده اند
    RDP، SNMP و SIP نوشته شده در Rust. ماژول تجزیه FTP اکنون توانایی ورود از طریق زیرسیستم EVE را دارد که خروجی رویداد را با فرمت JSON ارائه می دهد.

  • علاوه بر پشتیبانی از روش شناسایی کلاینت JA3 TLS که در آخرین نسخه ظاهر شد، پشتیبانی از روش JA3S, اجازه می دهد بر اساس ویژگی های مذاکره اتصال و پارامترهای مشخص شده، تعیین کنید که از چه نرم افزاری برای ایجاد یک اتصال استفاده می شود (به عنوان مثال، به شما امکان می دهد استفاده از Tor و سایر برنامه های استاندارد را تعیین کنید). JA3 به شما امکان تعریف کلاینت ها را می دهد و JA3S به شما امکان تعریف سرورها را می دهد. نتایج تعیین را می توان در زبان تنظیم قوانین و در گزارش ها استفاده کرد.
  • قابلیت آزمایشی برای تطبیق نمونه‌ها از مجموعه داده‌های بزرگ اضافه شده است که با استفاده از عملیات جدید پیاده‌سازی شده است مجموعه داده و datarep. به عنوان مثال، این ویژگی برای جستجوی ماسک ها در لیست سیاه بزرگ حاوی میلیون ها ورودی قابل استفاده است.
  • حالت بازرسی HTTP پوشش کاملی از تمام موقعیت‌های توصیف شده در مجموعه آزمایشی را فراهم می‌کند HTTP Evader (به عنوان مثال، تکنیک های مورد استفاده برای پنهان کردن فعالیت های مخرب در ترافیک را پوشش می دهد).
  • ابزارهای توسعه ماژول ها در زبان Rust از گزینه ها به قابلیت های استاندارد اجباری منتقل شده اند. در آینده، برنامه ریزی شده است که استفاده از Rust در پایه کد پروژه گسترش یابد و به تدریج ماژول ها با آنالوگ های توسعه یافته در Rust جایگزین شوند.
  • موتور تعریف پروتکل برای بهبود دقت و مدیریت جریان‌های ترافیک ناهمزمان بهبود یافته است.
  • پشتیبانی از یک نوع ورودی جدید "ناهنجاری" به گزارش EVE اضافه شده است، که رویدادهای غیر معمول شناسایی شده هنگام رمزگشایی بسته ها را ذخیره می کند. EVE همچنین نمایش اطلاعات در مورد VLAN ها و رابط های ضبط ترافیک را گسترش داده است. گزینه ای برای ذخیره تمام هدرهای HTTP در ورودی های گزارش HTTP EVE اضافه شده است.
  • کنترل‌کننده‌های مبتنی بر eBPF از مکانیسم‌های سخت‌افزاری برای تسریع جذب بسته پشتیبانی می‌کنند. شتاب سخت افزاری در حال حاضر محدود به آداپتورهای شبکه نترونوم است، اما به زودی برای تجهیزات دیگر نیز در دسترس خواهد بود.
  • کد ضبط ترافیک با استفاده از چارچوب Netmap بازنویسی شده است. قابلیت استفاده از ویژگی های پیشرفته Netmap مانند سوئیچ مجازی اضافه شده است VALE;
  • اضافه پشتیبانی از طرح تعریف کلمه کلیدی جدید برای Sticky Buffers. طرح جدید در قالب "protocol.buffer" تعریف شده است، به عنوان مثال، برای بازرسی یک URI، کلمه کلیدی به جای "http_uri" به شکل "http.uri" خواهد بود.
  • تمام کدهای پایتون مورد استفاده برای سازگاری با
    پایتون 3;

  • پشتیبانی از معماری Tilera، گزارش متن dns.log و فایل های گزارش قدیمی-json.log متوقف شده است.

ویژگی های Suricata:

  • استفاده از فرمت یکپارچه برای نمایش نتایج اسکن متحد2، همچنین توسط پروژه Snort استفاده می شود که امکان استفاده از ابزارهای تحلیل استاندارد مانند انبار 2. امکان ادغام با محصولات BASE، Snorby، Sguil و SQueRT. پشتیبانی از خروجی PCAP؛
  • پشتیبانی از تشخیص خودکار پروتکل ها (IP، TCP، UDP، ICMP، HTTP، TLS، FTP، SMB، و غیره)، به شما این امکان را می دهد که در قوانین تنها بر اساس نوع پروتکل، بدون اشاره به شماره پورت (به عنوان مثال، مسدود کردن HTTP) عمل کنید. ترافیک در یک بندر غیر استاندارد). در دسترس بودن رمزگشا برای پروتکل های HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP و SSH.
  • یک سیستم قدرتمند تجزیه و تحلیل ترافیک HTTP که از یک کتابخانه HTP ویژه ایجاد شده توسط نویسنده پروژه Mod_Security برای تجزیه و عادی سازی ترافیک HTTP استفاده می کند. یک ماژول برای نگهداری گزارش دقیق از انتقال HTTP حمل و نقل در دسترس است؛ گزارش در قالب استاندارد ذخیره می شود.
    آپاچی بازیابی و بررسی فایل های ارسال شده از طریق HTTP پشتیبانی می شود. پشتیبانی از تجزیه محتوای فشرده امکان شناسایی توسط URI، کوکی، هدرها، کاربر-عامل، بدنه درخواست/پاسخ.

  • پشتیبانی از رابط های مختلف برای رهگیری ترافیک، از جمله NFQueue، IPFRing، LibPcap، IPFW، AF_PACKET، PF_RING. امکان تجزیه و تحلیل فایل های ذخیره شده در قالب PCAP وجود دارد.
  • عملکرد بالا، توانایی پردازش جریان تا 10 گیگابیت بر ثانیه در تجهیزات معمولی.
  • مکانیزم تطبیق ماسک با کارایی بالا برای مجموعه های بزرگی از آدرس های IP. پشتیبانی از انتخاب محتوا با ماسک و عبارات منظم. جداسازی فایل‌ها از ترافیک، از جمله شناسایی آن‌ها با نام، نوع یا چک‌سوم MD5.
  • امکان استفاده از متغیرها در قوانین: می توانید اطلاعات را از یک جریان ذخیره کنید و بعداً از آن در قوانین دیگر استفاده کنید.
  • استفاده از فرمت YAML در فایل های پیکربندی، که به شما امکان می دهد وضوح را حفظ کنید در حالی که پردازش ماشینی آسان است.
  • پشتیبانی کامل از IPv6؛
  • موتور داخلی برای جداسازی خودکار و مونتاژ مجدد بسته ها که امکان پردازش صحیح جریان ها را بدون توجه به ترتیب رسیدن بسته ها فراهم می کند.
  • پشتیبانی از پروتکل های تونل زنی: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE.
  • پشتیبانی از رمزگشایی بسته: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، Ethernet، PPP، PPPoE، Raw، SLL، VLAN.
  • حالت ثبت کلیدها و گواهی‌هایی که در اتصالات TLS/SSL ظاهر می‌شوند.
  • توانایی نوشتن اسکریپت در Lua برای ارائه تجزیه و تحلیل پیشرفته و پیاده سازی قابلیت های اضافی مورد نیاز برای شناسایی انواع ترافیک که قوانین استاندارد برای آنها کافی نیست.

    • منبع: opennet.ru

اضافه کردن نظر