ProHoster > وبلاگ > اخبار اینترنتی > نامزدی را برای سیستم تشخیص حمله Snort 3 منتشر کنید

نامزدی را برای سیستم تشخیص حمله Snort 3 منتشر کنید

سیسکو اعلام کرد در مورد توسعه یک نامزد انتشار برای یک سیستم کاملاً بازطراحی شده پیشگیری از حمله خرخر 3پروژه Snort++ نیز شناخته می شود که از سال 2005 به صورت متناوب روی آن کار می کند. نسخه پایدار قرار است ظرف یک ماه منتشر شود.

در شاخه Snort 3، مفهوم محصول کاملاً بازنگری شده و معماری آن بازطراحی شده است. از جمله زمینه های کلیدی توسعه Snort 3: ساده سازی راه اندازی و اجرای Snort، اتوماسیون پیکربندی، ساده سازی زبان برای ساخت قوانین، تشخیص خودکار همه پروتکل ها، ارائه پوسته ای برای کنترل از خط فرمان، استفاده فعال از چند رشته ای با دسترسی مشترک پردازنده های مختلف به یک پیکربندی واحد.

نوآوری های قابل توجه زیر اجرا شده است:

  • انتقالی به یک سیستم پیکربندی جدید انجام شده است که یک نحو ساده شده را ارائه می دهد و امکان استفاده از اسکریپت ها را برای ایجاد پویا تنظیمات فراهم می کند. LuaJIT برای پردازش فایل های پیکربندی استفاده می شود. پلاگین های مبتنی بر LuaJIT با اجرای گزینه های اضافی برای قوانین و سیستم ورود به سیستم ارائه می شوند.
  • موتور تشخیص حملات مدرن شده است، قوانین به روز شده است، قابلیت اتصال بافرها در قوانین (بافرهای چسبنده) اضافه شده است. از موتور جستجوی Hyperscan استفاده شد که امکان استفاده از الگوهای سریع و دقیق‌تر بر اساس عبارات منظم در قوانین را فراهم کرد.
  • یک حالت درون نگری جدید برای HTTP اضافه شده است که حالت جلسه است و 99٪ از موقعیت های پشتیبانی شده توسط مجموعه آزمایشی را پوشش می دهد. HTTP Evader. سیستم بازرسی ترافیک HTTP/2 اضافه شد.
  • عملکرد حالت Deep Packet Inspection به طور قابل توجهی بهبود یافته است. قابلیت پردازش بسته‌های چند رشته‌ای را اضافه کرد که امکان اجرای همزمان چندین رشته با کنترل‌کننده‌های بسته و ارائه مقیاس‌پذیری خطی بسته به تعداد هسته‌های CPU را فراهم کرد.
  • یک مخزن مشترک از جداول پیکربندی و ویژگی‌ها را پیاده‌سازی کرد که بین زیرسیستم‌های مختلف به اشتراک گذاشته شده است که به دلیل حذف تکراری اطلاعات، مصرف حافظه را به میزان قابل توجهی کاهش داده است.
  • سیستم ثبت رویداد جدید با استفاده از فرمت JSON و به راحتی با پلتفرم های خارجی مانند Elastic Stack ادغام می شود.
  • انتقال به یک معماری مدولار، توانایی گسترش عملکرد از طریق اتصال پلاگین ها و اجرای زیرسیستم های کلیدی در قالب پلاگین های قابل تعویض. در حال حاضر صدها پلاگین برای Snort 3 پیاده‌سازی شده‌اند که حوزه‌های مختلف کاربرد را پوشش می‌دهند، به عنوان مثال، به شما امکان می‌دهند کدک‌ها، حالت‌های درون‌نگری، روش‌های ثبت، اقدامات و گزینه‌های خود را در قوانین اضافه کنید.
  • تشخیص خودکار خدمات در حال اجرا، حذف نیاز به تعیین دستی پورت های شبکه فعال.
  • پشتیبانی از فایل‌ها برای لغو سریع تنظیمات نسبت به پیکربندی پیش‌فرض اضافه شده است. برای ساده کردن پیکربندی، استفاده از snort_config.lua و SNORT_LUA_PATH متوقف شده است.
    پشتیبانی اضافه شده برای بارگیری مجدد تنظیمات در پرواز.

  • این کد توانایی استفاده از ساختارهای C++ تعریف شده در استاندارد C++14 را فراهم می‌کند (بیلد نیاز به کامپایلری دارد که از C++14 پشتیبانی می‌کند).
  • اضافه شدن کنترلر VXLAN جدید.
  • جستجوی بهبود یافته برای انواع محتوا بر اساس محتوا با استفاده از پیاده سازی جایگزین به روز شده الگوریتم ها بویر مور и هایپراسکن;
  • راه اندازی به دلیل استفاده از چندین رشته برای کامپایل گروهی از قوانین تسریع می شود.
  • یک مکانیسم جدید ورود به سیستم اضافه شد.
  • یک سیستم بازرسی RNA (Real-time Network Awareness) اضافه شده است که اطلاعات مربوط به منابع، میزبان ها، برنامه ها و خدمات موجود در شبکه را جمع آوری می کند.

منبع: opennet.ru

اضافه کردن نظر