نامزدی را برای سیستم تشخیص حمله Snort 3 منتشر کنید
سیسکو اعلام کرد در مورد توسعه یک نامزد انتشار برای یک سیستم کاملاً بازطراحی شده پیشگیری از حمله خرخر 3پروژه Snort++ نیز شناخته می شود که از سال 2005 به صورت متناوب روی آن کار می کند. نسخه پایدار قرار است ظرف یک ماه منتشر شود.
در شاخه Snort 3، مفهوم محصول کاملاً بازنگری شده و معماری آن بازطراحی شده است. از جمله زمینه های کلیدی توسعه Snort 3: ساده سازی راه اندازی و اجرای Snort، اتوماسیون پیکربندی، ساده سازی زبان برای ساخت قوانین، تشخیص خودکار همه پروتکل ها، ارائه پوسته ای برای کنترل از خط فرمان، استفاده فعال از چند رشته ای با دسترسی مشترک پردازنده های مختلف به یک پیکربندی واحد.
نوآوری های قابل توجه زیر اجرا شده است:
انتقالی به یک سیستم پیکربندی جدید انجام شده است که یک نحو ساده شده را ارائه می دهد و امکان استفاده از اسکریپت ها را برای ایجاد پویا تنظیمات فراهم می کند. LuaJIT برای پردازش فایل های پیکربندی استفاده می شود. پلاگین های مبتنی بر LuaJIT با اجرای گزینه های اضافی برای قوانین و سیستم ورود به سیستم ارائه می شوند.
موتور تشخیص حملات مدرن شده است، قوانین به روز شده است، قابلیت اتصال بافرها در قوانین (بافرهای چسبنده) اضافه شده است. از موتور جستجوی Hyperscan استفاده شد که امکان استفاده از الگوهای سریع و دقیقتر بر اساس عبارات منظم در قوانین را فراهم کرد.
یک حالت درون نگری جدید برای HTTP اضافه شده است که حالت جلسه است و 99٪ از موقعیت های پشتیبانی شده توسط مجموعه آزمایشی را پوشش می دهد. HTTP Evader. سیستم بازرسی ترافیک HTTP/2 اضافه شد.
عملکرد حالت Deep Packet Inspection به طور قابل توجهی بهبود یافته است. قابلیت پردازش بستههای چند رشتهای را اضافه کرد که امکان اجرای همزمان چندین رشته با کنترلکنندههای بسته و ارائه مقیاسپذیری خطی بسته به تعداد هستههای CPU را فراهم کرد.
یک مخزن مشترک از جداول پیکربندی و ویژگیها را پیادهسازی کرد که بین زیرسیستمهای مختلف به اشتراک گذاشته شده است که به دلیل حذف تکراری اطلاعات، مصرف حافظه را به میزان قابل توجهی کاهش داده است.
سیستم ثبت رویداد جدید با استفاده از فرمت JSON و به راحتی با پلتفرم های خارجی مانند Elastic Stack ادغام می شود.
انتقال به یک معماری مدولار، توانایی گسترش عملکرد از طریق اتصال پلاگین ها و اجرای زیرسیستم های کلیدی در قالب پلاگین های قابل تعویض. در حال حاضر صدها پلاگین برای Snort 3 پیادهسازی شدهاند که حوزههای مختلف کاربرد را پوشش میدهند، به عنوان مثال، به شما امکان میدهند کدکها، حالتهای دروننگری، روشهای ثبت، اقدامات و گزینههای خود را در قوانین اضافه کنید.
تشخیص خودکار خدمات در حال اجرا، حذف نیاز به تعیین دستی پورت های شبکه فعال.
پشتیبانی از فایلها برای لغو سریع تنظیمات نسبت به پیکربندی پیشفرض اضافه شده است. برای ساده کردن پیکربندی، استفاده از snort_config.lua و SNORT_LUA_PATH متوقف شده است.
پشتیبانی اضافه شده برای بارگیری مجدد تنظیمات در پرواز.
این کد توانایی استفاده از ساختارهای C++ تعریف شده در استاندارد C++14 را فراهم میکند (بیلد نیاز به کامپایلری دارد که از C++14 پشتیبانی میکند).
اضافه شدن کنترلر VXLAN جدید.
جستجوی بهبود یافته برای انواع محتوا بر اساس محتوا با استفاده از پیاده سازی جایگزین به روز شده الگوریتم ها بویر مور и هایپراسکن;
راه اندازی به دلیل استفاده از چندین رشته برای کامپایل گروهی از قوانین تسریع می شود.
یک مکانیسم جدید ورود به سیستم اضافه شد.
یک سیستم بازرسی RNA (Real-time Network Awareness) اضافه شده است که اطلاعات مربوط به منابع، میزبان ها، برنامه ها و خدمات موجود در شبکه را جمع آوری می کند.