Organisaasje OISF (Open Information Security Foundation) frijlitting fan netwurk ynbraak detection en previnsje systeem , dy't ark biedt foar it ynspektearjen fan ferskate soarten ferkear. Yn Suricata-konfiguraasjes is it mooglik om te brûken , ûntwikkele troch it Snort-projekt, lykas sets fan regels и . Projekt boarnen lisinsje ûnder GPLv2.
Grutte feroaringen:
- Nije modules foar parsearjen en loggingprotokollen binne yntrodusearre
RDP, SNMP en SIP skreaun yn Rust. De mooglikheid om te loggen fia it EVE-subsysteem is tafoege oan it FTP-parsing-module, it leverjen fan evenemint-útfier yn JSON-formaat; - Neist de stipe foar de JA3 TLS-kliïntidentifikaasjemetoade dy't ferskynde yn 'e lêste release, stipe foar de metoade , Op grûn fan de skaaimerken fan ferbining ûnderhanneling en oantsjutte parameters, bepale hokker software wurdt brûkt om in ferbining (Bygelyks, it kinne jo bepale it brûken fan Tor en oare standert applikaasjes). JA3 kinne jo definiearje kliïnten, en JA3S kinne jo definiearje tsjinners. De resultaten fan 'e fêststelling kinne brûkt wurde yn' e regelynstellingstaal en yn logs;
- Eksperimintele mooglikheid tafoege om samples út grutte datasets te passen, ymplementearre mei nije operaasjes . Bygelyks, de funksje is fan tapassing foar it sykjen nei maskers yn grutte swarte listen mei miljoenen yngongen;
- HTTP-ynspeksjemodus jout folsleine dekking fan alle situaasjes beskreaun yn 'e testsuite (Bygelyks, omfettet techniken dy't brûkt wurde om kweade aktiviteit yn ferkear te ferbergjen);
- Ark foar it ûntwikkeljen fan modules yn 'e Rust-taal binne oerdroegen fan opsjes nei ferplichte standertmooglikheden. Yn 'e takomst is it plan om it gebrûk fan Rust yn' e projektkoadebasis út te wreidzjen en modules stadichoan te ferfangen mei analogen ûntwikkele yn Rust;
- De motor foar protokoldefinysje is ferbettere om de krektens te ferbetterjen en asynchrone ferkearsstreamen te behanneljen;
- Stipe foar in nij "anomaly" yngongstype is tafoege oan it EVE-logboek, dat atypyske barrens opslaan by it dekodearjen fan pakketten. EVE hat ek útwreide de werjefte fan ynformaasje oer VLANs en ferkear capture ynterfaces. Opsje tafoege om alle HTTP-koppen te bewarjen yn EVE http-log-yngongen;
- eBPF-basearre handlers jouwe stipe foar hardwaremeganismen foar it fersnellen fan pakketfangen. Hardware fersnelling is op it stuit beheind ta Netronome netwurk adapters, mar sil ynkoarten v re beskikber foar oare apparatuer;
- De koade foar it fangen fan ferkear mei it Netmap-ramt is opnij skreaun. De mooglikheid tafoege om avansearre Netmap-funksjes te brûken lykas in firtuele switch ;
- stipe foar in nij skema foar definysje fan trefwurden foar Sticky Buffers. It nije skema wurdt definiearre yn de "protocol.buffer" opmaak, bygelyks, foar inspecting in URI, it kaaiwurd sil nimme de foarm "http.uri" ynstee fan "http_uri";
- Alle Python koade brûkt wurdt hifke foar komptabiliteit mei
Python 3; - Stipe foar de Tilera-arsjitektuer, it tekstlog dns.log en de âlde logfiles-json.log is stopset.
Funksjes fan Suricata:
- In unifoarme opmaak brûke om scanresultaten wer te jaan , ek brûkt troch it Snort-projekt, wêrtroch it gebrûk fan standert analyse-ark as . Mooglikheid fan yntegraasje mei BASE, Snorby, Sguil en SQueRT produkten. PCAP útfier stipe;
- Stipe foar automatyske deteksje fan protokollen (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, ensfh.), wêrtroch jo allinich yn regels kinne operearje troch protokoltype, sûnder ferwizing nei it poartenûmer (bygelyks HTTP blokkearje ferkear op in net-standert haven). Beskikberens fan decoders foar HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP en SSH protokollen;
- In krêftich HTTP-ferkearanalysesysteem dat in spesjale HTP-bibleteek brûkt, makke troch de skriuwer fan it Mod_Security-projekt om HTTP-ferkear te parsearjen en te normalisearjen. In module is beskikber foar it ûnderhâlden fan in detaillearre log fan transit HTTP-oerdrachten; it log wurdt bewarre yn in standertformaat
Apache. It opheljen en kontrolearjen fan bestannen oerstjoerd fia HTTP wurdt stipe. Stipe foar it parsearjen fan komprimearre ynhâld. Mooglikheid om te identifisearjen troch URI, Cookie, kopteksten, brûker-agent, fersyk / antwurd lichem; - Stipe foar ferskate ynterfaces foar ferkearsûnderskepping, ynklusyf NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. It is mooglik om te analysearjen al bewarre triemmen yn PCAP formaat;
- Hege prestaasjes, fermogen om streamen te ferwurkjen oant 10 gigabits / sek op konvinsjonele apparatuer.
- Mechanisme foar oerienkommende masker mei hege prestaasjes foar grutte sets fan IP-adressen. Stipe foar it selektearjen fan ynhâld troch masker en reguliere útdrukkingen. Bestannen isolearje fan ferkear, ynklusyf har identifikaasje troch namme, type of MD5-kontrôlesum.
- Mooglikheid om fariabelen yn regels te brûken: jo kinne ynformaasje fan in stream bewarje en letter brûke yn oare regels;
- Gebrûk fan it YAML-formaat yn konfiguraasjebestannen, wêrtroch jo dúdlikens kinne behâlde, wylst jo maklik te masjineproses binne;
- Folsleine IPv6-stipe;
- Ynboude motor foar automatyske defragmentaasje en opnij gearstalle fan pakketten, wêrtroch foar juste ferwurking fan streamen mooglik is, nettsjinsteande de folchoarder wêryn pakketten oankomme;
- Stipe foar tunnelingprotokollen: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Stipe foar pakketdekodearring: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Mode foar it loggen fan kaaien en sertifikaten dy't ferskine binnen TLS / SSL-ferbiningen;
- De mooglikheid om skripts yn Lua te skriuwen om avansearre analyse te leverjen en ekstra mooglikheden te ymplementearjen dy't nedich binne om soarten ferkear te identifisearjen wêrfoar standertregels net genôch binne.
Boarne: opennet.ru