Cisco op 'e ûntwikkeling fan in release kandidaat foar in folslein opnij ûntwurpen oanfal previnsje systeem , ek wol it Snort++-projekt neamd, dêr’t sûnt 2005 mei tuskenskoft oan wurke wurdt. De stabile release is pland om binnen in moanne te publisearjen.
Yn de branche Snort 3 is it produktkonsept folslein op 'e nij betocht en is de arsjitektuer opnij ûntwurpen. Under de wichtichste gebieten fan ûntwikkeling fan Snort 3: ferienfâldiging fan it ynstellen en útfieren fan Snort, automatisearring fan konfiguraasje, ferienfâldiging fan 'e taal foar it bouwen fan regels, automatyske deteksje fan alle protokollen, it oanbieden fan in shell foar kontrôle fan' e kommandorigel, aktyf gebrûk fan multithreading mei mienskiplike tagong fan ferskate processors ta ien konfiguraasje.
De folgjende wichtige ynnovaasjes binne ymplementearre:
- In oergong nei in nij konfiguraasjesysteem is makke, dy't in ferienfâldige syntaksis biedt en it brûken fan skripts mooglik makket om ynstellings dynamysk te generearjen. LuaJIT wurdt brûkt om konfiguraasjebestannen te ferwurkjen. LuaJIT-basearre plugins wurde foarsjoen fan de ymplemintaasje fan ekstra opsjes foar regels en in logging systeem;
- De motor foar it opspoaren fan oanfallen is modernisearre, de regels binne bywurke, de mooglikheid om buffers te binen yn regels (kleverige buffers) is tafoege. De Hyperscan sykmasine waard brûkt, dy't it mooglik makke om flugge en krekter sjabloanen te brûken basearre op reguliere útdrukkingen yn 'e regels;
- In nije yntrospeksje modus tafoege foar HTTP dy't sesje stateful is en beslacht 99% fan 'e situaasjes stipe troch de testsuite . Added HTTP / 2 ferkear ynspeksje systeem;
- De prestaasjes fan Deep Packet Inspection-modus binne signifikant ferbettere. Tafoege de mooglikheid om multithread pakket ferwurkjen, wêrtroch simultane útfiering fan ferskate triedden mei pakket handlers en it jaan fan lineêre scalability ôfhinklik fan it oantal CPU kearnen;
- Implementearre in mienskiplik repository fan konfiguraasje en attribút tabellen, dat wurdt dield tusken ferskate subsystemen, dat hat gâns fermindere ûnthâld konsumpsje fanwege it elimineren fan duplikaasje fan ynformaasje;
- Nije evenemint logging systeem mei help fan JSON formaat en maklik yntegrearre mei eksterne platfoarms lykas Elastic Stack;
- De oergong nei in modulêre arsjitektuer, de mooglikheid om funksjonaliteit út te wreidzjen troch de ferbining fan plug-ins en de ymplemintaasje fan wichtige subsystemen yn 'e foarm fan ferfangbere plug-ins. Op it stuit binne ferskate hûnderten plugins al ymplementearre foar Snort 3, dy't ferskate gebieten fan tapassing dekke, bygelyks, wêrtroch jo jo eigen codecs, yntrospeksjemodi, loggingmetoaden, aksjes en opsjes yn regels kinne tafoegje;
- Automatyske deteksje fan rinnende tsjinsten, elimineert de needsaak om manuell oantsjutte aktive netwurk havens.
- Stipe tafoege foar bestannen om ynstellings fluch te oerskriuwen relatyf oan de standertkonfiguraasje. Om de konfiguraasje te ferienfâldigjen, is it gebrûk fan snort_config.lua en SNORT_LUA_PATH staakt.
Stipe tafoege foar it opnij laden fan ynstellings ûnderweis; - De koade jout de mooglikheid om te brûken C ++ konstruksjes definiearre yn de C ++ 14 standert (build fereasket in gearstaller dy't stipet C ++ 14);
- Nije VXLAN-handler tafoege;
- Ferbettere sykjen foar ynhâldstypen troch ynhâld mei bywurke alternative ymplemintaasjes fan algoritmen и ;
- It opstarten wurdt fersneld troch it brûken fan ferskate triedden foar it kompilearjen fan groepen regels;
- In nij logmeganisme tafoege;
- In RNA (Real-time Network Awareness) ynspeksjesysteem is tafoege, dat ynformaasje sammelt oer boarnen, hosts, applikaasjes en tsjinsten beskikber op it netwurk.
Boarne: opennet.ru