પ્રોહોસ્ટર > Блог > ઇન્ટરનેટ સમાચાર > Suricata 6.0 ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમનું પ્રકાશન

Suricata 6.0 ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમનું પ્રકાશન

После года разработки организация OISF (Open Information Security Foundation) પ્રકાશિત નેટવર્ક ઘુસણખોરી શોધ અને નિવારણ સિસ્ટમનું પ્રકાશન મીરકટ 6.0, જે વિવિધ પ્રકારના ટ્રાફિકનું નિરીક્ષણ કરવા માટે સાધનો પ્રદાન કરે છે. Suricata રૂપરેખાંકનોમાં તેનો ઉપયોગ કરવો શક્ય છે સહી ડેટાબેસેસ, Snort પ્રોજેક્ટ દ્વારા વિકસિત, તેમજ નિયમોના સેટ ઇમર્જિંગ થ્રેટ્સ и ઇમર્જિંગ થ્રેટ્સ પ્રો. પ્રોજેક્ટ સ્ત્રોતો ફેલાવો GPLv2 હેઠળ લાઇસન્સ.

મુખ્ય ફેરફારો:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (હાશ).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Suricata ની વિશેષતાઓ:

  • સ્કેન પરિણામો પ્રદર્શિત કરવા માટે એકીકૃત ફોર્મેટનો ઉપયોગ કરવો એકીકૃત2, Snort પ્રોજેક્ટ દ્વારા પણ ઉપયોગમાં લેવાય છે, જે પ્રમાણભૂત વિશ્લેષણ સાધનોનો ઉપયોગ કરવાની મંજૂરી આપે છે જેમ કે ઘરઆંગણે2. BASE, Snorby, Sguil અને SQueRT ઉત્પાદનો સાથે એકીકરણની શક્યતા. PCAP આઉટપુટ સપોર્ટ;
  • પ્રોટોકોલ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, વગેરે) ની સ્વચાલિત શોધ માટે સપોર્ટ, તમને પોર્ટ નંબરના સંદર્ભ વિના, ફક્ત પ્રોટોકોલ પ્રકાર દ્વારા નિયમોમાં કાર્ય કરવાની મંજૂરી આપે છે (ઉદાહરણ તરીકે, HTTP ને અવરોધિત કરો. બિન-માનક બંદર પર ટ્રાફિક). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP અને SSH પ્રોટોકોલ્સ માટે ડીકોડરની ઉપલબ્ધતા;
  • એક શક્તિશાળી HTTP ટ્રાફિક વિશ્લેષણ સિસ્ટમ કે જે HTTP ટ્રાફિકને પાર્સ અને સામાન્ય કરવા માટે Mod_Security પ્રોજેક્ટના લેખક દ્વારા બનાવેલ વિશિષ્ટ HTP લાઇબ્રેરીનો ઉપયોગ કરે છે. ટ્રાન્ઝિટ HTTP ટ્રાન્સફરનો વિગતવાર લોગ જાળવવા માટે મોડ્યુલ ઉપલબ્ધ છે; લોગ પ્રમાણભૂત ફોર્મેટમાં સાચવવામાં આવે છે
    અપાચે. HTTP દ્વારા પ્રસારિત ફાઇલોને પુનઃપ્રાપ્ત અને તપાસવાનું સમર્થન છે. સંકુચિત સામગ્રીને પાર્સ કરવા માટે સપોર્ટ. URI, કૂકી, હેડરો, વપરાશકર્તા-એજન્ટ, વિનંતી/પ્રતિસાદ સંસ્થા દ્વારા ઓળખવાની ક્ષમતા;

  • NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING સહિત ટ્રાફિક ઇન્ટરસેપ્શન માટે વિવિધ ઇન્ટરફેસ માટે સપોર્ટ. PCAP ફોર્મેટમાં પહેલેથી સાચવેલી ફાઇલોનું વિશ્લેષણ કરવું શક્ય છે;
  • ઉચ્ચ પ્રદર્શન, પરંપરાગત સાધનો પર 10 ગીગાબીટ/સેકંડ સુધીના પ્રવાહની પ્રક્રિયા કરવાની ક્ષમતા.
  • આઇપી એડ્રેસના મોટા સેટ માટે હાઇ-પર્ફોર્મન્સ માસ્ક મેચિંગ મિકેનિઝમ. માસ્ક અને નિયમિત અભિવ્યક્તિઓ દ્વારા સામગ્રી પસંદ કરવા માટે સપોર્ટ. નામ, પ્રકાર અથવા MD5 ચેકસમ દ્વારા તેમની ઓળખ સહિત ટ્રાફિકથી ફાઇલોને અલગ કરવી.
  • નિયમોમાં ચલોનો ઉપયોગ કરવાની ક્ષમતા: તમે સ્ટ્રીમમાંથી માહિતી સાચવી શકો છો અને પછીથી અન્ય નિયમોમાં તેનો ઉપયોગ કરી શકો છો;
  • રૂપરેખાંકન ફાઇલોમાં YAML ફોર્મેટનો ઉપયોગ, જે તમને મશીન પ્રક્રિયામાં સરળ હોવા છતાં સ્પષ્ટતા જાળવવા માટે પરવાનગી આપે છે;
  • સંપૂર્ણ IPv6 સપોર્ટ;
  • સ્વચાલિત ડિફ્રેગમેન્ટેશન અને પેકેટોને ફરીથી એસેમ્બલી કરવા માટે બિલ્ટ-ઇન એન્જિન, સ્ટ્રીમ્સની યોગ્ય પ્રક્રિયા માટે પરવાનગી આપે છે, પેકેટો કયા ક્રમમાં આવે છે તે ધ્યાનમાં લીધા વગર;
  • ટનલિંગ પ્રોટોકોલ્સ માટે સપોર્ટ: ટેરેડો, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • પેકેટ ડીકોડિંગ સપોર્ટ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ઇથરનેટ, PPP, PPPoE, રો, SLL, VLAN;
  • TLS/SSL કનેક્શનમાં દેખાતી લોગીંગ કી અને પ્રમાણપત્રો માટેનો મોડ;
  • લુઆમાં સ્ક્રિપ્ટ લખવાની ક્ષમતા અદ્યતન વિશ્લેષણ પ્રદાન કરવા અને ટ્રાફિકના પ્રકારોને ઓળખવા માટે જરૂરી વધારાની ક્ષમતાઓનો અમલ કરવા માટે કે જેના માટે પ્રમાણભૂત નિયમો પૂરતા નથી.

સોર્સ: opennet.ru

એક ટિપ્પણી ઉમેરો