Nakon godinu dana razvoja, OISF (Open Information Security Foundation) organizacija опубликовала izdanje sustava za otkrivanje i sprječavanje upada u mrežu Meerkat 6.0, koji nudi alate za pregled raznih vrsta prometa. U Suricata konfiguracijama moguće je koristiti baze podataka potpisa, razvijen od strane projekta Snort, kao i skupova pravila Nove prijetnje и Emerging Threats Pro. Izvori projekta širenje licenciran pod GPLv2.
Velike promjene:
Početna podrška za HTTP/2.
Podrška za RFB i MQTT protokole, uključujući mogućnost definiranja protokola i vođenja dnevnika.
Mogućnost logovanja za DCERPC protokol.
Značajno poboljšanje performansi zapisivanja kroz podsustav EVE, koji pruža izlaz događaja u JSON formatu. Ubrzanje je postignuto zahvaljujući korištenju novog JSON stock buildera napisanog u jeziku Rust.
Povećana je skalabilnost EVE log sustava i implementirana je mogućnost održavanja zasebne datoteke dnevnika za svaku nit.
Mogućnost definiranja uvjeta za ponovno postavljanje informacija u zapisnik.
Sposobnost odražavanja MAC adresa u EVE dnevniku i povećanje detalja DNS dnevnika.
Poboljšanje performansi protočnog motora.
Podrška za prepoznavanje SSH implementacija (HAŠ).
Implementacija tunelskog dekodera GENEVE.
Kod za obradu je ponovno napisan u jeziku Rust ASN.1, DCERPC i SSH. Rust također podržava nove protokole.
U jeziku definicije pravila, podrška za parametar from_end dodana je ključnoj riječi byte_jump, a podrška za parametar bitmask dodana je u byte_test. Implementirana je ključna riječ pcrexform kako bi se omogućilo korištenje regularnih izraza (pcre) za snimanje podniza. Dodana konverzija urldecode. Dodana ključna riječ byte_math.
Pruža mogućnost korištenja cbindgen za generiranje povezivanja u Rust i C jezicima.
Dodana početna podrška za dodatke.
Značajke Suricata:
Korištenje objedinjenog formata za prikaz rezultata skeniranja Unificirano2, koji također koristi projekt Snort, koji omogućuje korištenje standardnih alata za analizu kao što su dvorište2. Mogućnost integracije s BASE, Snorby, Sguil i SQueRT proizvodima. podrška za PCAP izlaz;
Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućuje rad u pravilima samo prema vrsti protokola, bez pozivanja na broj priključka (na primjer, blokirajte HTTP promet na nestandardnoj luci) . Dostupnost dekodera za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
Snažan sustav za analizu HTTP prometa koji koristi posebnu HTP biblioteku koju je izradio autor projekta Mod_Security za analizu i normalizaciju HTTP prometa. Dostupan je modul za vođenje detaljne evidencije tranzitnih HTTP prijenosa; evidencija se sprema u standardnom formatu
Apache. Podržano je dohvaćanje i provjera datoteka prenesenih putem HTTP-a. Podrška za raščlanjivanje komprimiranog sadržaja. Mogućnost identifikacije pomoću URI-ja, kolačića, zaglavlja, korisničkog agenta, tijela zahtjeva/odgovora;
Podrška za različita sučelja za presretanje prometa, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već spremljene datoteke u PCAP formatu;
Visoke performanse, sposobnost obrade protoka do 10 gigabita/s na konvencionalnoj opremi.
Mehanizam podudaranja maski visokih performansi za velike skupove IP adresa. Podrška za odabir sadržaja pomoću maske i regularnih izraza. Izoliranje datoteka od prometa, uključujući njihovu identifikaciju imenom, vrstom ili MD5 kontrolnim zbrojem.
Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućuje da zadržite jasnoću dok je jednostavan za strojnu obradu;
Puna IPv6 podrška;
Ugrađeni mehanizam za automatsku defragmentaciju i ponovno sastavljanje paketa, omogućavajući ispravnu obradu tokova, bez obzira na redoslijed pristizanja paketa;
Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Način za bilježenje ključeva i certifikata koji se pojavljuju unutar TLS/SSL veza;
Sposobnost pisanja skripti u Lua za pružanje napredne analize i implementacije dodatnih mogućnosti potrebnih za prepoznavanje vrsta prometa za koje standardna pravila nisu dovoljna.