После года разработки организация OISF (Open Information Security Foundation) losun á uppgötvunar- og varnarkerfi fyrir innbrot netkerfis , sem veitir verkfæri til að skoða ýmsar tegundir umferðar. Í Suricata stillingum er hægt að nota , þróað af Snort verkefninu, auk reglna и . Verkefnisheimildir leyfi samkvæmt GPLv2.
Helstu breytingar:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
Eiginleikar Suricata:
- Notaðu sameinað snið til að birta skannaniðurstöður , einnig notað af Snort verkefninu, sem gerir kleift að nota stöðluð greiningartæki eins og . Möguleiki á samþættingu við BASE, Snorby, Sguil og SQueRT vörur. PCAP framleiðsla stuðningur;
- Stuðningur við sjálfvirka uppgötvun á samskiptareglum (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, osfrv.), sem gerir þér kleift að starfa í reglum eingöngu eftir samskiptategund, án tilvísunar í gáttarnúmerið (til dæmis, loka HTTP umferð á óhefðbundinni höfn). Framboð á afkóðarum fyrir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP og SSH samskiptareglur;
- Öflugt HTTP umferðargreiningarkerfi sem notar sérstakt HTP bókasafn búið til af höfundi Mod_Security verkefnisins til að flokka og staðla HTTP umferð. Eining er fáanleg til að halda ítarlegri skrá yfir HTTP-flutningsflutninga; skráin er vistuð á stöðluðu sniði
Apache. Stuðningur er við að sækja og athuga skrár sem sendar eru í gegnum HTTP. Stuðningur við að flokka þjappað efni. Geta til að bera kennsl á með URI, vafraköku, hausum, notandaumboðsmanni, beiðni/svörunarhluta; - Stuðningur við ýmis tengi fyrir umferðarhlerun, þar á meðal NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Það er hægt að greina þegar vistaðar skrár á PCAP sniði;
- Mikil afköst, getu til að vinna flæði allt að 10 gígabit/sek á hefðbundnum búnaði.
- Afkastamikil grímusamsvörun fyrir stór sett af IP tölum. Stuðningur við að velja efni eftir grímu og reglulegum tjáningum. Að einangra skrár frá umferð, þar með talið auðkenningu þeirra með nafni, gerð eða MD5 eftirlitsummu.
- Geta til að nota breytur í reglum: þú getur vistað upplýsingar úr straumi og notað þær síðar í öðrum reglum;
- Notkun YAML sniðsins í stillingarskrám, sem gerir þér kleift að viðhalda skýrleika á meðan auðvelt er að vinna úr því;
- Fullur IPv6 stuðningur;
- Innbyggð vél fyrir sjálfvirka sundrun og samsetningu pakka, sem gerir kleift að vinna strauma á réttan hátt, óháð því í hvaða röð pakkar berast;
- Stuðningur við samskiptareglur um jarðgangagerð: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Stuðningur við pakkaafkóðun: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- Stilling til að skrá lykla og vottorð sem birtast innan TLS/SSL tenginga;
- Hæfni til að skrifa forskriftir í Lua til að veita háþróaða greiningu og innleiða viðbótargetu sem þarf til að bera kennsl á tegundir umferðar sem staðlaðar reglur duga ekki fyrir.
Heimild: opennet.ru