ProHoster > Блог > интернет жаңалықтары > Snort 3 енуді анықтау жүйесінің соңғы бета нұсқасы

Snort 3 енуді анықтау жүйесінің соңғы бета нұсқасы

Cisco компаниясы ұсынылған толығымен қайта жобаланған шабуылдың алдын алу жүйесінің соңғы бета нұсқасы Шыңғыру 3, 2005 жылдан бері үзіліспен жұмыс істеп келе жатқан Snort++ жобасы ретінде де белгілі. Шығарылым кандидаты осы жылдың соңында жарияланады деп жоспарлануда.

Жаңа филиалда өнім тұжырымдамасы толығымен қайта ойластырылған және архитектурасы қайта жасалған. Жаңа филиалды дайындау кезінде ерекше назар аударылған бағыттардың ішінде Snort орнату мен іске қосуды жеңілдету, конфигурацияны автоматтандыру, ережелерді құру тілін жеңілдету, барлық хаттамаларды автоматты түрде анықтау, командадан басқару үшін қабықпен қамтамасыз ету болды. желі, әртүрлі процессорлардың бір конфигурацияға ортақ қол жеткізуімен көп ағынды белсенді пайдалану.

Келесі маңызды инновациялар енгізілді:

  • Жеңілдетілген синтаксисті ұсынатын және параметрлерді динамикалық түрде жасау үшін сценарийлерді пайдалануға мүмкіндік беретін жаңа конфигурация жүйесіне көшу жасалды. LuaJIT конфигурация файлдарын өңдеу үшін пайдаланылады. LuaJIT негізіндегі плагиндер ережелерге және тіркеу жүйесіне қосымша опцияларды енгізумен қамтамасыз етілген;
  • Шабуылдарды анықтау механизмі жаңартылды, ережелер жаңартылды және ережелердегі буферлерді байланыстыру мүмкіндігі (жабысқақ буферлер) қосылды. Hyperscan іздеу жүйесі пайдаланылды, бұл ережелердегі тұрақты өрнектерге негізделген жылдам және дәлірек іске қосылған үлгілерді пайдалануға мүмкіндік берді;
  • Сеанс күйін ескеретін және сынақ жинағы қолдайтын жағдайлардың 99%-ын қамтитын HTTP үшін жаңа интроспекция режимі қосылды. HTTP Evader. HTTP/2 қолдау коды әзірленуде;
  • Пакеттерді терең тексеру режимінің өнімділігі айтарлықтай жақсарды. Пакеттік процессорлармен бірнеше ағындарды бір уақытта орындауға мүмкіндік беретін және орталық процессордың ядроларының санына байланысты сызықтық масштабтауды қамтамасыз ететін көп ағынды пакеттерді өңдеу мүмкіндігі қосылды;
  • Әртүрлі ішкі жүйелер арасында ортақ конфигурация сақтау және атрибут кестелері іске асырылды, бұл ақпараттың қайталануын жою арқылы жадты тұтынуды айтарлықтай азайтты;
  • JSON пішімін пайдаланатын және Elastic Stack сияқты сыртқы платформалармен оңай біріктірілген оқиғаларды тіркеудің жаңа жүйесі;
  • Модульдік архитектураға көшу, плагиндерді қосу және ауыстырылатын плагиндер түріндегі негізгі ішкі жүйелерді енгізу арқылы функционалдылықты кеңейту мүмкіндігі. Қазіргі уақытта Snort 3 үшін қолданудың әртүрлі салаларын қамтитын бірнеше жүздеген плагиндер енгізілген, мысалы, ережелерге өзіңіздің кодектеріңізді, интроспекция режимдерін, тіркеу әдістерін, әрекеттерді және опцияларды қосуға мүмкіндік береді;
  • Жұмыс істеп тұрған қызметтерді автоматты түрде анықтау, белсенді желі порттарын қолмен көрсету қажеттілігін болдырмайды.

2018 жылы жарияланған соңғы сынақ шығарылымымен салыстырғандағы өзгерістер:

  • Әдепкі конфигурацияға қатысты параметрлерді жылдам қайта анықтау үшін файлдарға қолдау қосылды;
  • Код C++ 14 стандартында анықталған C++ конструкцияларын пайдалану мүмкіндігін береді (құрастыру үшін C++14 тілін қолдайтын компилятор қажет);
  • Жаңа VXLAN өңдегіші қосылды;
  • Жаңартылған альтернативті алгоритмді енгізу арқылы мазмұн түрлерін іздеу жақсартылды Бойер-Мур и Гиперсканерлеу;
  • HTTP/2 трафикті тексеру жүйесі дерлік толық дайын күйге келтірілді;
  • Ережелер топтарын құрастыру үшін бірнеше ағындарды пайдалану арқылы іске қосу жеделдетіледі;
  • Жаңа тіркеу механизмі қосылды;
  • Lua қателерін анықтау жақсартылды және оңтайландырылған ақ тізімдер;
  • Параметрлерді жылдам қайта жүктеуге мүмкіндік беретін өзгертулер енгізілді;
  • Желіде қолжетімді ресурстар, хосттар, қолданбалар мен қызметтер туралы ақпаратты жинайтын РНҚ (нақты уақыттағы желіні білу) тексеру жүйесі қосылды;
  • Конфигурацияны жеңілдету үшін snort_config.lua және SNORT_LUA_PATH пайдалану тоқтатылды.

Ақпарат көзі: opennet.ru

пікір қалдыру