Cisco компаниясы толығымен қайта жасалған шабуылдың алдын алу жүйесі үшін шығарылым кандидатын әзірлеу туралы , 2005 жылдан бері үзіліспен жұмыс істеп келе жатқан Snort++ жобасы ретінде де белгілі. Тұрақты шығарылымды бір ай ішінде шығару жоспарлануда.
Snort 3 филиалында өнім тұжырымдамасы толығымен қайта ойластырылып, архитектурасы қайта жасалды. Snort 3 дамуының негізгі бағыттарының арасында: Snort орнатуды және іске қосуды жеңілдету, конфигурацияны автоматтандыру, ережелерді құру тілін жеңілдету, барлық хаттамаларды автоматты түрде анықтау, пәрмен жолынан басқару үшін қабықпен қамтамасыз ету, белсенді пайдалану. әртүрлі процессорлардың бір конфигурацияға бірлескен қол жеткізуімен көп ағындылық.
Келесі маңызды инновациялар енгізілді:
- Жеңілдетілген синтаксисті ұсынатын және параметрлерді динамикалық түрде жасау үшін сценарийлерді пайдалануға мүмкіндік беретін жаңа конфигурация жүйесіне көшу жасалды. LuaJIT конфигурация файлдарын өңдеу үшін пайдаланылады. LuaJIT негізіндегі плагиндер ережелерге және тіркеу жүйесіне қосымша опцияларды енгізумен қамтамасыз етілген;
- Шабуылдарды анықтау механизмі жаңартылды, ережелер жаңартылды және ережелердегі буферлерді байланыстыру мүмкіндігі (жабысқақ буферлер) қосылды. Hyperscan іздеу жүйесі пайдаланылды, бұл ережелердегі тұрақты өрнектерге негізделген жылдам және дәлірек іске қосылған үлгілерді пайдалануға мүмкіндік берді;
- Сеанс күйін ескеретін және сынақ жинағы қолдайтын жағдайлардың 99%-ын қамтитын HTTP үшін жаңа интроспекция режимі қосылды. . HTTP/2 трафикті тексеру жүйесі қосылды;
- Пакеттерді терең тексеру режимінің өнімділігі айтарлықтай жақсарды. Пакеттік процессорлармен бірнеше ағындарды бір уақытта орындауға мүмкіндік беретін және орталық процессордың ядроларының санына байланысты сызықтық масштабтауды қамтамасыз ететін көп ағынды пакеттерді өңдеу мүмкіндігі қосылды;
- Әртүрлі ішкі жүйелер арасында ортақ конфигурация сақтау және атрибут кестелері іске асырылды, бұл ақпараттың қайталануын жою арқылы жадты тұтынуды айтарлықтай азайтты;
- JSON пішімін пайдаланатын және Elastic Stack сияқты сыртқы платформалармен оңай біріктірілген оқиғаларды тіркеудің жаңа жүйесі;
- Модульдік архитектураға көшу, плагиндерді қосу және ауыстырылатын плагиндер түріндегі негізгі ішкі жүйелерді енгізу арқылы функционалдылықты кеңейту мүмкіндігі. Қазіргі уақытта Snort 3 үшін қолданудың әртүрлі салаларын қамтитын бірнеше жүздеген плагиндер енгізілген, мысалы, ережелерге өзіңіздің кодектеріңізді, интроспекция режимдерін, тіркеу әдістерін, әрекеттерді және опцияларды қосуға мүмкіндік береді;
- Жұмыс істеп тұрған қызметтерді автоматты түрде анықтау, белсенді желі порттарын қолмен көрсету қажеттілігін болдырмайды.
- Әдепкі конфигурацияға қатысты параметрлерді жылдам қайта анықтау үшін файлдарға қолдау қосылды. Конфигурацияны жеңілдету үшін snort_config.lua және SNORT_LUA_PATH пайдалану тоқтатылды.
Параметрлерді жылдам қайта жүктеуге қолдау қосылды; - Код C++ 14 стандартында анықталған C++ конструкцияларын пайдалану мүмкіндігін береді (құрастыру үшін C++14 тілін қолдайтын компилятор қажет);
- Жаңа VXLAN өңдегіші қосылды;
- Жаңартылған альтернативті алгоритмді енгізу арқылы мазмұн түрлерін іздеу жақсартылды и ;
- Ережелер топтарын құрастыру үшін бірнеше ағындарды пайдалану арқылы іске қосу жеделдетіледі;
- Жаңа тіркеу механизмі қосылды;
- Желіде қолжетімді ресурстар, хосттар, қолданбалар мен қызметтер туралы ақпаратты жинайтын RNA (нақты уақыттағы желіні білу) тексеру жүйесі қосылды.
Ақпарат көзі: opennet.ru