После года разработки организация OISF (Open Information Security Foundation) ការចេញផ្សាយប្រព័ន្ធការពារ និងទប់ស្កាត់ការឈ្លានពានបណ្តាញ ដែលផ្តល់ឧបករណ៍សម្រាប់ត្រួតពិនិត្យប្រភេទផ្សេងៗនៃចរាចរណ៍។ នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ Suricata វាគឺអាចធ្វើទៅបានដើម្បីប្រើ ដែលត្រូវបានបង្កើតឡើងដោយគម្រោង Snort ក៏ដូចជាសំណុំនៃច្បាប់ и . ប្រភពគម្រោង មានអាជ្ញាប័ណ្ណក្រោម GPLv2.
ការផ្លាស់ប្តូរសំខាន់ៗ៖
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
លក្ខណៈពិសេសរបស់ Suricata:
- ការប្រើទម្រង់បង្រួបបង្រួមដើម្បីបង្ហាញលទ្ធផលស្កេន ត្រូវបានប្រើដោយគម្រោង Snort ដែលអនុញ្ញាតឱ្យប្រើឧបករណ៍វិភាគស្តង់ដារដូចជា . លទ្ធភាពនៃការរួមបញ្ចូលជាមួយផលិតផល BASE, Snorby, Sguil និង SQueRT ។ ការគាំទ្រលទ្ធផល PCAP;
- ការគាំទ្រសម្រាប់ការរកឃើញដោយស្វ័យប្រវត្តិនៃពិធីការ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ។ ចរាចរណ៍នៅលើច្រកមិនស្តង់ដារ) ។ ភាពអាចរកបាននៃឧបករណ៍ឌិកូដសម្រាប់ HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP និងពិធីការ SSH;
- ប្រព័ន្ធវិភាគចរាចរណ៍ HTTP ដ៏មានអានុភាពដែលប្រើបណ្ណាល័យ HTP ពិសេសដែលបង្កើតឡើងដោយអ្នកនិពន្ធនៃគម្រោង Mod_Security ដើម្បីញែក និងធ្វើឱ្យចរាចរ HTTP មានលក្ខណៈធម្មតា។ ម៉ូឌុលមានសម្រាប់រក្សាកំណត់ហេតុលម្អិតនៃការផ្ទេរ HTTP ឆ្លងកាត់ កំណត់ហេតុត្រូវបានរក្សាទុកក្នុងទម្រង់ស្តង់ដារ
Apache ។ ការទាញយក និងពិនិត្យមើលឯកសារដែលបានបញ្ជូនតាមរយៈ HTTP ត្រូវបានគាំទ្រ។ ការគាំទ្រសម្រាប់ការវិភាគមាតិកាដែលបានបង្ហាប់។ សមត្ថភាពក្នុងការកំណត់អត្តសញ្ញាណដោយ URI, Cookie, បឋមកថា, ភ្នាក់ងារអ្នកប្រើប្រាស់, រាងកាយសំណើ / ការឆ្លើយតប; - ការគាំទ្រសម្រាប់ចំណុចប្រទាក់ផ្សេងៗសម្រាប់ការស្ទាក់ចាប់ចរាចរណ៍ រួមទាំង NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING ។ វាអាចធ្វើទៅបានដើម្បីវិភាគឯកសារដែលបានរក្សាទុករួចហើយជាទម្រង់ PCAP ។
- ដំណើរការខ្ពស់ សមត្ថភាពក្នុងការដំណើរការលំហូររហូតដល់ 10 ជីហ្គាបៃក្នុងមួយវិនាទីលើឧបករណ៍ធម្មតា។
- យន្តការផ្គូផ្គងរបាំងដែលមានប្រសិទ្ធភាពខ្ពស់សម្រាប់សំណុំធំនៃអាសយដ្ឋាន IP ។ ការគាំទ្រសម្រាប់ការជ្រើសរើសមាតិកាដោយរបាំងនិងកន្សោមធម្មតា។ ការញែកឯកសារចេញពីចរាចរណ៍ រួមទាំងការកំណត់អត្តសញ្ញាណរបស់ពួកគេតាមឈ្មោះ ប្រភេទ ឬ MD5 checksum ។
- សមត្ថភាពក្នុងការប្រើអថេរនៅក្នុងច្បាប់៖ អ្នកអាចរក្សាទុកព័ត៌មានពីស្ទ្រីម ហើយក្រោយមកប្រើវានៅក្នុងច្បាប់ផ្សេងទៀត;
- ការប្រើប្រាស់ទម្រង់ YAML នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ ដែលអនុញ្ញាតឱ្យអ្នករក្សាភាពច្បាស់លាស់ខណៈពេលដែលមានភាពងាយស្រួលក្នុងដំណើរការម៉ាស៊ីន។
- ការគាំទ្រ IPv6 ពេញលេញ;
- ម៉ាស៊ីនដែលភ្ជាប់មកជាមួយសម្រាប់ការ defragmentation ដោយស្វ័យប្រវត្តិ និងការប្រមូលផ្តុំកញ្ចប់ព័ត៌មានឡើងវិញ ដែលអនុញ្ញាតឱ្យដំណើរការត្រឹមត្រូវនៃចរន្ត ដោយមិនគិតពីលំដាប់ដែលកញ្ចប់ព័ត៌មានមកដល់។
- ការគាំទ្រសម្រាប់ពិធីការផ្លូវរូងក្រោមដី៖ Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- ការគាំទ្រការឌិកូដកញ្ចប់៖ IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, អ៊ីសឺរណិត, PPP, PPPoE, Raw, SLL, VLAN;
- របៀបសម្រាប់សោចូល និងវិញ្ញាបនបត្រដែលលេចឡើងក្នុងការតភ្ជាប់ TLS/SSL;
- សមត្ថភាពក្នុងការសរសេរស្គ្រីបនៅក្នុង Lua ដើម្បីផ្តល់នូវការវិភាគកម្រិតខ្ពស់ និងអនុវត្តសមត្ថភាពបន្ថែមដែលត្រូវការដើម្បីកំណត់ប្រភេទនៃចរាចរណ៍ដែលច្បាប់ស្តង់ដារមិនគ្រប់គ្រាន់។
ប្រភព: opennet.ru