ಸಂಸ್ಥೆ OISF (ಮುಕ್ತ ಮಾಹಿತಿ ಭದ್ರತಾ ಪ್ರತಿಷ್ಠಾನ) ನೆಟ್ವರ್ಕ್ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಮತ್ತು ತಡೆಗಟ್ಟುವ ವ್ಯವಸ್ಥೆಯ ಬಿಡುಗಡೆ , ಇದು ವಿವಿಧ ರೀತಿಯ ಸಂಚಾರವನ್ನು ಪರಿಶೀಲಿಸುವ ವಿಧಾನವನ್ನು ಒದಗಿಸುತ್ತದೆ. Suricata ಸಂರಚನೆಗಳಲ್ಲಿ, ಇದನ್ನು ಬಳಸಲು ಅನುಮತಿಸಲಾಗಿದೆ , Snort ಯೋಜನೆಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ, ಜೊತೆಗೆ ನಿಯಮಗಳ ಸೆಟ್ и . ಯೋಜನೆಯ ಮೂಲ ಕೋಡ್ GPLv2 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ.
ಪ್ರಮುಖ ಬದಲಾವಣೆಗಳು:
- ಪ್ರೋಟೋಕಾಲ್ಗಳಿಗಾಗಿ ಹೊಸ ಪಾರ್ಸಿಂಗ್ ಮತ್ತು ಲಾಗಿಂಗ್ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ
RDP, SNMP ಮತ್ತು SIP ಅನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ. JSON ಸ್ವರೂಪದಲ್ಲಿ ಈವೆಂಟ್ಗಳ ಔಟ್ಪುಟ್ ಅನ್ನು ಒದಗಿಸುವ EVE ಉಪವ್ಯವಸ್ಥೆಯ ಮೂಲಕ ಲಾಗ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು FTP ಪಾರ್ಸಿಂಗ್ ಮಾಡ್ಯೂಲ್ಗೆ ಸೇರಿಸಲಾಗಿದೆ; - ಹಿಂದಿನ ಬಿಡುಗಡೆಯಲ್ಲಿ ಪರಿಚಯಿಸಲಾದ JA3 TLS ಕ್ಲೈಂಟ್ ದೃಢೀಕರಣ ವಿಧಾನಕ್ಕೆ ಬೆಂಬಲದ ಜೊತೆಗೆ, ವಿಧಾನಕ್ಕೆ ಬೆಂಬಲ , ಸಂಪರ್ಕ ಸಮಾಲೋಚನೆಯ ನಿಶ್ಚಿತಗಳು ಮತ್ತು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ನಿಯತಾಂಕಗಳನ್ನು ಆಧರಿಸಿ, ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲು ಯಾವ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಿ (ಉದಾಹರಣೆಗೆ, ಇದು ಟಾರ್ ಮತ್ತು ಇತರ ವಿಶಿಷ್ಟ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಬಳಕೆಯನ್ನು ನಿರ್ಧರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ). JA3 ಕ್ಲೈಂಟ್ಗಳನ್ನು ಮತ್ತು JA3S - ಸರ್ವರ್ಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ನಿರ್ಣಯದ ಫಲಿತಾಂಶಗಳನ್ನು ನಿಯಮ ಸೆಟ್ಟಿಂಗ್ ಭಾಷೆಯಲ್ಲಿ ಮತ್ತು ಲಾಗ್ಗಳಲ್ಲಿ ಬಳಸಬಹುದು;
- ದೊಡ್ಡ ಡೇಟಾಸೆಟ್ಗಳ ಮಾದರಿಯೊಂದಿಗೆ ಹೊಂದಿಸಲು ಪ್ರಾಯೋಗಿಕ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಹೊಸ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ . ಉದಾಹರಣೆಗೆ, ಲಕ್ಷಾಂತರ ನಮೂದುಗಳೊಂದಿಗೆ ದೊಡ್ಡ ಕಪ್ಪುಪಟ್ಟಿಗಳಲ್ಲಿ ಮುಖವಾಡಗಳನ್ನು ಹುಡುಕಲು ವೈಶಿಷ್ಟ್ಯವು ಅನ್ವಯಿಸುತ್ತದೆ;
- HTTP ತಪಾಸಣೆ ಮೋಡ್ ಪರೀಕ್ಷಾ ಸೂಟ್ನಲ್ಲಿ ವಿವರಿಸಿದ ಎಲ್ಲಾ ಸಂದರ್ಭಗಳ ಸಂಪೂರ್ಣ ವ್ಯಾಪ್ತಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಸಂಚಾರದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ಬಳಸುವ ವಿಧಾನಗಳನ್ನು ಒಳಗೊಂಡಿದೆ);
- ರಸ್ಟ್ ಮಾಡ್ಯೂಲ್ ಅಭಿವೃದ್ಧಿ ಸಾಧನಗಳನ್ನು ಆಯ್ಕೆಗಳಿಂದ ಅಗತ್ಯವಿರುವ ಪ್ರಮಾಣಿತ ವೈಶಿಷ್ಟ್ಯಗಳಿಗೆ ಸರಿಸಲಾಗಿದೆ. ಭವಿಷ್ಯದಲ್ಲಿ, ಯೋಜನೆಯ ಕೋಡ್ ಬೇಸ್ನಲ್ಲಿ ರಸ್ಟ್ ಬಳಕೆಯನ್ನು ವಿಸ್ತರಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ ಮತ್ತು ಕ್ರಮೇಣ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಅನಲಾಗ್ಗಳೊಂದಿಗೆ ಬದಲಾಯಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ;
- ಪ್ರೋಟೋಕಾಲ್ ಡಿಟೆಕ್ಷನ್ ಇಂಜಿನ್ ಅನ್ನು ನಿಖರತೆ ಮತ್ತು ಅಸಮಕಾಲಿಕ ಸಂಚಾರ ಹರಿವಿನ ನಿರ್ವಹಣೆಯ ವಿಷಯದಲ್ಲಿ ಸುಧಾರಿಸಲಾಗಿದೆ;
- ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಡಿಕೋಡ್ ಮಾಡಿದಾಗ ಪತ್ತೆಯಾದ ವಿಲಕ್ಷಣ ಘಟನೆಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಹೊಸ ರೆಕಾರ್ಡ್ ಪ್ರಕಾರ "ಅಸಂಗತತೆ" ಗಾಗಿ EVE ಲಾಗ್ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ. VLAN ಗಳು ಮತ್ತು ಟ್ರಾಫಿಕ್ ಕ್ಯಾಪ್ಚರ್ ಇಂಟರ್ಫೇಸ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಪ್ರದರ್ಶನವನ್ನು EVE ವಿಸ್ತರಿಸಿದೆ. EVE ಲಾಗ್ http ನಮೂದುಗಳಲ್ಲಿ ಎಲ್ಲಾ HTTP ಹೆಡರ್ಗಳನ್ನು ಉಳಿಸಲು ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- eBPF-ಆಧಾರಿತ ಹ್ಯಾಂಡ್ಲರ್ಗಳು ಪ್ಯಾಕೆಟ್ ಕ್ಯಾಪ್ಚರ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲು ಹಾರ್ಡ್ವೇರ್ ಕಾರ್ಯವಿಧಾನಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಒದಗಿಸುತ್ತವೆ. ಹಾರ್ಡ್ವೇರ್ ವೇಗವರ್ಧನೆಯು ಪ್ರಸ್ತುತ Netronome ನೆಟ್ವರ್ಕ್ ಅಡಾಪ್ಟರ್ಗಳಿಗೆ ಸೀಮಿತವಾಗಿದೆ, ಆದರೆ ಶೀಘ್ರದಲ್ಲೇ ಇತರ ಸಾಧನಗಳಿಗೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ;
- ನೆಟ್ಮ್ಯಾಪ್ ಫ್ರೇಮ್ವರ್ಕ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸೆರೆಹಿಡಿಯಲು ಪುನಃ ಬರೆಯಲಾದ ಕೋಡ್. ವರ್ಚುವಲ್ ಸ್ವಿಚ್ನಂತಹ ಸುಧಾರಿತ ನೆಟ್ಮ್ಯಾಪ್ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ ;
- ಸ್ಟಿಕಿ ಬಫರ್ಗಳಿಗಾಗಿ ಹೊಸ ಕೀವರ್ಡ್ ವ್ಯಾಖ್ಯಾನ ಯೋಜನೆಗೆ ಬೆಂಬಲ. ಹೊಸ ಯೋಜನೆಯನ್ನು protocol.buffer ಸ್ವರೂಪದಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ, ಉದಾಹರಣೆಗೆ, URI ಅನ್ನು ಆತ್ಮಾವಲೋಕನ ಮಾಡಲು, "http_uri" ಬದಲಿಗೆ "http.uri" ಕೀವರ್ಡ್ ಆಗಿರುತ್ತದೆ;
- ಬಳಸಿದ ಎಲ್ಲಾ ಪೈಥಾನ್ ಕೋಡ್ ಅನ್ನು ಹೊಂದಾಣಿಕೆಗಾಗಿ ಪರೀಕ್ಷಿಸಲಾಗುತ್ತದೆ
ಪೈಥಾನ್ 3; - Tilera ಆರ್ಕಿಟೆಕ್ಚರ್, dns.log ಪಠ್ಯ ಲಾಗ್ ಮತ್ತು ಹಳೆಯ ಫೈಲ್ಗಳು-json.log ಲಾಗ್ಗೆ ಬೆಂಬಲವನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ.
ಸುರಿಕಾಟಾದ ವೈಶಿಷ್ಟ್ಯಗಳು:
- ಮೌಲ್ಯಮಾಪನ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಏಕೀಕೃತ ಸ್ವರೂಪವನ್ನು ಬಳಸುವುದು , ಸ್ನಾರ್ಟ್ ಪ್ರಾಜೆಕ್ಟ್ನಿಂದ ಸಹ ಬಳಸಲ್ಪಡುತ್ತದೆ, ಇದು ಪ್ರಮಾಣಿತ ವಿಶ್ಲೇಷಣಾ ಸಾಧನಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ . BASE, Snorby, Sguil ಮತ್ತು SQueRT ಉತ್ಪನ್ನಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಸಾಮರ್ಥ್ಯ. PCAP ಸ್ವರೂಪದಲ್ಲಿ ಔಟ್ಪುಟ್ಗೆ ಬೆಂಬಲ;
- ಪ್ರೋಟೋಕಾಲ್ಗಳ ಸ್ವಯಂಚಾಲಿತ ಪತ್ತೆಗೆ ಬೆಂಬಲ (ಐಪಿ, ಟಿಸಿಪಿ, ಯುಡಿಪಿ, ಐಸಿಎಂಪಿ, ಎಚ್ಟಿಟಿಪಿ, ಟಿಎಲ್ಎಸ್, ಎಫ್ಟಿಪಿ, ಎಸ್ಎಂಬಿ, ಇತ್ಯಾದಿ), ಇದು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯನ್ನು ಉಲ್ಲೇಖಿಸದೆ ಪ್ರೋಟೋಕಾಲ್ ಪ್ರಕಾರದಿಂದ ಮಾತ್ರ ನಿಯಮಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಉದಾಹರಣೆಗೆ , ಪ್ರಮಾಣಿತವಲ್ಲದ ಪೋರ್ಟ್ನಲ್ಲಿ HTTP ದಟ್ಟಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP ಮತ್ತು SSH ಪ್ರೋಟೋಕಾಲ್ಗಳಿಗಾಗಿ ಡಿಕೋಡರ್ಗಳು;
- HTTP ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಮತ್ತು ಸಾಮಾನ್ಯಗೊಳಿಸಲು Mod_Security ಯೋಜನೆಯ ಲೇಖಕರು ರಚಿಸಿದ ವಿಶೇಷ HTP ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವ ಪ್ರಬಲ HTTP ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆ ವ್ಯವಸ್ಥೆ. ಸಾರಿಗೆ HTTP ವರ್ಗಾವಣೆಗಳ ವಿವರವಾದ ಲಾಗ್ ಅನ್ನು ನಿರ್ವಹಿಸಲು ಮಾಡ್ಯೂಲ್ ಲಭ್ಯವಿದೆ, ಲಾಗ್ ಅನ್ನು ಪ್ರಮಾಣಿತ ಸ್ವರೂಪದಲ್ಲಿ ಉಳಿಸಲಾಗಿದೆ
ಅಪಾಚೆ. HTTP ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ವರ್ಗಾಯಿಸಲಾದ ಫೈಲ್ಗಳ ಹೊರತೆಗೆಯುವಿಕೆ ಮತ್ತು ಪರಿಶೀಲನೆಯನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ. ಸಂಕುಚಿತ ವಿಷಯವನ್ನು ಪಾರ್ಸಿಂಗ್ ಮಾಡಲು ಬೆಂಬಲ. URI, ಕುಕಿ, ಹೆಡರ್ಗಳು, ಬಳಕೆದಾರ ಏಜೆಂಟ್, ವಿನಂತಿ/ಪ್ರತಿಕ್ರಿಯೆ ದೇಹದ ಮೂಲಕ ಗುರುತಿಸುವ ಸಾಮರ್ಥ್ಯ; - NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING ಸೇರಿದಂತೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ವಿವಿಧ ಇಂಟರ್ಫೇಸ್ಗಳಿಗೆ ಬೆಂಬಲ. PCAP ಸ್ವರೂಪದಲ್ಲಿ ಈಗಾಗಲೇ ಉಳಿಸಿದ ಫೈಲ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಸಾಧ್ಯವಿದೆ;
- ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆ, ಸಾಂಪ್ರದಾಯಿಕ ಸಾಧನಗಳಲ್ಲಿ 10 ಗಿಗಾಬಿಟ್ಗಳು / ಸೆಕೆಂಡಿನವರೆಗೆ ಸ್ಟ್ರೀಮ್ಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ.
- IP ವಿಳಾಸಗಳ ದೊಡ್ಡ ಸೆಟ್ಗಳೊಂದಿಗೆ ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಯ ಮುಖವಾಡ ಹೊಂದಾಣಿಕೆಯ ಎಂಜಿನ್. ಮುಖವಾಡ ಮತ್ತು ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳ ಮೂಲಕ ವಿಷಯ ಆಯ್ಕೆಗೆ ಬೆಂಬಲ. ಹೆಸರು, ಪ್ರಕಾರ ಅಥವಾ MD5 ಚೆಕ್ಸಮ್ ಮೂಲಕ ಅವುಗಳ ಗುರುತಿಸುವಿಕೆ ಸೇರಿದಂತೆ ದಟ್ಟಣೆಯಿಂದ ಫೈಲ್ಗಳನ್ನು ಬೇರ್ಪಡಿಸುವುದು.
- ನಿಯಮಗಳಲ್ಲಿ ಅಸ್ಥಿರಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯ: ನೀವು ಸ್ಟ್ರೀಮ್ನಿಂದ ಮಾಹಿತಿಯನ್ನು ಉಳಿಸಬಹುದು ಮತ್ತು ನಂತರ ಅದನ್ನು ಇತರ ನಿಯಮಗಳಲ್ಲಿ ಬಳಸಬಹುದು;
- ಸಂರಚನಾ ಫೈಲ್ಗಳಲ್ಲಿ YAML ಸ್ವರೂಪವನ್ನು ಬಳಸುವುದು, ಇದು ಯಂತ್ರ ಸಂಸ್ಕರಣೆಯ ಸುಲಭವಾಗಿ ಗೋಚರತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
- ಪೂರ್ಣ IPv6 ಬೆಂಬಲ;
- ಪ್ಯಾಕೆಟ್ಗಳ ಸ್ವಯಂಚಾಲಿತ ಡಿಫ್ರಾಗ್ಮೆಂಟೇಶನ್ ಮತ್ತು ಮರುಜೋಡಣೆಗಾಗಿ ಅಂತರ್ನಿರ್ಮಿತ ಎಂಜಿನ್, ಇದು ಪ್ಯಾಕೆಟ್ಗಳು ಬರುವ ಕ್ರಮವನ್ನು ಲೆಕ್ಕಿಸದೆ ಸ್ಟ್ರೀಮ್ಗಳ ಸರಿಯಾದ ಸಂಸ್ಕರಣೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ;
- ಸುರಂಗ ಪ್ರೋಟೋಕಾಲ್ಗಳಿಗೆ ಬೆಂಬಲ: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- ಪ್ಯಾಕೆಟ್ ಡಿಕೋಡಿಂಗ್ ಬೆಂಬಲ: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ಈಥರ್ನೆಟ್, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL ಸಂಪರ್ಕಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುವ ಕೀಗಳು ಮತ್ತು ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ ಲಾಗಿಂಗ್ ಮೋಡ್;
- ಸುಧಾರಿತ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒದಗಿಸಲು ಲುವಾ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಬರೆಯುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಪ್ರಮಾಣಿತ ನಿಯಮಗಳು ಸಾಕಷ್ಟಿಲ್ಲದ ಟ್ರಾಫಿಕ್ ಪ್ರಕಾರಗಳನ್ನು ಗುರುತಿಸಲು ಅಗತ್ಯವಿರುವ ಹೆಚ್ಚುವರಿ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು.
ಮೂಲ: opennet.ru