Suricata 5.0 공격 탐지 시스템 사용 가능

조직 OISF(개방형정보보호재단) опубликовала 네트워크 침입탐지 및 예방시스템 출시 미어캣 5.0, 다양한 유형의 트래픽을 검사하기 위한 도구를 제공합니다. Suricata 구성에서는 다음을 사용할 수 있습니다. 서명 데이터베이스Snort 프로젝트에서 개발한 규칙 세트와 새로운 위협 и 새로운 위협 프로. 프로젝트 소스 확산 GPLv2에 따라 라이센스가 부여되었습니다.

주요 변경 사항 :

• 프로토콜 구문 분석 및 로깅을 위한 새로운 모듈이 도입되었습니다.
  Rust로 작성된 RDP, SNMP 및 SIP. EVE 하위 시스템을 통해 로그하는 기능이 FTP 구문 분석 모듈에 추가되어 JSON 형식으로 이벤트 출력을 제공합니다.

• 지난 릴리스에 등장한 JA3 TLS 클라이언트 식별 방법에 대한 지원 외에도 JA3S, 허용 연결 협상의 특성과 지정된 매개변수를 기반으로 연결을 설정하는 데 사용되는 소프트웨어를 결정합니다(예: Tor 및 기타 표준 응용 프로그램의 사용을 결정할 수 있습니다). JA3에서는 클라이언트를 정의할 수 있고, JA3S에서는 서버를 정의할 수 있습니다. 결정 결과는 규칙 설정 언어 및 로그에서 사용될 수 있습니다.
• 새로운 작업을 사용하여 구현된 대규모 데이터 세트의 샘플을 일치시키는 실험 기능이 추가되었습니다. 데이터세트와 데이터렙. 예를 들어, 이 기능은 수백만 개의 항목이 포함된 대규모 블랙리스트에서 마스크를 검색하는 데 적용할 수 있습니다.
• HTTP 검사 모드는 테스트 모음에 설명된 모든 상황을 완벽하게 포괄합니다. HTTP 회피기 (예: 트래픽에서 악의적인 활동을 숨기는 데 사용되는 기술 포함)
• Rust 언어로 모듈을 개발하기 위한 도구가 옵션에서 필수 표준 기능으로 전환되었습니다. 앞으로는 프로젝트 코드 베이스에서 Rust의 사용을 확대하고 점진적으로 Rust에서 개발된 유사 모듈로 모듈을 교체할 계획입니다.
• 정확성을 높이고 비동기 트래픽 흐름을 처리하기 위해 프로토콜 정의 엔진이 개선되었습니다.
• 패킷을 디코딩할 때 감지된 비정형 이벤트를 저장하는 새로운 "이상" 항목 유형에 대한 지원이 EVE 로그에 추가되었습니다. EVE는 또한 VLAN 및 트래픽 캡처 인터페이스에 대한 정보 표시를 확장했습니다. EVE http 로그 항목에 모든 HTTP 헤더를 저장하는 옵션이 추가되었습니다.
• eBPF 기반 핸들러는 패킷 캡처를 가속화하기 위한 하드웨어 메커니즘을 지원합니다. 하드웨어 가속은 현재 Netronome 네트워크 어댑터로 제한되어 있지만 곧 다른 장비에서도 사용할 수 있게 될 예정입니다.
• Netmap 프레임워크를 사용하여 트래픽을 캡처하는 코드가 다시 작성되었습니다. 가상 스위치와 같은 고급 Netmap 기능을 사용하는 기능이 추가되었습니다. VALE;
• 추가됨 고정 버퍼에 대한 새로운 키워드 정의 체계를 지원합니다. 새 체계는 "protocol.buffer" 형식으로 정의됩니다. 예를 들어 URI를 검사할 때 키워드는 "http_uri" 대신 "http.uri" 형식을 사용합니다.
• 사용된 모든 Python 코드는 다음과의 호환성 테스트를 거쳤습니다.
  파이썬 3;

• Tilera 아키텍처, 텍스트 로그 dns.log 및 이전 로그 files-json.log에 대한 지원이 중단되었습니다.

수리카타의 특징:

• 통합 형식을 사용하여 스캔 결과 표시 통합2, Snort 프로젝트에서도 사용되며 다음과 같은 표준 분석 도구를 사용할 수 있습니다. 앞마당2. BASE, Snorby, Sguil 및 SQueRT 제품과의 통합 가능성. PCAP 출력 지원;
• 프로토콜(IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB 등) 자동 감지 지원을 통해 포트 번호를 참조하지 않고(예: HTTP 차단) 프로토콜 유형별로만 규칙에서 작업할 수 있습니다. 비표준 포트의 트래픽). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP 및 SSH 프로토콜용 디코더 가용성
• Mod_Security 프로젝트 작성자가 만든 특수 HTP 라이브러리를 사용하여 HTTP 트래픽을 구문 분석하고 정규화하는 강력한 HTTP 트래픽 분석 시스템입니다. 전송 HTTP 전송에 대한 자세한 로그를 유지하기 위한 모듈을 사용할 수 있으며 로그는 표준 형식으로 저장됩니다.
  아파치. HTTP를 통해 전송된 파일 검색 및 확인이 지원됩니다. 압축된 콘텐츠 구문 분석을 지원합니다. URI, 쿠키, 헤더, 사용자 에이전트, 요청/응답 본문으로 식별하는 기능

• NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING을 포함하여 트래픽 차단을 위한 다양한 인터페이스를 지원합니다. PCAP 형식으로 이미 저장된 파일을 분석하는 것이 가능합니다.
• 고성능, 기존 장비에서 최대 10기가비트/초의 흐름을 처리하는 능력.
• 대규모 IP 주소 세트에 대한 고성능 마스크 일치 메커니즘입니다. 마스크 및 정규식으로 콘텐츠 선택을 지원합니다. 이름, 유형 또는 MD5 체크섬에 따른 식별을 포함하여 트래픽에서 파일을 격리합니다.
• 규칙에서 변수를 사용하는 기능: 스트림의 정보를 저장하고 나중에 다른 규칙에서 사용할 수 있습니다.
• 구성 파일에 YAML 형식을 사용하면 명확성을 유지하면서도 기계 처리가 용이합니다.
• 완전한 IPv6 지원;
• 패킷의 자동 조각 모음 및 재조립을 위한 내장 엔진으로, 패킷이 도착하는 순서에 관계없이 스트림을 올바르게 처리할 수 있습니다.
• 터널링 프로토콜 지원: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• 패킷 디코딩 지원: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, 이더넷, PPP, PPPoE, Raw, SLL, VLAN;
• TLS/SSL 연결 내에 나타나는 키 및 인증서 로깅 모드.
• 고급 분석을 제공하고 표준 규칙으로는 충분하지 않은 트래픽 유형을 식별하는 데 필요한 추가 기능을 구현하기 위해 Lua에서 스크립트를 작성하는 기능.

출처 : opennet.ru