Suricata 6.0 침입탐지시스템 출시

XNUMX년간의 개발 끝에 OISF(Open Information Security Foundation) 조직이 탄생했습니다. опубликовала 네트워크 침입탐지 및 예방시스템 출시 미어캣 6.0, 다양한 유형의 트래픽을 검사하기 위한 도구를 제공합니다. Suricata 구성에서는 다음을 사용할 수 있습니다. 서명 데이터베이스Snort 프로젝트에서 개발한 규칙 세트와 새로운 위협 и 새로운 위협 프로. 프로젝트 소스 확산 GPLv2에 따라 라이센스가 부여되었습니다.

주요 변경 사항 :

• HTTP/2에 대한 초기 지원.
• 프로토콜을 정의하고 로그를 유지하는 기능을 포함하여 RFB 및 MQTT 프로토콜을 지원합니다.
• DCERPC 프로토콜에 대한 로깅 가능성.
• JSON 형식으로 이벤트 출력을 제공하는 EVE 하위 시스템을 통해 로깅 성능이 크게 향상되었습니다. Rust 언어로 작성된 새로운 JSON 스톡 빌더를 사용하여 가속화가 이루어졌습니다.
• EVE 로그 시스템의 확장성이 향상되었으며 각 스레드에 대해 별도의 로그 파일을 유지하는 기능이 구현되었습니다.
• 정보를 로그로 재설정하기 위한 조건을 정의하는 기능.
• EVE 로그에 MAC 주소를 반영하고 DNS 로그의 세부 정보를 늘리는 기능.
• 플로우 엔진의 성능을 향상시킵니다.
• SSH 구현 식별 지원(해시).
• GENEVE 터널 디코더 구현.
• 처리 코드가 Rust 언어로 다시 작성되었습니다. ASN.1, DCERPC 및 SSH. Rust는 또한 새로운 프로토콜을 지원합니다.
• 규칙 정의 언어에서는 from_end 매개변수에 대한 지원이 byte_jump 키워드에 추가되었고, bitmask 매개변수에 대한 지원이 byte_test에 추가되었습니다. 정규식(pcre)을 사용하여 하위 문자열을 캡처할 수 있도록 pcrexform 키워드를 구현했습니다. urldecode 변환이 추가되었습니다. byte_math 키워드를 추가했습니다.
• cbindgen을 사용하여 Rust 및 C 언어로 바인딩을 생성하는 기능을 제공합니다.
• 초기 플러그인 지원이 추가되었습니다.

수리카타의 특징:

• 통합 형식을 사용하여 스캔 결과 표시 통합2, Snort 프로젝트에서도 사용되며 다음과 같은 표준 분석 도구를 사용할 수 있습니다. 앞마당2. BASE, Snorby, Sguil 및 SQueRT 제품과의 통합 가능성. PCAP 출력 지원;
• 프로토콜(IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB 등) 자동 감지 지원을 통해 포트 번호를 참조하지 않고(예: HTTP 차단) 프로토콜 유형별로만 규칙에서 작업할 수 있습니다. 비표준 포트의 트래픽). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP 및 SSH 프로토콜용 디코더 가용성
• Mod_Security 프로젝트 작성자가 만든 특수 HTP 라이브러리를 사용하여 HTTP 트래픽을 구문 분석하고 정규화하는 강력한 HTTP 트래픽 분석 시스템입니다. 전송 HTTP 전송에 대한 자세한 로그를 유지하기 위한 모듈을 사용할 수 있으며 로그는 표준 형식으로 저장됩니다.
  아파치. HTTP를 통해 전송된 파일 검색 및 확인이 지원됩니다. 압축된 콘텐츠 구문 분석을 지원합니다. URI, 쿠키, 헤더, 사용자 에이전트, 요청/응답 본문으로 식별하는 기능

• NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING을 포함하여 트래픽 차단을 위한 다양한 인터페이스를 지원합니다. PCAP 형식으로 이미 저장된 파일을 분석하는 것이 가능합니다.
• 고성능, 기존 장비에서 최대 10기가비트/초의 흐름을 처리하는 능력.
• 대규모 IP 주소 세트에 대한 고성능 마스크 일치 메커니즘입니다. 마스크 및 정규식으로 콘텐츠 선택을 지원합니다. 이름, 유형 또는 MD5 체크섬에 따른 식별을 포함하여 트래픽에서 파일을 격리합니다.
• 규칙에서 변수를 사용하는 기능: 스트림의 정보를 저장하고 나중에 다른 규칙에서 사용할 수 있습니다.
• 구성 파일에 YAML 형식을 사용하면 명확성을 유지하면서도 기계 처리가 용이합니다.
• 완전한 IPv6 지원;
• 패킷의 자동 조각 모음 및 재조립을 위한 내장 엔진으로, 패킷이 도착하는 순서에 관계없이 스트림을 올바르게 처리할 수 있습니다.
• 터널링 프로토콜 지원: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• 패킷 디코딩 지원: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, 이더넷, PPP, PPPoE, Raw, SLL, VLAN;
• TLS/SSL 연결 내에 나타나는 키 및 인증서 로깅 모드.
• 고급 분석을 제공하고 표준 규칙으로는 충분하지 않은 트래픽 유형을 식별하는 데 필요한 추가 기능을 구현하기 위해 Lua에서 스크립트를 작성하는 기능.

출처 : opennet.ru