Cisco kompanija galutinė visiškai pertvarkytos atakų prevencijos sistemos beta versija , taip pat žinomas kaip „Snort++“ projektas, su pertraukomis dirbamas nuo 2005 m. Išleidimo kandidatūrą planuojama paskelbti vėliau šiais metais.
Naujojoje šakoje visiškai pergalvota produkto koncepcija ir perkurta architektūra. Tarp sričių, kurios buvo akcentuojamos rengiant naują šaką, buvo „Snort“ nustatymo ir paleidimo supaprastinimas, konfigūracijos automatizavimas, taisyklių kūrimo kalbos supaprastinimas, automatinis visų protokolų aptikimas, apvalkalo suteikimas valdymui iš komandos. linija, aktyvus kelių gijų naudojimas su bendra skirtingų procesorių prieiga prie vienos konfigūracijos.
Įdiegtos šios svarbios naujovės:
- Pereita prie naujos konfigūracijos sistemos, kuri siūlo supaprastintą sintaksę ir leidžia naudoti scenarijus dinamiškai generuoti nustatymus. LuaJIT naudojamas konfigūracijos failams apdoroti. „LuaJIT“ pagrindu sukurti papildiniai pateikiami su papildomų taisyklių ir registravimo sistemos parinkčių įgyvendinimu;
- Modernizuotas atakų aptikimo variklis, atnaujintos taisyklės, pridėta galimybė taisyklėse susieti buferius (lipnius buferius). Buvo panaudota paieškos sistema „Hyperscan“, kuri leido naudoti greitus ir tiksliau suveikiamus šablonus, pagrįstus taisyklėse esančiomis reguliariosiomis išraiškomis;
- Pridėtas naujas HTTP savianalizės režimas, kuriame atsižvelgiama į seanso būseną ir apima 99 % situacijų, kurias palaiko bandomasis rinkinys . Kodas HTTP/2 palaikymui yra kuriamas;
- Gilaus paketų tikrinimo režimo veikimas buvo žymiai patobulintas. Pridėta kelių gijų paketų apdorojimo galimybė, leidžianti vienu metu vykdyti kelias gijas su paketų procesoriais ir užtikrinti linijinį mastelį, priklausomai nuo procesoriaus branduolių skaičiaus;
- Įdiegtos bendros konfigūracijos saugyklos ir atributų lentelės, kurios yra dalinamos tarp skirtingų posistemių, o tai ženkliai sumažino atminties sąnaudas, pašalinant informacijos dubliavimą;
- Nauja įvykių registravimo sistema naudojant JSON formatą ir lengvai integruojama su išorinėmis platformomis, tokiomis kaip Elastic Stack;
- Perėjimas prie modulinės architektūros, galimybė išplėsti funkcionalumą jungiant papildinius ir diegiant pagrindinius posistemius keičiamų įskiepių pavidalu. Šiuo metu Snort 3 jau yra įdiegta keli šimtai įskiepių, apimančių įvairias taikymo sritis, pavyzdžiui, leidžiančiose taisyklėse pridėti savo kodekus, savistabos režimus, registravimo metodus, veiksmus ir parinktis;
- Automatinis veikiančių paslaugų aptikimas, todėl nebereikia rankiniu būdu nurodyti aktyvių tinklo prievadų.
Pakeitimai, palyginti su paskutiniu bandomuoju leidimu, kuris buvo paskelbtas 2018 m.:
- Pridėtas failų palaikymas, kad būtų galima greitai nepaisyti numatytosios konfigūracijos nustatymų;
- Kodas suteikia galimybę naudoti C++ konstrukcijas, apibrėžtas C++14 standarte (sukūrimui reikalingas kompiliatorius, palaikantis C++14);
- Pridėtas naujas VXLAN tvarkytuvas;
- Patobulinta turinio tipų paieška pagal turinį, naudojant atnaujintus alternatyvius algoritmus и ;
- HTTP/2 eismo tikrinimo sistema beveik visiškai parengta;
- Paleidimas pagreitinamas naudojant kelias gijas taisyklių grupėms sudaryti;
- Pridėtas naujas registravimo mechanizmas;
- Patobulintas Lua klaidų aptikimas ir optimizuoti baltieji sąrašai;
- Buvo atlikti pakeitimai, leidžiantys iš naujo įkelti nustatymus skrydžio metu;
- Pridėta RNA (Real-time Network Awareness) tikrinimo sistema, renkanti informaciją apie tinkle esančius išteklius, pagrindinius kompiuterius, programas ir paslaugas;
- Siekiant supaprastinti konfigūraciją, snort_config.lua ir SNORT_LUA_PATH naudojimas buvo nutrauktas.
Šaltinis: opennet.ru