Cisco versi beta terakhir bagi sistem pencegahan serangan yang direka bentuk semula sepenuhnya , juga dikenali sebagai projek Snort++, yang telah diusahakan secara berkala sejak 2005. Seorang calon pelepas dirancang untuk diterbitkan pada akhir tahun ini.
Di cawangan baharu, konsep produk difikirkan semula sepenuhnya dan seni bina direka semula. Antara bidang yang ditekankan semasa menyediakan cawangan baharu, terdapat penyederhanaan penyediaan dan pelancaran Snort, automasi konfigurasi, penyederhanaan bahasa untuk membina peraturan, pengesanan automatik semua protokol, penyediaan shell untuk kawalan daripada arahan talian, penggunaan aktif multithreading dengan akses perkongsian pemproses berbeza kepada konfigurasi tunggal.
Inovasi penting berikut telah dilaksanakan:
- Peralihan telah dibuat kepada sistem konfigurasi baharu yang menawarkan sintaks yang dipermudahkan dan membenarkan penggunaan skrip untuk menjana tetapan secara dinamik. LuaJIT digunakan untuk memproses fail konfigurasi. Pemalam berdasarkan LuaJIT disediakan dengan pelaksanaan pilihan tambahan untuk peraturan dan sistem pembalakan;
- Enjin pengesanan serangan telah dimodenkan, peraturan telah dikemas kini dan keupayaan untuk mengikat penimbal dalam peraturan (penampan melekit) telah ditambah. Enjin carian Hyperscan telah digunakan, yang memungkinkan untuk menggunakan corak yang dicetuskan dengan cepat dan lebih tepat berdasarkan ungkapan biasa dalam peraturan;
- Menambahkan mod introspeksi baharu untuk HTTP yang mengambil kira keadaan sesi dan meliputi 99% situasi yang disokong oleh suite ujian . Kod untuk menyokong HTTP/2 sedang dibangunkan;
- Prestasi mod pemeriksaan paket dalam telah dipertingkatkan dengan ketara. Menambah keupayaan untuk pemprosesan paket berbilang benang, membenarkan pelaksanaan serentak beberapa utas dengan pemproses paket dan menyediakan kebolehskalaan linear bergantung pada bilangan teras CPU;
- Storan konfigurasi biasa dan jadual atribut telah dilaksanakan, yang dikongsi antara subsistem yang berbeza, yang telah mengurangkan penggunaan memori dengan ketara dengan menghapuskan pertindihan maklumat;
- Sistem pengelogan peristiwa baharu menggunakan format JSON dan disepadukan dengan mudah dengan platform luaran seperti Elastic Stack;
- Peralihan kepada seni bina modular, keupayaan untuk mengembangkan fungsi melalui penyambungan pemalam dan melaksanakan subsistem utama dalam bentuk pemalam yang boleh diganti. Pada masa ini, beberapa ratus pemalam telah pun dilaksanakan untuk Snort 3, meliputi pelbagai bidang aplikasi, contohnya, membolehkan anda menambah codec anda sendiri, mod introspeksi, kaedah pengelogan, tindakan dan pilihan dalam peraturan;
- Pengesanan automatik perkhidmatan yang sedang berjalan, menghapuskan keperluan untuk menentukan port rangkaian aktif secara manual.
Perubahan berbanding keluaran ujian terakhir, yang diterbitkan pada 2018:
- Menambah sokongan untuk fail untuk mengatasi tetapan dengan cepat berbanding konfigurasi lalai;
- Kod ini menyediakan keupayaan untuk menggunakan binaan C++ yang ditakrifkan dalam standard C++14 (bina memerlukan pengkompil yang menyokong C++14);
- Menambah pengendali VXLAN baharu;
- Carian yang dipertingkatkan untuk jenis kandungan mengikut kandungan menggunakan pelaksanaan algoritma alternatif yang dikemas kini ΠΈ ;
- Sistem pemeriksaan trafik HTTP/2 hampir disedia sepenuhnya;
- Permulaan dipercepatkan dengan menggunakan berbilang utas untuk menyusun kumpulan peraturan;
- Menambah mekanisme pembalakan baharu;
- Pengesanan ralat Lua dan senarai putih yang dioptimumkan lebih baik;
- Perubahan telah dibuat untuk membolehkan muat semula tetapan dengan cepat;
- Sistem pemeriksaan RNA (Kesedaran Rangkaian Masa Nyata) telah ditambah, mengumpul maklumat tentang sumber, hos, aplikasi dan perkhidmatan yang tersedia pada rangkaian;
- Untuk memudahkan konfigurasi, penggunaan snort_config.lua dan SNORT_LUA_PATH telah dihentikan.
Sumber: opennet.ru