Lepaskan calon untuk sistem pengesanan serangan Snort 3

Cisco mengumumkan о формировании кандидата в релизы полностью переработанной системы предотвращения атак Mendengkur 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Стабильный релиз планируется опубликовать в течение месяца.

В ветке Snort 3 полностью переосмыслена концепция продукта и переработана архитектура. Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Inovasi penting berikut telah dilaksanakan:

• Peralihan telah dibuat kepada sistem konfigurasi baharu yang menawarkan sintaks yang dipermudahkan dan membenarkan penggunaan skrip untuk menjana tetapan secara dinamik. LuaJIT digunakan untuk memproses fail konfigurasi. Pemalam berdasarkan LuaJIT disediakan dengan pelaksanaan pilihan tambahan untuk peraturan dan sistem pembalakan;
• Enjin pengesanan serangan telah dimodenkan, peraturan telah dikemas kini dan keupayaan untuk mengikat penimbal dalam peraturan (penampan melekit) telah ditambah. Enjin carian Hyperscan telah digunakan, yang memungkinkan untuk menggunakan corak yang dicetuskan dengan cepat dan lebih tepat berdasarkan ungkapan biasa dalam peraturan;
• Menambahkan mod introspeksi baharu untuk HTTP yang mengambil kira keadaan sesi dan meliputi 99% situasi yang disokong oleh suite ujian HTTP Evader. Добавлена система инспектирования трафика HTTP/2;
• Prestasi mod pemeriksaan paket dalam telah dipertingkatkan dengan ketara. Menambah keupayaan untuk pemprosesan paket berbilang benang, membenarkan pelaksanaan serentak beberapa utas dengan pemproses paket dan menyediakan kebolehskalaan linear bergantung pada bilangan teras CPU;
• Storan konfigurasi biasa dan jadual atribut telah dilaksanakan, yang dikongsi antara subsistem yang berbeza, yang telah mengurangkan penggunaan memori dengan ketara dengan menghapuskan pertindihan maklumat;
• Sistem pengelogan peristiwa baharu menggunakan format JSON dan disepadukan dengan mudah dengan platform luaran seperti Elastic Stack;
• Peralihan kepada seni bina modular, keupayaan untuk mengembangkan fungsi melalui penyambungan pemalam dan melaksanakan subsistem utama dalam bentuk pemalam yang boleh diganti. Pada masa ini, beberapa ratus pemalam telah pun dilaksanakan untuk Snort 3, meliputi pelbagai bidang aplikasi, contohnya, membolehkan anda menambah codec anda sendiri, mod introspeksi, kaedah pengelogan, tindakan dan pilihan dalam peraturan;
• Pengesanan automatik perkhidmatan yang sedang berjalan, menghapuskan keperluan untuk menentukan port rangkaian aktif secara manual.
• Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.
  Добавлена поддержка перезагрузки настроек на лету;

• Kod ini menyediakan keupayaan untuk menggunakan binaan C++ yang ditakrifkan dalam standard C++14 (bina memerlukan pengkompil yang menyokong C++14);
• Menambah pengendali VXLAN baharu;
• Carian yang dipertingkatkan untuk jenis kandungan mengikut kandungan menggunakan pelaksanaan algoritma alternatif yang dikemas kini Boyer-Moore и Hiperscan;
• Permulaan dipercepatkan dengan menggunakan berbilang utas untuk menyusun kumpulan peraturan;
• Menambah mekanisme pembalakan baharu;
• Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.

Sumber: opennet.ru