سازمان OISF (د پرانیستې معلوماتو امنیت بنسټ)
اصلي بدلونونه:
- د پارس کولو او د ننوتلو پروتوکولونو لپاره نوي ماډلونه معرفي شوي
RDP، SNMP او SIP په زنګ کې لیکل شوي. د FTP پارس کولو ماډل اوس د EVE فرعي سیسټم له لارې د ننوتلو وړتیا لري، کوم چې د JSON بڼه کې د پیښې محصول چمتو کوي؛ - د JA3 TLS پیرودونکي پیژندنې میتود لپاره د ملاتړ سربیره چې په وروستي خوشې کې څرګند شوی ، د میتود لپاره ملاتړ
JA3S ,اجازه ورکول د اتصال خبرو اترو او ټاکل شوي پیرامیټونو ځانګړتیاو پراساس ، مشخص کړئ چې کوم سافټویر د اتصال رامینځته کولو لپاره کارول کیږي (د مثال په توګه ، دا تاسو ته اجازه درکوي د تور او نورو معیاري غوښتنلیکونو کارول وټاکئ). JA3 تاسو ته اجازه درکوي پیرودونکي تعریف کړئ، او JA3S تاسو ته اجازه درکوي سرورونه تعریف کړئ. د تعیین پایلې د مقرراتو په ژبه او په لاګونو کې کارول کیدی شي؛ - د لوی ډیټا سیټونو څخه د نمونو سره میچ کولو لپاره تجربوي وړتیا اضافه شوې ، د نوي عملیاتو په کارولو سره پلي کیږي
ډیټاسیټ او ډیټاریپ . د مثال په توګه، دا خصوصیت په لوی تور لیستونو کې د ماسکونو لټون کولو لپاره پلي کیږي چې په ملیونونو ننوتنې لري؛ - د HTTP معاینې حالت د ټیسټ سویټ کې بیان شوي د ټولو حالتونو بشپړ پوښښ چمتو کوي
HTTP Evader (د بیلګې په توګه، په ټرافیک کې د ناوړه فعالیت پټولو لپاره کارول شوي تخنیکونه پوښي)؛ - د زنګ په ژبه کې د ماډلونو رامینځته کولو وسیلې له اختیارونو څخه لازمي معیاري وړتیاو ته لیږدول شوي. په راتلونکي کې ، دا پلان شوی چې د پروژې کوډ بیس کې د زنګ کارول پراخه کړي او په تدریجي ډول ماډلونه په زنګ کې رامینځته شوي انالوګونو سره ځای په ځای کړي؛
- د پروتوکول تعریف انجن ښه شوی ترڅو دقت ښه کړي او د غیر متناسب ترافیک جریان اداره کړي؛
- د EVE لاګ کې د نوي "عدم حالت" ننوتلو ډول لپاره ملاتړ اضافه شوی ، کوم چې د پاکټونو کوډ کولو پرمهال کشف شوي غیر معمولي پیښې ذخیره کوي. EVE د VLANs او د ترافیک نیولو انٹرفیسونو په اړه د معلوماتو ښودنه هم پراخه کړې. د EVE HTTP لاګ ننوتونو کې د ټولو HTTP سرلیکونو خوندي کولو لپاره اختیار اضافه شوی؛
- د eBPF پر بنسټ سمبالونکي د پیکټ نیول ګړندي کولو لپاره د هارډویر میکانیزمونو لپاره ملاتړ چمتو کوي. د هارډویر سرعت اوس مهال د نیټرونوم شبکې اډیپټرونو پورې محدود دی ، مګر ډیر ژر به د نورو تجهیزاتو لپاره شتون ولري؛
- د Netmap چوکاټ په کارولو سره د ټرافیک نیولو لپاره کوډ بیا لیکل شوی. د پرمختللي Netmap ځانګړتیاو لکه د مجازی سویچ کارولو وړتیا اضافه کړه
ډکرمن ; -
زیاته کړه د سټیکي بفرونو لپاره د نوي کلیدي کلمې تعریف سکیم لپاره ملاتړ. نوی سکیم د "protocol.buffer" بڼه کې تعریف شوی، د بیلګې په توګه، د URI معاینه کولو لپاره، کلیدي کلمه به د "http_uri" پرځای "http.uri" بڼه واخلي؛ - د Python ټول کوډ کارول شوی د مطابقت لپاره ازمول شوی
پیتون۳; - د ټیلرا جوړښت لپاره ملاتړ، د متن لاګ dns.log او زاړه لاګ فایلونه-json.log بند شوي.
د سوریکاتا ځانګړتیاوې:
- د سکین پایلو ښودلو لپاره د متحد شکل کارول
متحد2 ، د Snort پروژې لخوا هم کارول کیږي ، کوم چې د معیاري تحلیلي وسیلو کارولو ته اجازه ورکوي لکهbarnyard2 . د BASE، Snorby، Sguil او SQueRT محصولاتو سره د یوځای کولو امکان. د PCAP محصول ملاتړ؛ - د پروتوکولونو اتوماتیک کشف لپاره ملاتړ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB، او نور)، تاسو ته اجازه درکوي یوازې د پروتوکول ډول سره په قواعدو کې کار وکړئ، پرته له دې چې د پورټ شمیرې ته اشاره وکړئ (د مثال په توګه، د HTTP بلاک کول په غیر معیاري بندر کې ترافیک). د HTTP، SSL، TLS، SMB، SMB2، DCERPC، SMTP، FTP او SSH پروتوکولونو لپاره د ډیکوډرونو شتون؛
- د پیاوړې HTTP ترافیک تحلیل سیسټم چې د HTTP ترافیک تحلیل او نورمال کولو لپاره د Mod_Security پروژې لیکوال لخوا رامینځته شوی ځانګړی HTP کتابتون کاروي. یو ماډل شتون لري چې د لیږد HTTP لیږد تفصيلي لاګ ساتلو لپاره شتون لري؛ لاګ په معیاري بڼه خوندي شوی
اپاچی. د HTTP له لارې لیږدول شوي فایلونو ترلاسه کول او چک کول ملاتړ کیږي. د کمپریس شوي مینځپانګې تحلیل لپاره ملاتړ. د URI، کوکیز، سرلیکونو، کارن-ایجنټ، غوښتنه / ځواب د بدن لخوا د پیژندلو وړتیا؛ - د ترافیک مداخلې لپاره د مختلف انٹرفیسونو ملاتړ ، پشمول د NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. دا ممکنه ده چې مخکې له مخکې خوندي شوي فایلونه د PCAP بڼه کې تحلیل کړئ؛
- لوړ فعالیت، په دودیز تجهیزاتو کې تر 10 ګیګابایټ / ثانیو پورې جریان پروسس کولو وړتیا.
- د IP پتې لوی سیټونو لپاره د لوړ فعالیت ماسک میچ کولو میکانیزم. د ماسک او منظم څرګندونو په واسطه د مینځپانګې غوره کولو لپاره ملاتړ. د ټرافیک څخه د فایلونو جلا کول، په شمول د نوم، ډول یا MD5 چکسم لخوا د دوی پیژندنه.
- په قواعدو کې د متغیرونو کارولو وړتیا: تاسو کولی شئ معلومات د جریان څخه خوندي کړئ او وروسته یې په نورو مقرراتو کې وکاروئ؛
- د ترتیب کولو فایلونو کې د YAML ب formatه کارول ، کوم چې تاسو ته اجازه درکوي وضاحت وساتي پداسې حال کې چې د ماشین پروسې ته اسانه وي؛
- بشپړ IPv6 ملاتړ؛
- د اتوماتیک ډیفریګمینټیشن او د پاکټونو بیا راټولولو لپاره جوړ شوی انجن، د جریانونو سم پروسس کولو ته اجازه ورکوي، پرته له دې چې پاکټونه راشي؛
- د تونل کولو پروتوکولونو ملاتړ: Teredo، IP-IP، IP6-IP4، IP4-IP6، GRE؛
- د کڅوړې کوډ کولو ملاتړ: IPv4، IPv6، TCP، UDP، SCTP، ICMPv4، ICMPv6، GRE، ایترنیټ، PPP، PPPoE، Raw، SLL، VLAN؛
- د ننوتلو کیلي او سندونو لپاره حالت چې په TLS/SSL ارتباطاتو کې څرګندیږي؛
- په لوا کې د سکریپټونو لیکلو وړتیا ترڅو پرمختللي تحلیل چمتو کړي او اضافي وړتیاوې پلي کړي چې د ترافیک ډولونو پیژندلو لپاره اړین دي چې معیاري مقررات کافي ندي.
سرچینه: opennet.ru