После года разработки организация OISF (Open Information Security Foundation) опубликовала uvoľnenie systému detekcie a prevencie narušenia siete Surikata 6.0, ktorá poskytuje nástroje na kontrolu rôznych druhov dopravy. V konfiguráciách Suricata je možné použiť databázy podpisov, ktorý vyvinul projekt Snort, ako aj súbory pravidiel Vznikajúce hrozby и Emerging Threats Pro. Zdroje projektu šírenie pod licenciou GPLv2.
Hlavné zmeny:
Начальная поддержка HTTP/2.
Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
Возможность ведения лога для протокола DCERPC.
Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
Возможность определения условий для сброса сведений в лог.
Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
Повышение производительности движка обработки потоков (flow engine).
На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
Добавлена начальная поддержка плагинов.
Vlastnosti Suricaty:
Použitie jednotného formátu na zobrazenie výsledkov skenovania Zjednotený 2, využívaný aj projektom Snort, ktorý umožňuje použitie štandardných analytických nástrojov ako napr maštaľ2. Možnosť integrácie s produktmi BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
Podpora automatickej detekcie protokolov (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atď.), čo vám umožní pracovať v pravidlách iba podľa typu protokolu, bez odkazu na číslo portu (napríklad blokovať HTTP prevádzka na neštandardnom porte). Dostupnosť dekodérov pre protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
Výkonný systém na analýzu návštevnosti HTTP, ktorý využíva špeciálnu knižnicu HTP vytvorenú autorom projektu Mod_Security na analýzu a normalizáciu návštevnosti HTTP. Pre vedenie detailného logu tranzitných HTTP prenosov je k dispozícii modul, ktorý je uložený v štandardnom formáte
Apache. Je podporované získavanie a kontrola súborov prenášaných cez HTTP. Podpora analýzy komprimovaného obsahu. Schopnosť identifikovať pomocou URI, Cookie, hlavičiek, user-agent, tela požiadavky/odpovede;
Podpora rôznych rozhraní na zachytenie prevádzky, vrátane NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovať už uložené súbory vo formáte PCAP;
Vysoký výkon, schopnosť spracovať toky až 10 gigabitov/s na konvenčnom zariadení.
Vysoko výkonný mechanizmus zhody masky pre veľké sady IP adries. Podpora výberu obsahu podľa masky a regulárnych výrazov. Izolácia súborov od prevádzky vrátane ich identifikácie podľa názvu, typu alebo kontrolného súčtu MD5.
Schopnosť používať premenné v pravidlách: môžete uložiť informácie z prúdu a neskôr ich použiť v iných pravidlách;
Použitie formátu YAML v konfiguračných súboroch, ktorý vám umožňuje zachovať prehľadnosť a zároveň sa ľahko strojovo spracovávať;
Plná podpora IPv6;
Zabudovaný motor na automatickú defragmentáciu a opätovné zostavenie paketov, čo umožňuje správne spracovanie tokov bez ohľadu na poradie, v ktorom pakety prichádzajú;
Režim protokolovania kľúčov a certifikátov, ktoré sa objavujú v pripojeniach TLS/SSL;
Schopnosť písať skripty v jazyku Lua na poskytovanie pokročilých analýz a implementáciu ďalších možností potrebných na identifikáciu typov prevádzky, pre ktoré štandardné pravidlá nestačia.