ПроХостер > блог > интернет вести > Сурицата 5.0 систем за откривање напада је доступан

Сурицата 5.0 систем за откривање напада је доступан

Организација ОИСФ (Опен Информатион Сецурити Фоундатион) опубликовала ослобађање система за откривање и превенцију упада у мрежу Мееркат 5.0, који обезбеђује средство за преглед различитих видова саобраћаја. У Сурицата конфигурацијама, дозвољена је употреба основе потписа, који је развио пројекат Снорт, као и скупове правила Емергинг Тхреатс и Емергинг Тхреатс Про. Изворни код пројекта ширење лиценциран под ГПЛв2.

Главне промене:

  • Уведени нови модули за рашчлањивање и евидентирање протокола
    РДП, СНМП и СИП написани у Русту. У ФТП модул за рашчлањивање додата је могућност логовања преко ЕВЕ подсистема, који обезбеђује излаз догађаја у ЈСОН формату;

  • Поред подршке за ЈА3 ТЛС метод аутентификације клијента уведену у последњем издању, подршка за метод ЈА3С, дозвољавајући на основу специфичности преговарања о повезивању и наведених параметара, одредите који софтвер се користи за успостављање везе (на пример, омогућава вам да одредите употребу Тор и других типичних апликација). ЈА3 омогућава дефинисање клијената, а ЈА3С - сервера. Резултати одређивања могу се користити у језику за постављање правила и у евиденцијама;
  • Додата експериментална могућност за подударање са узорком великих скупова података, примењена коришћењем нових операција скуп података и датареп. На пример, ова функција је применљива на тражење маски на великим црним листама са милионима уноса;
  • Режим ХТТП инспекције пружа потпуну покривеност свих ситуација описаних у тест пакету ХТТП Евадер (на пример, покрива технике које се користе за сакривање злонамерне активности у саобраћају);
  • Алати за развој Руст модула су премештени са опција на потребне стандардне функције. У будућности се планира проширење употребе Руста у бази кода пројекта и постепена замена модула аналогима развијеним у Русту;
  • Машина за детекцију протокола је побољшана у смислу тачности и управљања асинхроним саобраћајним токовима;
  • Подршка је додата у ЕВЕ дневник за нови тип записа, "аномалија", који чува нетипичне догађаје који се детектују када се пакети декодирају. ЕВЕ је такође проширио приказ информација о ВЛАН-овима и интерфејсима за хватање саобраћаја. Додата опција за чување свих ХТТП заглавља у хттп уносима ЕВЕ дневника;
  • Руковаоци засновани на еБПФ-у пружају подршку за хардверске механизме за убрзање хватања пакета. Хардверско убрзање је тренутно ограничено на Нетрономе мрежне адаптере, али ће се ускоро појавити и за другу опрему;
  • Преписан код за хватање саобраћаја користећи Нетмап фрамеворк. Додата је могућност коришћења напредних Нетмап функција као што је виртуелни прекидач Вале;
  • Додато подршка за нову шему дефиниције кључних речи за Стицки Буфферс. Нова шема је дефинисана у формату протоцол.буффер, на пример, за интроспекцију УРИ-ја, кључна реч би била „хттп.ури“ уместо „хттп_ури“;
  • Сав коришћен Питхон код је тестиран на компатибилност са
    Питхон 3;

  • Подршка за Тилера архитектуру, текстуални дневник днс.лог и стари дневник филес-јсон.лог је укинут.

Карактеристике Сурицате:

  • Коришћење обједињеног формата за приказ резултата провере унифиед2, који такође користи пројекат Снорт, омогућавајући коришћење стандардних алата за анализу као нпр барниард2. Могућност интеграције са БАСЕ, Снорби, Сгуил и СКуеРТ производима. Подршка за излаз у ПЦАП формату;
  • Подршка за аутоматско откривање протокола (ИП, ТЦП, УДП, ИЦМП, ХТТП, ТЛС, ФТП, СМБ, итд.), што вам омогућава да радите у правилима само према типу протокола, без позивања на број порта (нпр. , да блокира ХТТП саобраћај на нестандардном порту). Декодери за ХТТП, ССЛ, ТЛС, СМБ, СМБ2, ДЦЕРПЦ, СМТП, ФТП и ССХ протоколе;
  • Моћан ХТТП систем за анализу саобраћаја који користи специјалну ХТП библиотеку коју је креирао аутор пројекта Мод_Сецурити да анализира и нормализује ХТТП саобраћај. Доступан је модул за одржавање детаљног дневника транзитних ХТТП трансфера, дневник се чува у стандардном формату
    Апацхе. Подржано је издвајање и верификација датотека пренетих преко ХТТП протокола. Подршка за рашчлањивање компримованог садржаја. Могућност идентификације по УРИ-ју, колачићу, заглављима, корисничком агенту, телу захтева/одговора;

  • Подршка за различите интерфејсе за пресретање саобраћаја, укључујући НФКуеуе, ИПФРинг, ЛибПцап, ИПФВ, АФ_ПАЦКЕТ, ПФ_РИНГ. Могуће је анализирати већ сачуване датотеке у ПЦАП формату;
  • Високе перформансе, могућност обраде токова до 10 гигабита у секунди на конвенционалној опреми.
  • Механизам за усклађивање маски високих перформанси са великим скуповима ИП адреса. Подршка за избор садржаја по маски и регуларним изразима. Одвајање датотека од саобраћаја, укључујући њихову идентификацију по имену, типу или МД5 контролној суми.
  • Могућност коришћења променљивих у правилима: можете сачувати информације из стрима и касније их користити у другим правилима;
  • Коришћење ИАМЛ формата у конфигурационим датотекама, што вам омогућава да одржите видљивост уз лаку машинску обраду;
  • Потпуна подршка за ИПв6;
  • Уграђени мотор за аутоматску дефрагментацију и поновно састављање пакета, који омогућава да се обезбеди исправна обрада токова, без обзира на редослед којим пакети стижу;
  • Подршка за протоколе тунелирања: Тередо, ИП-ИП, ИП6-ИП4, ИП4-ИП6, ГРЕ;
  • Подршка за декодирање пакета: ИПв4, ИПв6, ТЦП, УДП, СЦТП, ИЦМПв4, ИЦМПв6, ГРЕ, Етхернет, ППП, ПППоЕ, Рав, СЛЛ, ВЛАН;
  • Режим евидентирања за кључеве и сертификате који се појављују унутар ТЛС/ССЛ веза;
  • Могућност писања Луа скрипти за пружање напредне анализе и имплементацију додатних функција потребних за идентификацију типова саобраћаја за које стандардна правила нису довољна.

    • Извор: опеннет.ру

Додај коментар