Сурицата 5.0 систем за откривање напада је доступан
Организација ОИСФ (Опен Информатион Сецурити Фоундатион) опубликовала ослобађање система за откривање и превенцију упада у мрежу Мееркат 5.0, који обезбеђује средство за преглед различитих видова саобраћаја. У Сурицата конфигурацијама, дозвољена је употреба основе потписа, који је развио пројекат Снорт, као и скупове правила Емергинг Тхреатс и Емергинг Тхреатс Про. Изворни код пројекта ширење лиценциран под ГПЛв2.
Главне промене:
Уведени нови модули за рашчлањивање и евидентирање протокола
РДП, СНМП и СИП написани у Русту. У ФТП модул за рашчлањивање додата је могућност логовања преко ЕВЕ подсистема, који обезбеђује излаз догађаја у ЈСОН формату;
Поред подршке за ЈА3 ТЛС метод аутентификације клијента уведену у последњем издању, подршка за метод ЈА3С, дозвољавајући на основу специфичности преговарања о повезивању и наведених параметара, одредите који софтвер се користи за успостављање везе (на пример, омогућава вам да одредите употребу Тор и других типичних апликација). ЈА3 омогућава дефинисање клијената, а ЈА3С - сервера. Резултати одређивања могу се користити у језику за постављање правила и у евиденцијама;
Додата експериментална могућност за подударање са узорком великих скупова података, примењена коришћењем нових операција скуп података и датареп. На пример, ова функција је применљива на тражење маски на великим црним листама са милионима уноса;
Режим ХТТП инспекције пружа потпуну покривеност свих ситуација описаних у тест пакету ХТТП Евадер (на пример, покрива технике које се користе за сакривање злонамерне активности у саобраћају);
Алати за развој Руст модула су премештени са опција на потребне стандардне функције. У будућности се планира проширење употребе Руста у бази кода пројекта и постепена замена модула аналогима развијеним у Русту;
Машина за детекцију протокола је побољшана у смислу тачности и управљања асинхроним саобраћајним токовима;
Подршка је додата у ЕВЕ дневник за нови тип записа, "аномалија", који чува нетипичне догађаје који се детектују када се пакети декодирају. ЕВЕ је такође проширио приказ информација о ВЛАН-овима и интерфејсима за хватање саобраћаја. Додата опција за чување свих ХТТП заглавља у хттп уносима ЕВЕ дневника;
Руковаоци засновани на еБПФ-у пружају подршку за хардверске механизме за убрзање хватања пакета. Хардверско убрзање је тренутно ограничено на Нетрономе мрежне адаптере, али ће се ускоро појавити и за другу опрему;
Преписан код за хватање саобраћаја користећи Нетмап фрамеворк. Додата је могућност коришћења напредних Нетмап функција као што је виртуелни прекидач Вале;
Додато подршка за нову шему дефиниције кључних речи за Стицки Буфферс. Нова шема је дефинисана у формату протоцол.буффер, на пример, за интроспекцију УРИ-ја, кључна реч би била „хттп.ури“ уместо „хттп_ури“;
Сав коришћен Питхон код је тестиран на компатибилност са
Питхон 3;
Подршка за Тилера архитектуру, текстуални дневник днс.лог и стари дневник филес-јсон.лог је укинут.
Карактеристике Сурицате:
Коришћење обједињеног формата за приказ резултата провере унифиед2, који такође користи пројекат Снорт, омогућавајући коришћење стандардних алата за анализу као нпр барниард2. Могућност интеграције са БАСЕ, Снорби, Сгуил и СКуеРТ производима. Подршка за излаз у ПЦАП формату;
Подршка за аутоматско откривање протокола (ИП, ТЦП, УДП, ИЦМП, ХТТП, ТЛС, ФТП, СМБ, итд.), што вам омогућава да радите у правилима само према типу протокола, без позивања на број порта (нпр. , да блокира ХТТП саобраћај на нестандардном порту). Декодери за ХТТП, ССЛ, ТЛС, СМБ, СМБ2, ДЦЕРПЦ, СМТП, ФТП и ССХ протоколе;
Моћан ХТТП систем за анализу саобраћаја који користи специјалну ХТП библиотеку коју је креирао аутор пројекта Мод_Сецурити да анализира и нормализује ХТТП саобраћај. Доступан је модул за одржавање детаљног дневника транзитних ХТТП трансфера, дневник се чува у стандардном формату
Апацхе. Подржано је издвајање и верификација датотека пренетих преко ХТТП протокола. Подршка за рашчлањивање компримованог садржаја. Могућност идентификације по УРИ-ју, колачићу, заглављима, корисничком агенту, телу захтева/одговора;
Подршка за различите интерфејсе за пресретање саобраћаја, укључујући НФКуеуе, ИПФРинг, ЛибПцап, ИПФВ, АФ_ПАЦКЕТ, ПФ_РИНГ. Могуће је анализирати већ сачуване датотеке у ПЦАП формату;
Високе перформансе, могућност обраде токова до 10 гигабита у секунди на конвенционалној опреми.
Механизам за усклађивање маски високих перформанси са великим скуповима ИП адреса. Подршка за избор садржаја по маски и регуларним изразима. Одвајање датотека од саобраћаја, укључујући њихову идентификацију по имену, типу или МД5 контролној суми.
Могућност коришћења променљивих у правилима: можете сачувати информације из стрима и касније их користити у другим правилима;
Коришћење ИАМЛ формата у конфигурационим датотекама, што вам омогућава да одржите видљивост уз лаку машинску обраду;
Потпуна подршка за ИПв6;
Уграђени мотор за аутоматску дефрагментацију и поновно састављање пакета, који омогућава да се обезбеди исправна обрада токова, без обзира на редослед којим пакети стижу;
Подршка за протоколе тунелирања: Тередо, ИП-ИП, ИП6-ИП4, ИП4-ИП6, ГРЕ;
Режим евидентирања за кључеве и сертификате који се појављују унутар ТЛС/ССЛ веза;
Могућност писања Луа скрипти за пружање напредне анализе и имплементацију додатних функција потребних за идентификацију типова саобраћаја за које стандардна правила нису довољна.