ПроХостер > блог > интернет вести > Издавање Сурицата 6.0 система за откривање упада

Издавање Сурицата 6.0 система за откривање упада

Након годину дана развоја, организација ОИСФ (Опен Информатион Сецурити Фоундатион). опубликовала ослобађање система за откривање и превенцију упада у мрежу Мееркат 6.0, који обезбеђује средство за преглед различитих видова саобраћаја. У Сурицата конфигурацијама, дозвољена је употреба основе потписа, који је развио пројекат Снорт, као и скупове правила Емергинг Тхреатс и Емергинг Тхреатс Про. Изворни код пројекта ширење лиценциран под ГПЛв2.

Главне промене:

  • Почетна подршка за ХТТП/2.
  • Подршка за РФБ и МКТТ протоколе, укључујући могућност дефинисања протокола и одржавања евиденције.
  • Могућност логовања за ДЦЕРПЦ протокол.
  • Значајно побољшање перформанси евидентирања кроз ЕВЕ подсистем, који обезбеђује излаз догађаја у ЈСОН формату. Убрзање је постигнуто захваљујући коришћењу новог ЈСОН градитеља залиха написаног на Руст језику.
  • Повећана је скалабилност ЕВЕ лог система и имплементирана је могућност одржавања засебне датотеке евиденције за сваку нит.
  • Могућност дефинисања услова за ресетовање информација у дневник.
  • Могућност одражавања МАЦ адреса у ЕВЕ дневнику и повећање детаља ДНС дневника.
  • Побољшање перформанси проточног мотора.
  • Подршка за идентификацију ССХ имплементација (ХАССХ).
  • Имплементација тунелског декодера ГЕНЕВЕ.
  • Код за обраду је преписан на Руст језику АСН.1, ДЦЕРПЦ и ССХ. Руст такође подржава нове протоколе.
  • У језику дефиниције правила, подршка за параметар фром_енд је додата кључној речи бите_јумп, а подршка за параметар битмаск је додата у бите_тест. Примењена кључна реч пцрекформ да би се омогућило коришћење регуларних израза (пцре) за хватање подниза. Додата конверзија урлдекода. Додата кључна реч бите_матх.
  • Пружа могућност коришћења цбиндген-а за генерисање веза у Руст и Ц језицима.
  • Додата подршка за почетне додатке.

Карактеристике Сурицате:

  • Коришћење обједињеног формата за приказ резултата провере унифиед2, који такође користи пројекат Снорт, омогућавајући коришћење стандардних алата за анализу као нпр барниард2. Могућност интеграције са БАСЕ, Снорби, Сгуил и СКуеРТ производима. Подршка за излаз у ПЦАП формату;
  • Подршка за аутоматско откривање протокола (ИП, ТЦП, УДП, ИЦМП, ХТТП, ТЛС, ФТП, СМБ, итд.), што вам омогућава да радите у правилима само према типу протокола, без позивања на број порта (нпр. , да блокира ХТТП саобраћај на нестандардном порту). Декодери за ХТТП, ССЛ, ТЛС, СМБ, СМБ2, ДЦЕРПЦ, СМТП, ФТП и ССХ протоколе;
  • Моћан ХТТП систем за анализу саобраћаја који користи специјалну ХТП библиотеку коју је креирао аутор пројекта Мод_Сецурити да анализира и нормализује ХТТП саобраћај. Доступан је модул за одржавање детаљног дневника транзитних ХТТП трансфера, дневник се чува у стандардном формату
    Апацхе. Подржано је издвајање и верификација датотека пренетих преко ХТТП протокола. Подршка за рашчлањивање компримованог садржаја. Могућност идентификације по УРИ-ју, колачићу, заглављима, корисничком агенту, телу захтева/одговора;

  • Подршка за различите интерфејсе за пресретање саобраћаја, укључујући НФКуеуе, ИПФРинг, ЛибПцап, ИПФВ, АФ_ПАЦКЕТ, ПФ_РИНГ. Могуће је анализирати већ сачуване датотеке у ПЦАП формату;
  • Високе перформансе, могућност обраде токова до 10 гигабита у секунди на конвенционалној опреми.
  • Механизам за усклађивање маски високих перформанси са великим скуповима ИП адреса. Подршка за избор садржаја по маски и регуларним изразима. Одвајање датотека од саобраћаја, укључујући њихову идентификацију по имену, типу или МД5 контролној суми.
  • Могућност коришћења променљивих у правилима: можете сачувати информације из стрима и касније их користити у другим правилима;
  • Коришћење ИАМЛ формата у конфигурационим датотекама, што вам омогућава да одржите видљивост уз лаку машинску обраду;
  • Потпуна подршка за ИПв6;
  • Уграђени мотор за аутоматску дефрагментацију и поновно састављање пакета, који омогућава да се обезбеди исправна обрада токова, без обзира на редослед којим пакети стижу;
  • Подршка за протоколе тунелирања: Тередо, ИП-ИП, ИП6-ИП4, ИП4-ИП6, ГРЕ;
  • Подршка за декодирање пакета: ИПв4, ИПв6, ТЦП, УДП, СЦТП, ИЦМПв4, ИЦМПв6, ГРЕ, Етхернет, ППП, ПППоЕ, Рав, СЛЛ, ВЛАН;
  • Режим евидентирања за кључеве и сертификате који се појављују унутар ТЛС/ССЛ веза;
  • Могућност писања Луа скрипти за пружање напредне анализе и имплементацију додатних функција потребних за идентификацију типова саобраћаја за које стандардна правила нису довољна.

Извор: опеннет.ру

Додај коментар