அமைப்பு OISF (திறந்த தகவல் பாதுகாப்பு அறக்கட்டளை) நெட்வொர்க் ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்பின் வெளியீடு , இது பல்வேறு வகையான போக்குவரத்தை ஆய்வு செய்வதற்கான வழிமுறையை வழங்குகிறது. Suricata கட்டமைப்புகளில், அதை பயன்படுத்த அனுமதிக்கப்படுகிறது , Snort திட்டத்தால் உருவாக்கப்பட்டது, அத்துடன் விதிகளின் தொகுப்புகள் и . திட்ட மூல குறியீடு GPLv2 இன் கீழ் உரிமம் பெற்றது.
முக்கிய மாற்றங்கள்:
- நெறிமுறைகளுக்கான புதிய பாகுபடுத்துதல் மற்றும் பதிவு தொகுதிகள் அறிமுகப்படுத்தப்பட்டது
ரஸ்டில் எழுதப்பட்ட RDP, SNMP மற்றும் SIP. JSON வடிவத்தில் நிகழ்வுகளின் வெளியீட்டை வழங்கும் EVE துணை அமைப்பு வழியாக உள்நுழையும் திறன் FTP பாகுபடுத்தும் தொகுதியில் சேர்க்கப்பட்டுள்ளது; - முந்தைய வெளியீட்டில் அறிமுகப்படுத்தப்பட்ட JA3 TLS கிளையன்ட் அங்கீகார முறைக்கான ஆதரவுடன் கூடுதலாக, முறைக்கான ஆதரவு , இணைப்பு பேச்சுவார்த்தையின் பிரத்தியேகங்கள் மற்றும் குறிப்பிட்ட அளவுருக்கள் ஆகியவற்றின் அடிப்படையில், ஒரு இணைப்பை நிறுவ எந்த மென்பொருள் பயன்படுத்தப்படுகிறது என்பதைத் தீர்மானிக்கவும் (உதாரணமாக, இது Tor மற்றும் பிற பொதுவான பயன்பாடுகளின் பயன்பாட்டைத் தீர்மானிக்க உங்களை அனுமதிக்கிறது). JA3 கிளையண்டுகளை வரையறுக்க உதவுகிறது, மற்றும் JA3S - சர்வர்கள். தீர்மானத்தின் முடிவுகளை விதி அமைக்கும் மொழியிலும் பதிவுகளிலும் பயன்படுத்தலாம்;
- புதிய செயல்பாடுகளைப் பயன்படுத்தி செயல்படுத்தப்பட்ட பெரிய தரவுத்தொகுப்புகளின் மாதிரியுடன் பொருந்தக்கூடிய சோதனை திறன் சேர்க்கப்பட்டது . எடுத்துக்காட்டாக, மில்லியன் கணக்கான உள்ளீடுகளைக் கொண்ட பெரிய தடுப்புப்பட்டியலில் முகமூடிகளைத் தேடுவதற்கு இந்த அம்சம் பொருந்தும்;
- HTTP ஆய்வுப் பயன்முறையானது சோதனைத் தொகுப்பில் விவரிக்கப்பட்டுள்ள அனைத்து சூழ்நிலைகளின் முழுப் பாதுகாப்பையும் வழங்குகிறது (எடுத்துக்காட்டாக, போக்குவரத்தில் தீங்கிழைக்கும் செயல்பாட்டை மறைக்கப் பயன்படுத்தப்படும் நுட்பங்களை உள்ளடக்கியது);
- ரஸ்ட் தொகுதி மேம்பாட்டு கருவிகள் விருப்பங்களிலிருந்து தேவையான நிலையான அம்சங்களுக்கு நகர்த்தப்பட்டுள்ளன. எதிர்காலத்தில், திட்டத்தின் குறியீடு தளத்தில் ரஸ்டின் பயன்பாட்டை விரிவுபடுத்தவும், ரஸ்டில் உருவாக்கப்பட்ட ஒப்புமைகளுடன் தொகுதிகளை படிப்படியாக மாற்றவும் திட்டமிடப்பட்டுள்ளது;
- நெறிமுறை கண்டறிதல் இயந்திரம் துல்லியம் மற்றும் ஒத்திசைவற்ற போக்குவரத்து ஓட்டங்களைக் கையாளுதல் ஆகியவற்றின் அடிப்படையில் மேம்படுத்தப்பட்டுள்ளது;
- EVE பதிவில் புதிய பதிவு வகை "அனோமலி"க்கான ஆதரவு சேர்க்கப்பட்டுள்ளது, இது பாக்கெட்டுகள் டிகோட் செய்யப்படும் போது கண்டறியப்படும் வித்தியாசமான நிகழ்வுகளை சேமிக்கிறது. VLANகள் மற்றும் போக்குவரத்து பிடிப்பு இடைமுகங்கள் பற்றிய தகவல்களின் காட்சியை EVE விரிவுபடுத்தியது. EVE பதிவு http உள்ளீடுகளில் அனைத்து HTTP தலைப்புகளையும் சேமிக்க விருப்பம் சேர்க்கப்பட்டது;
- eBPF-அடிப்படையிலான கையாளுபவர்கள் பாக்கெட் பிடிப்பை துரிதப்படுத்துவதற்கான வன்பொருள் வழிமுறைகளுக்கு ஆதரவை வழங்குகிறார்கள். வன்பொருள் முடுக்கம் தற்போது Netronome நெட்வொர்க் அடாப்டர்களுக்கு மட்டுமே உள்ளது, ஆனால் விரைவில் மற்ற சாதனங்களுக்கு தோன்றும்;
- நெட்மேப் கட்டமைப்பைப் பயன்படுத்தி ட்ராஃபிக்கைப் பிடிக்க மீண்டும் எழுதப்பட்ட குறியீடு. மெய்நிகர் சுவிட்ச் போன்ற மேம்பட்ட Netmap அம்சங்களைப் பயன்படுத்தும் திறன் சேர்க்கப்பட்டது ;
- ஸ்டிக்கி பஃபர்களுக்கான புதிய முக்கிய வரையறை திட்டத்திற்கான ஆதரவு. புதிய திட்டம் protocol.buffer வடிவத்தில் வரையறுக்கப்பட்டுள்ளது, எடுத்துக்காட்டாக, URI ஐ சுயபரிசோதனை செய்ய, முக்கிய வார்த்தை "http_uri" என்பதற்கு பதிலாக "http.uri" ஆக இருக்கும்;
- பயன்படுத்தப்படும் அனைத்து பைதான் குறியீடும் இணக்கத்தன்மைக்காக சோதிக்கப்பட்டது
பைதான் 3; - Tilera கட்டமைப்பு, dns.log உரை பதிவு மற்றும் பழைய கோப்புகள்-json.log பதிவுக்கான ஆதரவு நிறுத்தப்பட்டது.
சூரிகாட்டாவின் அம்சங்கள்:
- சரிபார்ப்பு முடிவுகளைக் காட்ட ஒரு ஒருங்கிணைந்த வடிவமைப்பைப் பயன்படுத்துதல் , Snort திட்டத்தால் பயன்படுத்தப்படுகிறது, இது போன்ற நிலையான பகுப்பாய்வு கருவிகளைப் பயன்படுத்த அனுமதிக்கிறது . BASE, Snorby, Sguil மற்றும் SQueRT தயாரிப்புகளுடன் ஒருங்கிணைக்கும் திறன். PCAP வடிவத்தில் வெளியீட்டிற்கான ஆதரவு;
- நெறிமுறைகளை (ஐபி, டிசிபி, யுடிபி, ஐசிஎம்பி, எச்டிடிபி, டிஎல்எஸ், எஃப்டிபி, எஸ்எம்பி, முதலியன) தானாகக் கண்டறிவதற்கான ஆதரவு, இது போர்ட் எண்ணைக் குறிப்பிடாமல், நெறிமுறை வகையால் மட்டுமே விதிகளில் செயல்பட உங்களை அனுமதிக்கிறது (எடுத்துக்காட்டாக , தரமற்ற போர்ட்டில் HTTP போக்குவரத்தைத் தடுக்க) . HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP மற்றும் SSH நெறிமுறைகளுக்கான குறிவிலக்கிகள்;
- HTTP ட்ராஃபிக்கை அலசவும் இயல்பாக்கவும் Mod_Security திட்டத்தின் ஆசிரியரால் உருவாக்கப்பட்ட சிறப்பு HTP நூலகத்தைப் பயன்படுத்தும் சக்திவாய்ந்த HTTP போக்குவரத்து பகுப்பாய்வு அமைப்பு. போக்குவரத்து HTTP இடமாற்றங்களின் விரிவான பதிவை பராமரிக்க ஒரு தொகுதி உள்ளது, பதிவு நிலையான வடிவத்தில் சேமிக்கப்படுகிறது
அப்பாச்சி. HTTP நெறிமுறை வழியாக மாற்றப்பட்ட கோப்புகளின் பிரித்தெடுத்தல் மற்றும் சரிபார்ப்பு ஆதரிக்கப்படுகிறது. சுருக்கப்பட்ட உள்ளடக்கத்தை பாகுபடுத்துவதற்கான ஆதரவு. URI, குக்கீ, தலைப்புகள், பயனர் முகவர், கோரிக்கை/பதில் அமைப்பு மூலம் அடையாளம் காணும் திறன்; - NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING உள்ளிட்ட ட்ராஃபிக்கை குறுக்கிடுவதற்கான பல்வேறு இடைமுகங்களுக்கான ஆதரவு. PCAP வடிவத்தில் ஏற்கனவே சேமிக்கப்பட்ட கோப்புகளை பகுப்பாய்வு செய்ய முடியும்;
- உயர் செயல்திறன், வழக்கமான உபகரணங்களில் 10 ஜிகாபிட் / நொடி வரை ஸ்ட்ரீம்களை செயலாக்கும் திறன்.
- ஐபி முகவரிகளின் பெரிய தொகுப்புகளுடன் கூடிய உயர் செயல்திறன் மாஸ்க் பொருத்தும் இயந்திரம். முகமூடி மற்றும் வழக்கமான வெளிப்பாடுகள் மூலம் உள்ளடக்கத்தைத் தேர்ந்தெடுப்பதற்கான ஆதரவு. பெயர், வகை அல்லது MD5 செக்சம் மூலம் அவற்றின் அடையாளம் உட்பட, டிராஃபிக்கிலிருந்து கோப்புகளைப் பிரித்தல்.
- விதிகளில் மாறிகளைப் பயன்படுத்துவதற்கான திறன்: நீங்கள் ஸ்ட்ரீமில் இருந்து தகவலைச் சேமித்து பின்னர் பிற விதிகளில் பயன்படுத்தலாம்;
- உள்ளமைவு கோப்புகளில் YAML வடிவமைப்பைப் பயன்படுத்துதல், இது இயந்திர செயலாக்கத்தில் எளிதாகத் தெரிவுநிலையைப் பராமரிக்க உங்களை அனுமதிக்கிறது;
- முழு IPv6 ஆதரவு;
- தானாக டிஃப்ராக்மென்டேஷன் மற்றும் பாக்கெட்டுகளை மீண்டும் இணைப்பதற்கான உள்ளமைக்கப்பட்ட இயந்திரம், இது பாக்கெட்டுகள் எந்த வரிசையில் வந்தாலும், ஸ்ட்ரீம்களின் சரியான செயலாக்கத்தை உறுதிப்படுத்த அனுமதிக்கிறது;
- சுரங்கப்பாதை நெறிமுறைகளுக்கான ஆதரவு: டெரிடோ, ஐபி-ஐபி, ஐபி6-ஐபி4, ஐபி4-ஐபி6, ஜிஆர்இ;
- பாக்கெட் டிகோடிங் ஆதரவு: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, ஈதர்நெட், PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL இணைப்புகளில் தோன்றும் விசைகள் மற்றும் சான்றிதழ்களுக்கான பதிவு முறை;
- மேம்பட்ட பகுப்பாய்வை வழங்க லுவா ஸ்கிரிப்ட்களை எழுதும் திறன் மற்றும் நிலையான விதிகள் போதுமானதாக இல்லாத போக்குவரத்து வகைகளை அடையாளம் காண தேவையான கூடுதல் அம்சங்களை செயல்படுத்துதல்.
ஆதாரம்: opennet.ru