โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มีระบบตรวจจับการโจมตี Suricata 5.0

มีระบบตรวจจับการโจมตี Suricata 5.0

องค์กร OISF (มูลนิธิความมั่นคงปลอดภัยสารสนเทศแบบเปิด) การตีพิมพ์ การเปิดตัวระบบตรวจจับและป้องกันการบุกรุกเครือข่าย เมียร์แคท 5.0ซึ่งมีเครื่องมือสำหรับตรวจสอบการรับส่งข้อมูลประเภทต่างๆ ในการกำหนดค่า Suricata สามารถใช้งานได้ ฐานข้อมูลลายเซ็นพัฒนาโดยโครงการ Snort รวมถึงชุดกฎเกณฑ์ ภัยคุกคามที่กำลังเกิดขึ้น и ภัยคุกคามที่เกิดขึ้นใหม่ Pro. แหล่งที่มาของโครงการ การแพร่กระจาย ได้รับอนุญาตภายใต้ GPLv2

การเปลี่ยนแปลงที่สำคัญ:

  • มีการแนะนำโมดูลใหม่สำหรับการแยกวิเคราะห์และโปรโตคอลการบันทึก
    RDP, SNMP และ SIP เขียนด้วยภาษา Rust โมดูลการแยกวิเคราะห์ FTP ขณะนี้มีความสามารถในการบันทึกผ่านระบบย่อย EVE ซึ่งจัดเตรียมเอาต์พุตเหตุการณ์ในรูปแบบ JSON

  • นอกเหนือจากการรองรับวิธีการระบุไคลเอ็นต์ JA3 TLS ที่ปรากฏในรีลีสล่าสุดแล้ว ยังรองรับวิธีการดังกล่าวอีกด้วย JA3S, อนุญาต ขึ้นอยู่กับลักษณะของการเจรจาการเชื่อมต่อและพารามิเตอร์ที่ระบุ ให้พิจารณาว่าซอฟต์แวร์ใดใช้เพื่อสร้างการเชื่อมต่อ (เช่น ซอฟต์แวร์ช่วยให้คุณสามารถกำหนดการใช้ Tor และแอปพลิเคชันมาตรฐานอื่นๆ) JA3 อนุญาตให้คุณกำหนดไคลเอนต์ และ JA3S ให้คุณกำหนดเซิร์ฟเวอร์ ผลลัพธ์ของการพิจารณาสามารถใช้ในภาษาการตั้งค่ากฎและในบันทึก
  • เพิ่มความสามารถในการทดลองเพื่อจับคู่ตัวอย่างจากชุดข้อมูลขนาดใหญ่ นำไปใช้งานโดยใช้การดำเนินการใหม่ ชุดข้อมูลและ datarep. ตัวอย่างเช่น คุณลักษณะนี้ใช้กับการค้นหามาสก์ในบัญชีดำขนาดใหญ่ที่มีรายการนับล้านรายการ
  • โหมดการตรวจสอบ HTTP ให้ความครอบคลุมทุกสถานการณ์ที่อธิบายไว้ในชุดทดสอบโดยสมบูรณ์ HTTP เอเวเดอร์ (เช่น ครอบคลุมถึงเทคนิคที่ใช้ในการซ่อนกิจกรรมที่เป็นอันตรายในการจราจร)
  • เครื่องมือสำหรับการพัฒนาโมดูลในภาษา Rust ได้ถูกถ่ายโอนจากตัวเลือกไปยังความสามารถมาตรฐานบังคับ ในอนาคตมีการวางแผนที่จะขยายการใช้ Rust ในฐานรหัสโครงการและค่อยๆ แทนที่โมดูลด้วยแอนะล็อกที่พัฒนาใน Rust
  • กลไกการกำหนดโปรโตคอลได้รับการปรับปรุงเพื่อปรับปรุงความแม่นยำและจัดการกับกระแสการรับส่งข้อมูลแบบอะซิงโครนัส
  • มีการเพิ่มการรองรับรายการประเภท "ความผิดปกติ" ใหม่ลงในบันทึก EVE ซึ่งจัดเก็บเหตุการณ์ผิดปกติที่ตรวจพบเมื่อถอดรหัสแพ็กเก็ต EVE ยังได้ขยายการแสดงข้อมูลเกี่ยวกับ VLAN และอินเทอร์เฟซการรับส่งข้อมูล เพิ่มตัวเลือกในการบันทึกส่วนหัว HTTP ทั้งหมดในรายการบันทึก EVE http;
  • ตัวจัดการที่ใช้ eBPF ให้การสนับสนุนกลไกฮาร์ดแวร์เพื่อเร่งการจับแพ็กเก็ต ปัจจุบันการเร่งด้วยฮาร์ดแวร์จำกัดอยู่เฉพาะกับอะแดปเตอร์เครือข่าย Netronome แต่จะพร้อมใช้งานสำหรับอุปกรณ์อื่นๆ ในเร็วๆ นี้
  • รหัสสำหรับการรับส่งข้อมูลโดยใช้กรอบงาน Netmap ได้รับการเขียนใหม่ เพิ่มความสามารถในการใช้คุณสมบัติ Netmap ขั้นสูง เช่น สวิตช์เสมือน VALE;
  • เพิ่ม รองรับรูปแบบคำจำกัดความคำหลักใหม่สำหรับ Sticky Buffers รูปแบบใหม่ถูกกำหนดในรูปแบบ "protocol.buffer" ตัวอย่างเช่น สำหรับการตรวจสอบ URI คำหลักจะอยู่ในรูปแบบ "http.uri" แทนที่จะเป็น "http_uri"
  • รหัส Python ทั้งหมดที่ใช้ได้รับการทดสอบความเข้ากันได้กับ
    ไพธอน 3;

  • การสนับสนุนสถาปัตยกรรม Tilera, บันทึกข้อความ dns.log และไฟล์บันทึกเก่า-json.log ถูกยกเลิกแล้ว

คุณสมบัติของ Suricata:

  • การใช้รูปแบบรวมเพื่อแสดงผลการสแกน แบบครบวงจร2ซึ่งใช้โดยโครงการ Snort ซึ่งอนุญาตให้ใช้เครื่องมือวิเคราะห์มาตรฐานเช่น โรงนา2. ความเป็นไปได้ของการรวมเข้ากับผลิตภัณฑ์ BASE, Snorby, Sguil และ SQueRT รองรับเอาต์พุต PCAP;
  • รองรับการตรวจจับโปรโตคอลอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ฯลฯ ) ช่วยให้คุณทำงานในกฎตามประเภทโปรโตคอลเท่านั้น โดยไม่ต้องอ้างอิงถึงหมายเลขพอร์ต (เช่น บล็อก HTTP การรับส่งข้อมูลบนพอร์ตที่ไม่ได้มาตรฐาน) ความพร้อมใช้งานของตัวถอดรหัสสำหรับโปรโตคอล HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP และ SSH;
  • ระบบวิเคราะห์การรับส่งข้อมูล HTTP ที่ทรงพลังซึ่งใช้ไลบรารี HTP พิเศษที่สร้างโดยผู้เขียนโครงการ Mod_Security เพื่อแยกวิเคราะห์และทำให้การรับส่งข้อมูล HTTP เป็นมาตรฐาน โมดูลพร้อมใช้งานสำหรับการรักษาบันทึกโดยละเอียดของการถ่ายโอน HTTP การขนส่งสาธารณะ บันทึกจะถูกบันทึกในรูปแบบมาตรฐาน
    อาปาเช่. รองรับการดึงและตรวจสอบไฟล์ที่ส่งผ่าน HTTP รองรับการแยกวิเคราะห์เนื้อหาที่บีบอัด ความสามารถในการระบุโดย URI, คุกกี้, ส่วนหัว, ตัวแทนผู้ใช้, เนื้อหาคำขอ/การตอบกลับ;

  • รองรับอินเทอร์เฟซต่างๆ สำหรับการสกัดกั้นการรับส่งข้อมูล รวมถึง NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING สามารถวิเคราะห์ไฟล์ที่บันทึกไว้แล้วในรูปแบบ PCAP ได้
  • ประสิทธิภาพสูง ความสามารถในการประมวลผลไหลสูงสุด 10 กิกะบิตต่อวินาทีบนอุปกรณ์ทั่วไป
  • กลไกการจับคู่มาสก์ประสิทธิภาพสูงสำหรับชุดที่อยู่ IP จำนวนมาก รองรับการเลือกเนื้อหาตามมาสก์และนิพจน์ทั่วไป การแยกไฟล์ออกจากการรับส่งข้อมูล รวมถึงการระบุไฟล์ตามชื่อ ประเภท หรือผลรวมตรวจสอบ MD5
  • ความสามารถในการใช้ตัวแปรในกฎ: คุณสามารถบันทึกข้อมูลจากสตรีมแล้วนำไปใช้ในกฎอื่นในภายหลังได้
  • การใช้รูปแบบ YAML ในไฟล์การกำหนดค่า ซึ่งช่วยให้คุณรักษาความชัดเจนในขณะที่ง่ายต่อการประมวลผล
  • รองรับ IPv6 เต็มรูปแบบ;
  • เอ็นจิ้นในตัวสำหรับการจัดเรียงข้อมูลอัตโนมัติและการประกอบแพ็กเก็ตใหม่ ช่วยให้สามารถประมวลผลสตรีมได้อย่างถูกต้อง โดยไม่คำนึงถึงลำดับที่แพ็กเก็ตมาถึง
  • รองรับโปรโตคอลการขุดอุโมงค์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • รองรับการถอดรหัสแพ็คเก็ต: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, อีเธอร์เน็ต, PPP, PPPoE, Raw, SLL, VLAN;
  • โหมดสำหรับคีย์การบันทึกและใบรับรองที่ปรากฏภายในการเชื่อมต่อ TLS/SSL
  • ความสามารถในการเขียนสคริปต์ใน Lua เพื่อให้การวิเคราะห์ขั้นสูงและใช้ความสามารถเพิ่มเติมที่จำเป็นในการระบุประเภทของการรับส่งข้อมูลที่กฎมาตรฐานไม่เพียงพอ

    • ที่มา: opennet.ru

เพิ่มความคิดเห็น