โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > รุ่นเบต้าสุดท้ายของระบบตรวจจับการบุกรุก Snort 3

รุ่นเบต้าสุดท้ายของระบบตรวจจับการบุกรุก Snort 3

บริษัทซิสโก้ นำเสนอ финальную бета-версию полностью переработанной системы предотвращения атак สนอร์ท 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.

В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

มีการนำนวัตกรรมที่สำคัญดังต่อไปนี้ไปใช้:

  • มีการเปลี่ยนไปใช้ระบบการกำหนดค่าใหม่ซึ่งมีไวยากรณ์ที่เรียบง่ายและอนุญาตให้ใช้สคริปต์เพื่อสร้างการตั้งค่าแบบไดนามิก LuaJIT ใช้เพื่อประมวลผลไฟล์การกำหนดค่า ปลั๊กอินที่ใช้ LuaJIT นั้นมาพร้อมกับตัวเลือกเพิ่มเติมสำหรับกฎและระบบการบันทึก
  • กลไกการตรวจจับการโจมตีได้รับการปรับปรุงให้ทันสมัย ​​กฎได้รับการอัปเดต และเพิ่มความสามารถในการผูกบัฟเฟอร์ในกฎ (บัฟเฟอร์เหนียว) มีการใช้เครื่องมือค้นหา Hyperscan ซึ่งทำให้สามารถใช้รูปแบบที่ทริกเกอร์ได้รวดเร็วและแม่นยำยิ่งขึ้นโดยอิงจากนิพจน์ทั่วไปในกฎ
  • เพิ่มโหมดวิปัสสนาใหม่สำหรับ HTTP ที่คำนึงถึงสถานะเซสชันและครอบคลุม 99% ของสถานการณ์ที่ชุดทดสอบรองรับ HTTP เอเวเดอร์. В разработке находится код для поддержки HTTP/2;
  • ประสิทธิภาพของโหมดการตรวจสอบแพ็คเก็ตเชิงลึกได้รับการปรับปรุงอย่างมีนัยสำคัญ เพิ่มความสามารถในการประมวลผลแพ็กเก็ตแบบมัลติเธรด ช่วยให้สามารถดำเนินการหลายเธรดพร้อมกันด้วยตัวประมวลผลแพ็กเก็ต และให้ความสามารถในการปรับขนาดเชิงเส้นขึ้นอยู่กับจำนวนแกน CPU
  • มีการปรับใช้ที่เก็บข้อมูลการกำหนดค่าและตารางคุณลักษณะทั่วไป ซึ่งใช้ร่วมกันระหว่างระบบย่อยที่แตกต่างกัน ซึ่งลดการใช้หน่วยความจำลงอย่างมากโดยกำจัดความซ้ำซ้อนของข้อมูล
  • ระบบบันทึกเหตุการณ์ใหม่โดยใช้รูปแบบ JSON และรวมเข้ากับแพลตฟอร์มภายนอก เช่น Elastic Stack ได้อย่างง่ายดาย
  • การเปลี่ยนไปใช้สถาปัตยกรรมแบบโมดูลาร์ ความสามารถในการขยายฟังก์ชันการทำงานผ่านการเชื่อมต่อปลั๊กอิน และการนำระบบย่อยที่สำคัญไปใช้ในรูปแบบของปลั๊กอินที่เปลี่ยนได้ ปัจจุบันมีการติดตั้งปลั๊กอินหลายร้อยรายการสำหรับ Snort 3 ซึ่งครอบคลุมการใช้งานด้านต่างๆ เช่น ช่วยให้คุณสามารถเพิ่มตัวแปลงสัญญาณ โหมดวิปัสสนา วิธีการบันทึก การกระทำ และตัวเลือกต่างๆ ในกฎ
  • การตรวจจับบริการที่ทำงานอยู่โดยอัตโนมัติ ไม่จำเป็นต้องระบุพอร์ตเครือข่ายที่ใช้งานอยู่ด้วยตนเอง

Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:

  • Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
  • รหัสนี้ให้ความสามารถในการใช้โครงสร้าง C++ ที่กำหนดไว้ในมาตรฐาน C++14 (บิลด์ต้องใช้คอมไพเลอร์ที่รองรับ C++14)
  • เพิ่มตัวจัดการ VXLAN ใหม่
  • ปรับปรุงการค้นหาประเภทเนื้อหาตามเนื้อหาโดยใช้การใช้อัลกอริธึมทางเลือกที่อัปเดต บอยเยอร์-มัวร์ и ไฮเปอร์สแกน;
  • Практически доведена до полной готовности система инспектирования трафика HTTP/2;
  • การเริ่มต้นระบบจะเร่งความเร็วโดยใช้หลายเธรดเพื่อรวบรวมกลุ่มกฎ
  • เพิ่มกลไกการบันทึกใหม่
  • Улучшено определение ошибок Lua и оптимизирована работа белых списков;
  • Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
  • Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
  • Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.

ที่มา: opennet.ru

เพิ่มความคิดเห็น