เปิดตัวระบบตรวจจับการบุกรุก Suricata 6.0

หลังจากหนึ่งปีของการพัฒนาองค์กร OISF (Open Information Security Foundation) การตีพิมพ์ การเปิดตัวระบบตรวจจับและป้องกันการบุกรุกเครือข่าย เมียร์แคท 6.0ซึ่งมีเครื่องมือสำหรับตรวจสอบการรับส่งข้อมูลประเภทต่างๆ ในการกำหนดค่า Suricata สามารถใช้งานได้ ฐานข้อมูลลายเซ็นพัฒนาโดยโครงการ Snort รวมถึงชุดกฎเกณฑ์ ภัยคุกคามที่กำลังเกิดขึ้น и ภัยคุกคามที่เกิดขึ้นใหม่ Pro. แหล่งที่มาของโครงการ การแพร่กระจาย ได้รับอนุญาตภายใต้ GPLv2

การเปลี่ยนแปลงที่สำคัญ:

  • การสนับสนุนเบื้องต้นสำหรับ HTTP/2
  • รองรับโปรโตคอล RFB และ MQTT รวมถึงความสามารถในการกำหนดโปรโตคอลและรักษาบันทึก
  • ความเป็นไปได้ของการบันทึกสำหรับโปรโตคอล DCERPC
  • การปรับปรุงประสิทธิภาพการบันทึกผ่านระบบย่อย EVE อย่างมีนัยสำคัญ ซึ่งให้เอาต์พุตเหตุการณ์ในรูปแบบ JSON การเร่งความเร็วเกิดขึ้นได้สำเร็จด้วยการใช้ตัวสร้างสต็อก JSON ใหม่ที่เขียนด้วยภาษา Rust
  • ความสามารถในการปรับขนาดของระบบบันทึก EVE ได้รับการเพิ่มขึ้น และมีการใช้ความสามารถในการรักษาไฟล์บันทึกแยกต่างหากสำหรับแต่ละเธรด
  • ความสามารถในการกำหนดเงื่อนไขในการรีเซ็ตข้อมูลลงในบันทึก
  • ความสามารถในการแสดงที่อยู่ MAC ในบันทึก EVE และเพิ่มรายละเอียดของบันทึก DNS
  • ปรับปรุงสมรรถนะของเครื่องยนต์ไหล
  • รองรับการระบุการใช้งาน SSH (ฮัสช).
  • การใช้งานตัวถอดรหัสอุโมงค์ GENEVE
  • รหัสสำหรับการประมวลผลได้รับการเขียนใหม่ในภาษา Rust ASN.1, DCERPC และ SSH Rust ยังรองรับโปรโตคอลใหม่อีกด้วย
  • ในภาษาคำจำกัดความของกฎ มีการเพิ่มการสนับสนุนสำหรับพารามิเตอร์ from_end ไปยังคำสำคัญ byte_jump และเพิ่มการสนับสนุนสำหรับพารามิเตอร์ bitmask ใน byte_test ใช้คีย์เวิร์ด pcrexform เพื่ออนุญาตให้ใช้นิพจน์ทั่วไป (pcre) เพื่อจับสตริงย่อย เพิ่มการแปลง urldecode เพิ่มคำหลัก byte_math
  • จัดเตรียมความสามารถในการใช้ cbindgen เพื่อสร้างการเชื่อมโยงในภาษา Rust และ C
  • เพิ่มการสนับสนุนปลั๊กอินเริ่มต้น

คุณสมบัติของ Suricata:

  • การใช้รูปแบบรวมเพื่อแสดงผลการสแกน แบบครบวงจร2ซึ่งใช้โดยโครงการ Snort ซึ่งอนุญาตให้ใช้เครื่องมือวิเคราะห์มาตรฐานเช่น โรงนา2. ความเป็นไปได้ของการรวมเข้ากับผลิตภัณฑ์ BASE, Snorby, Sguil และ SQueRT รองรับเอาต์พุต PCAP;
  • รองรับการตรวจจับโปรโตคอลอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ฯลฯ ) ช่วยให้คุณทำงานในกฎตามประเภทโปรโตคอลเท่านั้น โดยไม่ต้องอ้างอิงถึงหมายเลขพอร์ต (เช่น บล็อก HTTP การรับส่งข้อมูลบนพอร์ตที่ไม่ได้มาตรฐาน) ความพร้อมใช้งานของตัวถอดรหัสสำหรับโปรโตคอล HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP และ SSH;
  • ระบบวิเคราะห์การรับส่งข้อมูล HTTP ที่ทรงพลังซึ่งใช้ไลบรารี HTP พิเศษที่สร้างโดยผู้เขียนโครงการ Mod_Security เพื่อแยกวิเคราะห์และทำให้การรับส่งข้อมูล HTTP เป็นมาตรฐาน โมดูลพร้อมใช้งานสำหรับการรักษาบันทึกโดยละเอียดของการถ่ายโอน HTTP การขนส่งสาธารณะ บันทึกจะถูกบันทึกในรูปแบบมาตรฐาน
    อาปาเช่. รองรับการดึงและตรวจสอบไฟล์ที่ส่งผ่าน HTTP รองรับการแยกวิเคราะห์เนื้อหาที่บีบอัด ความสามารถในการระบุโดย URI, คุกกี้, ส่วนหัว, ตัวแทนผู้ใช้, เนื้อหาคำขอ/การตอบกลับ;
  • รองรับอินเทอร์เฟซต่างๆ สำหรับการสกัดกั้นการรับส่งข้อมูล รวมถึง NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING สามารถวิเคราะห์ไฟล์ที่บันทึกไว้แล้วในรูปแบบ PCAP ได้
  • ประสิทธิภาพสูง ความสามารถในการประมวลผลไหลสูงสุด 10 กิกะบิตต่อวินาทีบนอุปกรณ์ทั่วไป
  • กลไกการจับคู่มาสก์ประสิทธิภาพสูงสำหรับชุดที่อยู่ IP จำนวนมาก รองรับการเลือกเนื้อหาตามมาสก์และนิพจน์ทั่วไป การแยกไฟล์ออกจากการรับส่งข้อมูล รวมถึงการระบุไฟล์ตามชื่อ ประเภท หรือผลรวมตรวจสอบ MD5
  • ความสามารถในการใช้ตัวแปรในกฎ: คุณสามารถบันทึกข้อมูลจากสตรีมแล้วนำไปใช้ในกฎอื่นในภายหลังได้
  • การใช้รูปแบบ YAML ในไฟล์การกำหนดค่า ซึ่งช่วยให้คุณรักษาความชัดเจนในขณะที่ง่ายต่อการประมวลผล
  • รองรับ IPv6 เต็มรูปแบบ;
  • เอ็นจิ้นในตัวสำหรับการจัดเรียงข้อมูลอัตโนมัติและการประกอบแพ็กเก็ตใหม่ ช่วยให้สามารถประมวลผลสตรีมได้อย่างถูกต้อง โดยไม่คำนึงถึงลำดับที่แพ็กเก็ตมาถึง
  • รองรับโปรโตคอลการขุดอุโมงค์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • รองรับการถอดรหัสแพ็คเก็ต: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, อีเธอร์เน็ต, PPP, PPPoE, Raw, SLL, VLAN;
  • โหมดสำหรับคีย์การบันทึกและใบรับรองที่ปรากฏภายในการเชื่อมต่อ TLS/SSL
  • ความสามารถในการเขียนสคริปต์ใน Lua เพื่อให้การวิเคราะห์ขั้นสูงและใช้ความสามารถเพิ่มเติมที่จำเป็นในการระบุประเภทของการรับส่งข้อมูลที่กฎมาตรฐานไม่เพียงพอ

ที่มา: opennet.ru

ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster