หลังจากหนึ่งปีของการพัฒนาองค์กร OISF (Open Information Security Foundation) การเปิดตัวระบบตรวจจับและป้องกันการบุกรุกเครือข่าย ซึ่งมีเครื่องมือสำหรับตรวจสอบการรับส่งข้อมูลประเภทต่างๆ ในการกำหนดค่า Suricata สามารถใช้งานได้ พัฒนาโดยโครงการ Snort รวมถึงชุดกฎเกณฑ์ и . แหล่งที่มาของโครงการ ได้รับอนุญาตภายใต้ GPLv2
การเปลี่ยนแปลงที่สำคัญ:
- การสนับสนุนเบื้องต้นสำหรับ HTTP/2
- รองรับโปรโตคอล RFB และ MQTT รวมถึงความสามารถในการกำหนดโปรโตคอลและรักษาบันทึก
- ความเป็นไปได้ของการบันทึกสำหรับโปรโตคอล DCERPC
- การปรับปรุงประสิทธิภาพการบันทึกผ่านระบบย่อย EVE อย่างมีนัยสำคัญ ซึ่งให้เอาต์พุตเหตุการณ์ในรูปแบบ JSON การเร่งความเร็วเกิดขึ้นได้สำเร็จด้วยการใช้ตัวสร้างสต็อก JSON ใหม่ที่เขียนด้วยภาษา Rust
- ความสามารถในการปรับขนาดของระบบบันทึก EVE ได้รับการเพิ่มขึ้น และมีการใช้ความสามารถในการรักษาไฟล์บันทึกแยกต่างหากสำหรับแต่ละเธรด
- ความสามารถในการกำหนดเงื่อนไขในการรีเซ็ตข้อมูลลงในบันทึก
- ความสามารถในการแสดงที่อยู่ MAC ในบันทึก EVE และเพิ่มรายละเอียดของบันทึก DNS
- ปรับปรุงสมรรถนะของเครื่องยนต์ไหล
- รองรับการระบุการใช้งาน SSH ().
- การใช้งานตัวถอดรหัสอุโมงค์ GENEVE
- รหัสสำหรับการประมวลผลได้รับการเขียนใหม่ในภาษา Rust , DCERPC และ SSH Rust ยังรองรับโปรโตคอลใหม่อีกด้วย
- ในภาษาคำจำกัดความของกฎ มีการเพิ่มการสนับสนุนสำหรับพารามิเตอร์ from_end ไปยังคำสำคัญ byte_jump และเพิ่มการสนับสนุนสำหรับพารามิเตอร์ bitmask ใน byte_test ใช้คีย์เวิร์ด pcrexform เพื่ออนุญาตให้ใช้นิพจน์ทั่วไป (pcre) เพื่อจับสตริงย่อย เพิ่มการแปลง urldecode เพิ่มคำหลัก byte_math
- จัดเตรียมความสามารถในการใช้ cbindgen เพื่อสร้างการเชื่อมโยงในภาษา Rust และ C
- เพิ่มการสนับสนุนปลั๊กอินเริ่มต้น
คุณสมบัติของ Suricata:
- การใช้รูปแบบรวมเพื่อแสดงผลการสแกน ซึ่งใช้โดยโครงการ Snort ซึ่งอนุญาตให้ใช้เครื่องมือวิเคราะห์มาตรฐานเช่น . ความเป็นไปได้ของการรวมเข้ากับผลิตภัณฑ์ BASE, Snorby, Sguil และ SQueRT รองรับเอาต์พุต PCAP;
- รองรับการตรวจจับโปรโตคอลอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ฯลฯ ) ช่วยให้คุณทำงานในกฎตามประเภทโปรโตคอลเท่านั้น โดยไม่ต้องอ้างอิงถึงหมายเลขพอร์ต (เช่น บล็อก HTTP การรับส่งข้อมูลบนพอร์ตที่ไม่ได้มาตรฐาน) ความพร้อมใช้งานของตัวถอดรหัสสำหรับโปรโตคอล HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP และ SSH;
- ระบบวิเคราะห์การรับส่งข้อมูล HTTP ที่ทรงพลังซึ่งใช้ไลบรารี HTP พิเศษที่สร้างโดยผู้เขียนโครงการ Mod_Security เพื่อแยกวิเคราะห์และทำให้การรับส่งข้อมูล HTTP เป็นมาตรฐาน โมดูลพร้อมใช้งานสำหรับการรักษาบันทึกโดยละเอียดของการถ่ายโอน HTTP การขนส่งสาธารณะ บันทึกจะถูกบันทึกในรูปแบบมาตรฐาน
อาปาเช่. รองรับการดึงและตรวจสอบไฟล์ที่ส่งผ่าน HTTP รองรับการแยกวิเคราะห์เนื้อหาที่บีบอัด ความสามารถในการระบุโดย URI, คุกกี้, ส่วนหัว, ตัวแทนผู้ใช้, เนื้อหาคำขอ/การตอบกลับ; - รองรับอินเทอร์เฟซต่างๆ สำหรับการสกัดกั้นการรับส่งข้อมูล รวมถึง NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING สามารถวิเคราะห์ไฟล์ที่บันทึกไว้แล้วในรูปแบบ PCAP ได้
- ประสิทธิภาพสูง ความสามารถในการประมวลผลไหลสูงสุด 10 กิกะบิตต่อวินาทีบนอุปกรณ์ทั่วไป
- กลไกการจับคู่มาสก์ประสิทธิภาพสูงสำหรับชุดที่อยู่ IP จำนวนมาก รองรับการเลือกเนื้อหาตามมาสก์และนิพจน์ทั่วไป การแยกไฟล์ออกจากการรับส่งข้อมูล รวมถึงการระบุไฟล์ตามชื่อ ประเภท หรือผลรวมตรวจสอบ MD5
- ความสามารถในการใช้ตัวแปรในกฎ: คุณสามารถบันทึกข้อมูลจากสตรีมแล้วนำไปใช้ในกฎอื่นในภายหลังได้
- การใช้รูปแบบ YAML ในไฟล์การกำหนดค่า ซึ่งช่วยให้คุณรักษาความชัดเจนในขณะที่ง่ายต่อการประมวลผล
- รองรับ IPv6 เต็มรูปแบบ;
- เอ็นจิ้นในตัวสำหรับการจัดเรียงข้อมูลอัตโนมัติและการประกอบแพ็กเก็ตใหม่ ช่วยให้สามารถประมวลผลสตรีมได้อย่างถูกต้อง โดยไม่คำนึงถึงลำดับที่แพ็กเก็ตมาถึง
- รองรับโปรโตคอลการขุดอุโมงค์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- รองรับการถอดรหัสแพ็คเก็ต: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, อีเธอร์เน็ต, PPP, PPPoE, Raw, SLL, VLAN;
- โหมดสำหรับคีย์การบันทึกและใบรับรองที่ปรากฏภายในการเชื่อมต่อ TLS/SSL
- ความสามารถในการเขียนสคริปต์ใน Lua เพื่อให้การวิเคราะห์ขั้นสูงและใช้ความสามารถเพิ่มเติมที่จำเป็นในการระบุประเภทของการรับส่งข้อมูลที่กฎมาตรฐานไม่เพียงพอ
ที่มา: opennet.ru
