После года разработки организация OISF (Open Information Security Foundation) การเปิดตัวระบบตรวจจับและป้องกันการบุกรุกเครือข่าย ซึ่งมีเครื่องมือสำหรับตรวจสอบการรับส่งข้อมูลประเภทต่างๆ ในการกำหนดค่า Suricata สามารถใช้งานได้ พัฒนาโดยโครงการ Snort รวมถึงชุดกฎเกณฑ์ и . แหล่งที่มาของโครงการ ได้รับอนุญาตภายใต้ GPLv2
การเปลี่ยนแปลงที่สำคัญ:
- Начальная поддержка HTTP/2.
- Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
- Возможность ведения лога для протокола DCERPC.
- Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
- Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
- Возможность определения условий для сброса сведений в лог.
- Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
- Повышение производительности движка обработки потоков (flow engine).
- Поддержка идентификации реализаций SSH ().
- Реализация декодировщика туннелей GENEVE.
- На языке Rust переписан код для обработки , DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
- В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
- Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
- Добавлена начальная поддержка плагинов.
คุณสมบัติของ Suricata:
- การใช้รูปแบบรวมเพื่อแสดงผลการสแกน ซึ่งใช้โดยโครงการ Snort ซึ่งอนุญาตให้ใช้เครื่องมือวิเคราะห์มาตรฐานเช่น . ความเป็นไปได้ของการรวมเข้ากับผลิตภัณฑ์ BASE, Snorby, Sguil และ SQueRT รองรับเอาต์พุต PCAP;
- รองรับการตรวจจับโปรโตคอลอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ฯลฯ ) ช่วยให้คุณทำงานในกฎตามประเภทโปรโตคอลเท่านั้น โดยไม่ต้องอ้างอิงถึงหมายเลขพอร์ต (เช่น บล็อก HTTP การรับส่งข้อมูลบนพอร์ตที่ไม่ได้มาตรฐาน) ความพร้อมใช้งานของตัวถอดรหัสสำหรับโปรโตคอล HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP และ SSH;
- ระบบวิเคราะห์การรับส่งข้อมูล HTTP ที่ทรงพลังซึ่งใช้ไลบรารี HTP พิเศษที่สร้างโดยผู้เขียนโครงการ Mod_Security เพื่อแยกวิเคราะห์และทำให้การรับส่งข้อมูล HTTP เป็นมาตรฐาน โมดูลพร้อมใช้งานสำหรับการรักษาบันทึกโดยละเอียดของการถ่ายโอน HTTP การขนส่งสาธารณะ บันทึกจะถูกบันทึกในรูปแบบมาตรฐาน
อาปาเช่. รองรับการดึงและตรวจสอบไฟล์ที่ส่งผ่าน HTTP รองรับการแยกวิเคราะห์เนื้อหาที่บีบอัด ความสามารถในการระบุโดย URI, คุกกี้, ส่วนหัว, ตัวแทนผู้ใช้, เนื้อหาคำขอ/การตอบกลับ; - รองรับอินเทอร์เฟซต่างๆ สำหรับการสกัดกั้นการรับส่งข้อมูล รวมถึง NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING สามารถวิเคราะห์ไฟล์ที่บันทึกไว้แล้วในรูปแบบ PCAP ได้
- ประสิทธิภาพสูง ความสามารถในการประมวลผลไหลสูงสุด 10 กิกะบิตต่อวินาทีบนอุปกรณ์ทั่วไป
- กลไกการจับคู่มาสก์ประสิทธิภาพสูงสำหรับชุดที่อยู่ IP จำนวนมาก รองรับการเลือกเนื้อหาตามมาสก์และนิพจน์ทั่วไป การแยกไฟล์ออกจากการรับส่งข้อมูล รวมถึงการระบุไฟล์ตามชื่อ ประเภท หรือผลรวมตรวจสอบ MD5
- ความสามารถในการใช้ตัวแปรในกฎ: คุณสามารถบันทึกข้อมูลจากสตรีมแล้วนำไปใช้ในกฎอื่นในภายหลังได้
- การใช้รูปแบบ YAML ในไฟล์การกำหนดค่า ซึ่งช่วยให้คุณรักษาความชัดเจนในขณะที่ง่ายต่อการประมวลผล
- รองรับ IPv6 เต็มรูปแบบ;
- เอ็นจิ้นในตัวสำหรับการจัดเรียงข้อมูลอัตโนมัติและการประกอบแพ็กเก็ตใหม่ ช่วยให้สามารถประมวลผลสตรีมได้อย่างถูกต้อง โดยไม่คำนึงถึงลำดับที่แพ็กเก็ตมาถึง
- รองรับโปรโตคอลการขุดอุโมงค์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- รองรับการถอดรหัสแพ็คเก็ต: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, อีเธอร์เน็ต, PPP, PPPoE, Raw, SLL, VLAN;
- โหมดสำหรับคีย์การบันทึกและใบรับรองที่ปรากฏภายในการเชื่อมต่อ TLS/SSL
- ความสามารถในการเขียนสคริปต์ใน Lua เพื่อให้การวิเคราะห์ขั้นสูงและใช้ความสามารถเพิ่มเติมที่จำเป็นในการระบุประเภทของการรับส่งข้อมูลที่กฎมาตรฐานไม่เพียงพอ
ที่มา: opennet.ru