Tashkilot OISF (Ochiq axborot xavfsizligi fondi) tarmoqqa kirishni aniqlash va oldini olish tizimini chiqarish , bu transportning har xil turlarini tekshirish vositasini taqdim etadi. Suricata konfiguratsiyasida foydalanishga ruxsat beriladi , Snort loyihasi tomonidan ishlab chiqilgan, shuningdek, qoidalar to'plami и . Loyihaning manba kodi GPLv2 ostida litsenziyalangan.
Asosiy o'zgarishlar:
- Protokollar uchun yangi tahlil qilish va jurnalga yozish modullari joriy etildi
Rustda yozilgan RDP, SNMP va SIP. Hodisalarni JSON formatida chiqarishni ta'minlovchi EVE quyi tizimi orqali kirish imkoniyati FTP tahlil moduliga qo'shildi; - Oxirgi versiyada taqdim etilgan JA3 TLS mijoz autentifikatsiya usulini qo'llab-quvvatlashdan tashqari, usulni qo'llab-quvvatlash , ulanish muzokaralarining o'ziga xos xususiyatlariga va belgilangan parametrlarga asoslanib, ulanishni o'rnatish uchun qaysi dasturiy ta'minot ishlatilishini aniqlang (masalan, Tor va boshqa tipik ilovalardan foydalanishni aniqlash imkonini beradi). JA3 mijozlarni, JA3S esa serverlarni aniqlash imkonini beradi. Aniqlash natijalari qoidalarni belgilash tilida va jurnallarda ishlatilishi mumkin;
- Yangi operatsiyalar yordamida amalga oshirilgan katta ma'lumotlar to'plamining namunasi bilan mos keladigan tajriba qobiliyati qo'shildi . Masalan, bu funksiya millionlab yozuvlari boʻlgan katta qora roʻyxatlardagi niqoblarni qidirishda qoʻllaniladi;
- HTTP tekshiruvi rejimi test to'plamida tasvirlangan barcha vaziyatlarni to'liq qamrab oladi (masalan, trafikdagi zararli faoliyatni yashirish uchun ishlatiladigan usullarni qamrab oladi);
- Rust modulini ishlab chiqish vositalari variantlardan talab qilinadigan standart xususiyatlarga ko'chirildi. Kelajakda loyihaning kod bazasida Rustdan foydalanishni kengaytirish va modullarni Rustda ishlab chiqilgan analoglar bilan bosqichma-bosqich almashtirish rejalashtirilgan;
- Protokolni aniqlash mexanizmi asenkron trafik oqimlarining aniqligi va ishlov berish nuqtai nazaridan takomillashtirildi;
- EVE jurnaliga paketlar dekodlanganda aniqlangan atipik hodisalarni saqlaydigan yangi turdagi "anomaliya" uchun qo'llab-quvvatlash qo'shildi. EVE shuningdek, VLAN va trafikni yozib olish interfeyslari haqidagi ma'lumotlarni ko'rsatishni kengaytirdi. EVE jurnali http yozuvlarida barcha HTTP sarlavhalarini saqlash imkoniyati qo'shildi;
- eBPF-ga asoslangan ishlov beruvchilar paketlarni ushlashni tezlashtirish uchun apparat mexanizmlarini qo'llab-quvvatlaydi. Uskuna tezlashuvi hozirda Netronome tarmoq adapterlari bilan cheklangan, ammo tez orada boshqa uskunalar uchun paydo bo'ladi;
- Nemap ramkasi yordamida trafikni olish uchun qayta yozilgan kod. Virtual kalit kabi ilg'or Nemap xususiyatlaridan foydalanish imkoniyati qo'shildi ;
- Sticky Buffers uchun yangi kalit so'zlarni aniqlash sxemasini qo'llab-quvvatlash. Yangi sxema protocol.buffer formatida belgilangan, masalan, URI-ni introspektsiya qilish uchun kalit so'z "http_uri" o'rniga "http.uri" bo'ladi;
- Amaldagi barcha Python kodi bilan muvofiqligi tekshiriladi
Python3; - Tilera arxitekturasini, dns.log matn jurnalini va eski files-json.log jurnalini qo‘llab-quvvatlash to‘xtatildi.
Suricata xususiyatlari:
- Tekshiruv natijalarini ko'rsatish uchun yagona formatdan foydalanish , shuningdek, Snort loyihasi tomonidan qo'llaniladi, bu kabi standart tahlil vositalaridan foydalanishga imkon beradi . BASE, Snorby, Sguil va SQueRT mahsulotlari bilan integratsiya qilish imkoniyati. PCAP formatida chiqishni qo'llab-quvvatlash;
- Protokollarni avtomatik aniqlashni qo'llab-quvvatlash (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB va boshqalar), bu sizga qoidalarda faqat protokol turi bo'yicha, port raqamiga murojaat qilmasdan ishlashga imkon beradi (uchun). masalan, nostandart portda HTTP trafigini bloklash uchun). HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP va SSH protokollari uchun dekoderlar;
- HTTP trafigini tahlil qilish va normallashtirish uchun Mod_Security loyihasi muallifi tomonidan yaratilgan maxsus HTP kutubxonasidan foydalanadigan kuchli HTTP trafigini tahlil qilish tizimi. Tranzit HTTP o'tkazmalarining batafsil jurnalini yuritish uchun modul mavjud, jurnal standart formatda saqlanadi.
Apache. HTTP protokoli orqali uzatiladigan fayllarni chiqarish va tekshirish qo'llab-quvvatlanadi. Siqilgan tarkibni tahlil qilishni qo'llab-quvvatlash. URI, Cookie, sarlavhalar, foydalanuvchi-agent, so'rov/javob tanasi orqali aniqlash qobiliyati; - NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING kabi trafikni ushlab turish uchun turli xil interfeyslarni qo'llab-quvvatlash. PCAP formatida allaqachon saqlangan fayllarni tahlil qilish mumkin;
- Yuqori unumdorlik, an'anaviy uskunada 10 gigabit / s gacha oqimlarni qayta ishlash qobiliyati.
- Katta IP manzillar to'plamiga ega yuqori samarali niqob mos keladigan vosita. Niqob va oddiy iboralar bo'yicha tarkib tanlashni qo'llab-quvvatlash. Fayllarni trafikdan ajratish, shu jumladan nomi, turi yoki MD5 nazorat summasi bo'yicha identifikatsiya qilish.
- Qoidalarda o'zgaruvchilardan foydalanish imkoniyati: siz oqimdan ma'lumotni saqlashingiz va keyin uni boshqa qoidalarda ishlatishingiz mumkin;
- YAML formatini konfiguratsiya fayllarida ishlatish, bu sizga mashinada ishlov berish qulayligi bilan ko'rinishni saqlashga imkon beradi;
- To'liq IPv6 qo'llab-quvvatlash;
- Paketlarni avtomatik defragmentatsiya qilish va qayta yig'ish uchun o'rnatilgan dvigatel, bu paketlarning kelish tartibidan qat'i nazar, oqimlarni to'g'ri qayta ishlashni ta'minlash imkonini beradi;
- Tunnel protokollarini qo'llab-quvvatlash: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- Paket dekodlashni qo'llab-quvvatlash: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
- TLS/SSL ulanishlarida paydo bo'ladigan kalitlar va sertifikatlar uchun jurnalga yozish rejimi;
- Ilg'or tahlilni ta'minlash va standart qoidalar etarli bo'lmagan trafik turlarini aniqlash uchun zarur bo'lgan qo'shimcha funktsiyalarni amalga oshirish uchun Lua skriptlarini yozish qobiliyati.
Manba: opennet.ru