Prohoster > Blog > tin tức mạng > Đã có sẵn hệ thống phát hiện tấn công Suricata 5.0

Đã có sẵn hệ thống phát hiện tấn công Suricata 5.0

Tổ chức OISF (Tổ chức bảo mật thông tin mở) được phát hành Ra mắt hệ thống phát hiện và ngăn chặn xâm nhập mạng Meerkat 5.0, cung cấp các công cụ để kiểm tra các loại giao thông khác nhau. Trong cấu hình Suricata có thể sử dụng cơ sở dữ liệu chữ ký, được phát triển bởi dự án Snort, cũng như các bộ quy tắc Các mối đe dọa mới nổi и Các mối đe dọa mới nổi Pro. Nguồn dự án lây lan được cấp phép theo GPLv2.

Sự thay đổi chính:

  • Các mô-đun mới cho giao thức phân tích cú pháp và ghi nhật ký đã được giới thiệu
    RDP, SNMP và SIP được viết bằng Rust. Khả năng đăng nhập qua hệ thống con EVE đã được thêm vào mô-đun phân tích cú pháp FTP, cung cấp đầu ra sự kiện ở định dạng JSON;

  • Ngoài việc hỗ trợ phương thức nhận dạng máy khách JA3 TLS đã xuất hiện trong bản phát hành trước, hỗ trợ cho phương thức này JA3S, cho phép Dựa trên các đặc điểm của đàm phán kết nối và các tham số được chỉ định, hãy xác định phần mềm nào được sử dụng để thiết lập kết nối (ví dụ: nó cho phép bạn xác định việc sử dụng Tor và các ứng dụng tiêu chuẩn khác). JA3 cho phép bạn xác định máy khách và JA3S cho phép bạn xác định máy chủ. Kết quả xác định có thể được sử dụng trong ngôn ngữ thiết lập quy tắc và trong nhật ký;
  • Đã thêm khả năng thử nghiệm để khớp các mẫu từ các tập dữ liệu lớn, được triển khai bằng các thao tác mới tập dữ liệu và datarep. Ví dụ: tính năng này có thể áp dụng để tìm kiếm mặt nạ trong danh sách đen lớn chứa hàng triệu mục nhập;
  • Chế độ kiểm tra HTTP cung cấp phạm vi bao quát đầy đủ tất cả các tình huống được mô tả trong bộ thử nghiệm Trình trốn tránh HTTP (ví dụ: che giấu các kỹ thuật được sử dụng để che giấu hoạt động độc hại trong lưu lượng truy cập);
  • Các công cụ phát triển mô-đun bằng ngôn ngữ Rust đã được chuyển từ tùy chọn sang khả năng tiêu chuẩn bắt buộc. Trong tương lai, dự kiến ​​​​sẽ mở rộng việc sử dụng Rust trong cơ sở mã dự án và thay thế dần các mô-đun bằng các mô-đun tương tự được phát triển trong Rust;
  • Công cụ định nghĩa giao thức đã được cải tiến để cải thiện độ chính xác và xử lý các luồng lưu lượng không đồng bộ;
  • Hỗ trợ cho loại mục nhập “bất thường” mới đã được thêm vào nhật ký EVE, nơi lưu trữ các sự kiện không điển hình được phát hiện khi giải mã gói. EVE cũng đã mở rộng việc hiển thị thông tin về Vlan và giao diện nắm bắt lưu lượng. Đã thêm tùy chọn để lưu tất cả các tiêu đề HTTP trong các mục nhật ký http EVE;
  • Trình xử lý dựa trên eBPF cung cấp hỗ trợ cho các cơ chế phần cứng để tăng tốc việc bắt gói. Khả năng tăng tốc phần cứng hiện bị giới hạn ở các bộ điều hợp mạng Netronome nhưng sẽ sớm có sẵn cho các thiết bị khác;
  • Mã để nắm bắt lưu lượng truy cập bằng khung Netmap đã được viết lại. Đã thêm khả năng sử dụng các tính năng Netmap nâng cao như công tắc ảo VALE;
  • Thêm hỗ trợ sơ đồ định nghĩa từ khóa mới cho Bộ đệm cố định. Lược đồ mới được xác định ở định dạng “protocol.buffer”, ví dụ: để kiểm tra URI, từ khóa sẽ có dạng “http.uri” thay vì “http_uri”;
  • Tất cả mã Python được sử dụng đều được kiểm tra tính tương thích với
    Trăn 3;

  • Hỗ trợ cho kiến ​​trúc Tilera, nhật ký văn bản dns.log và tệp nhật ký cũ-json.log đã ngừng hoạt động.

Đặc điểm của Suricata:

  • Sử dụng định dạng thống nhất để hiển thị kết quả quét Hợp nhất2, cũng được dự án Snort sử dụng, cho phép sử dụng các công cụ phân tích tiêu chuẩn như sân chuồng2. Khả năng tích hợp với các sản phẩm BASE, Snorby, Sguil và SqueRT. Hỗ trợ đầu ra PCAP;
  • Hỗ trợ tự động phát hiện các giao thức (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, v.v.), cho phép bạn hoạt động theo quy tắc chỉ theo loại giao thức mà không cần tham chiếu đến số cổng (ví dụ: chặn HTTP lưu lượng truy cập trên một cổng không chuẩn). Có sẵn bộ giải mã cho các giao thức HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP và SSH;
  • Hệ thống phân tích lưu lượng HTTP mạnh mẽ sử dụng thư viện HTP đặc biệt do tác giả của dự án Mod_Security tạo ra để phân tích và chuẩn hóa lưu lượng HTTP. Một mô-đun có sẵn để duy trì nhật ký chi tiết về quá trình truyền HTTP chuyển tiếp; nhật ký được lưu ở định dạng chuẩn
    Apache. Hỗ trợ truy xuất và kiểm tra các tệp được truyền qua HTTP. Hỗ trợ phân tích nội dung nén. Khả năng xác định theo URI, Cookie, tiêu đề, tác nhân người dùng, nội dung yêu cầu/phản hồi;

  • Hỗ trợ các giao diện khác nhau để chặn lưu lượng, bao gồm NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Có thể phân tích các tệp đã lưu ở định dạng PCAP;
  • Hiệu suất cao, khả năng xử lý lưu lượng lên tới 10 gigabit/giây trên thiết bị thông thường.
  • Cơ chế khớp mặt nạ hiệu suất cao cho bộ địa chỉ IP lớn. Hỗ trợ chọn nội dung theo mặt nạ và biểu thức chính quy. Cô lập các tệp khỏi lưu lượng truy cập, bao gồm nhận dạng chúng theo tên, loại hoặc tổng kiểm tra MD5.
  • Khả năng sử dụng các biến trong quy tắc: bạn có thể lưu thông tin từ một luồng và sau đó sử dụng nó trong các quy tắc khác;
  • Sử dụng định dạng YAML trong các tệp cấu hình, cho phép bạn duy trì sự rõ ràng trong khi vẫn dễ dàng xử lý bằng máy;
  • Hỗ trợ IPv6 đầy đủ;
  • Công cụ tích hợp sẵn để tự động chống phân mảnh và tập hợp lại các gói, cho phép xử lý chính xác các luồng, bất kể thứ tự các gói đến;
  • Hỗ trợ các giao thức đường hầm: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Hỗ trợ giải mã gói: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, Vlan;
  • Chế độ ghi lại các khóa và chứng chỉ xuất hiện trong các kết nối TLS/SSL;
  • Khả năng viết tập lệnh bằng Lua để cung cấp phân tích nâng cao và triển khai các khả năng bổ sung cần thiết để xác định các loại lưu lượng truy cập mà các quy tắc tiêu chuẩn không đủ.

    • Nguồn: opennet.ru

Thêm một lời nhận xét