Prohoster > Blog > tin tức mạng > Ra mắt hệ thống phát hiện xâm nhập Suricata 6.0

Ra mắt hệ thống phát hiện xâm nhập Suricata 6.0

После года разработки организация OISF (Open Information Security Foundation) được phát hành Ra mắt hệ thống phát hiện và ngăn chặn xâm nhập mạng Meerkat 6.0, cung cấp các công cụ để kiểm tra các loại giao thông khác nhau. Trong cấu hình Suricata có thể sử dụng cơ sở dữ liệu chữ ký, được phát triển bởi dự án Snort, cũng như các bộ quy tắc Các mối đe dọa mới nổi и Các mối đe dọa mới nổi Pro. Nguồn dự án lây lan được cấp phép theo GPLv2.

Sự thay đổi chính:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASS).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Đặc điểm của Suricata:

  • Sử dụng định dạng thống nhất để hiển thị kết quả quét Hợp nhất2, cũng được dự án Snort sử dụng, cho phép sử dụng các công cụ phân tích tiêu chuẩn như sân chuồng2. Khả năng tích hợp với các sản phẩm BASE, Snorby, Sguil và SqueRT. Hỗ trợ đầu ra PCAP;
  • Hỗ trợ tự động phát hiện các giao thức (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, v.v.), cho phép bạn hoạt động theo quy tắc chỉ theo loại giao thức mà không cần tham chiếu đến số cổng (ví dụ: chặn HTTP lưu lượng truy cập trên một cổng không chuẩn). Có sẵn bộ giải mã cho các giao thức HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP và SSH;
  • Hệ thống phân tích lưu lượng HTTP mạnh mẽ sử dụng thư viện HTP đặc biệt do tác giả của dự án Mod_Security tạo ra để phân tích và chuẩn hóa lưu lượng HTTP. Một mô-đun có sẵn để duy trì nhật ký chi tiết về quá trình truyền HTTP chuyển tiếp; nhật ký được lưu ở định dạng chuẩn
    Apache. Hỗ trợ truy xuất và kiểm tra các tệp được truyền qua HTTP. Hỗ trợ phân tích nội dung nén. Khả năng xác định theo URI, Cookie, tiêu đề, tác nhân người dùng, nội dung yêu cầu/phản hồi;

  • Hỗ trợ các giao diện khác nhau để chặn lưu lượng, bao gồm NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Có thể phân tích các tệp đã lưu ở định dạng PCAP;
  • Hiệu suất cao, khả năng xử lý lưu lượng lên tới 10 gigabit/giây trên thiết bị thông thường.
  • Cơ chế khớp mặt nạ hiệu suất cao cho bộ địa chỉ IP lớn. Hỗ trợ chọn nội dung theo mặt nạ và biểu thức chính quy. Cô lập các tệp khỏi lưu lượng truy cập, bao gồm nhận dạng chúng theo tên, loại hoặc tổng kiểm tra MD5.
  • Khả năng sử dụng các biến trong quy tắc: bạn có thể lưu thông tin từ một luồng và sau đó sử dụng nó trong các quy tắc khác;
  • Sử dụng định dạng YAML trong các tệp cấu hình, cho phép bạn duy trì sự rõ ràng trong khi vẫn dễ dàng xử lý bằng máy;
  • Hỗ trợ IPv6 đầy đủ;
  • Công cụ tích hợp sẵn để tự động chống phân mảnh và tập hợp lại các gói, cho phép xử lý chính xác các luồng, bất kể thứ tự các gói đến;
  • Hỗ trợ các giao thức đường hầm: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Hỗ trợ giải mã gói: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, Vlan;
  • Chế độ ghi lại các khóa và chứng chỉ xuất hiện trong các kết nối TLS/SSL;
  • Khả năng viết tập lệnh bằng Lua để cung cấp phân tích nâng cao và triển khai các khả năng bổ sung cần thiết để xác định các loại lưu lượng truy cập mà các quy tắc tiêu chuẩn không đủ.

Nguồn: opennet.ru

Thêm một lời nhận xét