组织 OISF(开放信息安全基金会) 网络入侵检测与防御系统发布 ,它提供了用于检查各种类型流量的工具。 在 Suricata 配置中,可以使用 ,由 Snort 项目开发,以及规则集 и 。 项目来源 根据 GPLv2 许可。
主要变化:
- 引入了用于解析和记录协议的新模块
用 Rust 编写的 RDP、SNMP 和 SIP。 FTP解析模块现在能够通过EVE子系统进行日志记录,该子系统提供JSON格式的事件输出; - 除了支持上一版本中出现的 JA3 TLS 客户端识别方法外,还支持该方法 , 根据连接协商的特点和指定的参数,确定使用什么软件来建立连接(例如,它允许您确定使用 Tor 和其他标准应用程序)。 JA3 允许您定义客户端,JA3S 允许您定义服务器。 判定结果可用于规则设置语言和日志中;
- 添加了匹配大型数据集中样本的实验能力,使用新操作实现 。 例如,该功能适用于在包含数百万条条目的大型黑名单中搜索掩码;
- HTTP 检查模式全面覆盖测试套件中描述的所有情况 (例如,涵盖用于隐藏流量中恶意活动的技术);
- 用 Rust 语言开发模块的工具已从选项转变为强制性标准功能。 未来,计划在项目代码库中扩大Rust的使用,并逐步用Rust开发的类似物替换模块;
- 改进了协议定义引擎,以提高准确性并处理异步流量;
- EVE 日志中添加了对新“异常”条目类型的支持,该日志存储解码数据包时检测到的非典型事件。 EVE还扩展了有关VLAN和流量捕获接口的信息显示。 添加了在 EVE http 日志条目中保存所有 HTTP 标头的选项;
- 基于 eBPF 的处理程序为加速数据包捕获的硬件机制提供支持。 硬件加速目前仅限于 Netronome 网络适配器,但很快将适用于其他设备;
- 使用 Netmap 框架捕获流量的代码已被重写。 添加了使用高级 Netmap 功能(例如虚拟交换机)的能力 ;
- 支持粘性缓冲区的新关键字定义方案。 新方案以“protocol.buffer”格式定义,例如,为了检查URI,关键字将采用“http.uri”形式而不是“http_uri”;
- 使用的所有 Python 代码都经过兼容性测试
蟒蛇3; - 对 Tilera 架构、文本日志 dns.log 和旧日志文件-json.log 的支持已停止。
苏里卡塔的特点:
- 使用统一的格式显示扫描结果 ,也被 Snort 项目使用,它允许使用标准分析工具,例如 。 可以与 BASE、Snorby、Sguil 和 SQueRT 产品集成。 PCAP输出支持;
- 支持自动检测协议(IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB等),允许您仅按协议类型在规则中进行操作,无需参考端口号(例如阻止HTTP非标准端口上的流量)。 提供 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP 和 SSH 协议解码器;
- 一个强大的HTTP流量分析系统,使用Mod_Security项目作者创建的特殊HTP库来解析和规范化HTTP流量。 有一个模块可用于维护 HTTP 传输的详细日志;日志以标准格式保存
阿帕奇。 支持检索和检查通过 HTTP 传输的文件。 支持解析压缩内容。 能够通过 URI、Cookie、标头、用户代理、请求/响应正文进行识别; - 支持多种接口进行流量拦截,包括NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING。 可以分析已保存的 PCAP 格式文件;
- 高性能,能够在传统设备上处理高达 10 GB/秒的流量。
- 针对大量 IP 地址的高性能掩码匹配机制。 支持通过掩码和正则表达式选择内容。 将文件与流量隔离,包括通过名称、类型或 MD5 校验和进行识别。
- 能够在规则中使用变量:您可以保存流中的信息,然后在其他规则中使用它;
- 在配置文件中使用 YAML 格式,这使您可以保持清晰度,同时易于加工处理;
- 完整的 IPv6 支持;
- 内置数据包自动碎片整理和重组引擎,无论数据包到达的顺序如何,都可以正确处理流;
- 支持隧道协议:Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE;
- 数据包解码支持:IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、Ethernet、PPP、PPPoE、Raw、SLL、VLAN;
- 用于记录 TLS/SSL 连接中出现的密钥和证书的模式;
- 能够在 Lua 中编写脚本以提供高级分析并实现识别标准规则不足以满足的流量类型所需的附加功能。
来源: opennet.ru