经过一年的发展,OISF(开放信息安全基金会)组织
主要变化:
- 初步支持 HTTP/2。
- 支持 RFB 和 MQTT 协议,包括定义协议和维护日志的能力。
- 可以记录 DCERPC 协议。
- 通过 EVE 子系统显着提高了日志记录性能,该子系统提供 JSON 格式的事件输出。 由于使用了用 Rust 语言编写的新 JSON stock 构建器,实现了加速。
- EVE日志系统的可扩展性得到了提高,并且实现了为每个线程维护单独的日志文件的能力。
- 能够定义将信息重置到日志的条件。
- 可以在 EVE 日志中反映 MAC 地址并增加 DNS 日志的详细信息。
- 提高流引擎的性能。
- 支持识别 SSH 实现(
哈希 ). - GENEVE 隧道解码器的实现。
- 处理代码已用 Rust 语言重写
ASN.1 、DCERPC 和 SSH。 Rust 还支持新协议。 - 在规则定义语言中,byte_jump关键字添加了对from_end参数的支持,byte_test添加了对bitmask参数的支持。 实现了 pcrexform 关键字以允许使用正则表达式 (pcre) 捕获子字符串。 添加了 urldecode 转换。 添加了 byte_math 关键字。
- 提供使用 cbindgen 生成 Rust 和 C 语言绑定的能力。
- 添加了初始插件支持。
苏里卡塔的特点:
- 使用统一的格式显示扫描结果
统一2 ,也被 Snort 项目使用,它允许使用标准分析工具,例如谷仓2 。 可以与 BASE、Snorby、Sguil 和 SQueRT 产品集成。 PCAP输出支持; - 支持自动检测协议(IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB等),允许您仅按协议类型在规则中进行操作,无需参考端口号(例如阻止HTTP非标准端口上的流量)。 提供 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP 和 SSH 协议解码器;
- 一个强大的HTTP流量分析系统,使用Mod_Security项目作者创建的特殊HTP库来解析和规范化HTTP流量。 有一个模块可用于维护 HTTP 传输的详细日志;日志以标准格式保存
阿帕奇。 支持检索和检查通过 HTTP 传输的文件。 支持解析压缩内容。 能够通过 URI、Cookie、标头、用户代理、请求/响应正文进行识别; - 支持多种接口进行流量拦截,包括NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING。 可以分析已保存的 PCAP 格式文件;
- 高性能,能够在传统设备上处理高达 10 GB/秒的流量。
- 针对大量 IP 地址的高性能掩码匹配机制。 支持通过掩码和正则表达式选择内容。 将文件与流量隔离,包括通过名称、类型或 MD5 校验和进行识别。
- 能够在规则中使用变量:您可以保存流中的信息,然后在其他规则中使用它;
- 在配置文件中使用 YAML 格式,这使您可以保持清晰度,同时易于加工处理;
- 完整的 IPv6 支持;
- 内置数据包自动碎片整理和重组引擎,无论数据包到达的顺序如何,都可以正确处理流;
- 支持隧道协议:Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE;
- 数据包解码支持:IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、Ethernet、PPP、PPPoE、Raw、SLL、VLAN;
- 用于记录 TLS/SSL 连接中出现的密钥和证书的模式;
- 能够在 Lua 中编写脚本以提供高级分析并实现识别标准规则不足以满足的流量类型所需的附加功能。
来源: opennet.ru