組織 OISF(開放資安基金會) 網路入侵偵測與防禦系統發布 ,它提供了用於檢查各種類型流量的工具。 在 Suricata 配置中,可以使用 ,由 Snort 專案開發,以及規則集 и 。 專案來源 在 GPLv2 下獲得許可。
主要變化:
- 引入了用於解析和記錄協定的新模組
用 Rust 編寫的 RDP、SNMP 和 SIP。 FTP解析模組增加了透過EVE子系統進行日誌記錄的能力,提供JSON格式的事件輸出; - 除了支援上一版本中出現的 JA3 TLS 用戶端辨識方法外,還支援此方法 , 根據連接協商的特徵和指定的參數,確定使用什麼軟體來建立連接(例如,它允許您確定使用 Tor 和其他標準應用程式)。 JA3 允許您定義客戶端,JA3S 允許您定義伺服器。判定結果可用於規則設定語言和日誌;
- 新增了匹配大型資料集中樣本的實驗能力,使用新操作實現 。例如,該功能適用於在包含數百萬個條目的大型黑名單中搜尋遮罩;
- HTTP 檢查模式全面涵蓋測試套件中所述的所有情況 (例如,涵蓋用於隱藏流量中惡意活動的技術);
- 用 Rust 語言開發模組的工具已從選項轉變為強制性標準功能。未來,計劃在專案程式碼庫中擴大Rust的使用,並逐步用Rust開發的類似物替換模組;
- 改進了協議定義引擎,以提高準確性並處理非同步流量;
- EVE 日誌中新增了對新「異常」條目類型的支持,該日誌儲存解碼封包時偵測到的非典型事件。 EVE也擴展了有關VLAN和流量擷取介面的資訊顯示。新增了在 EVE http 日誌條目中保存所有 HTTP 標頭的選項;
- 基於 eBPF 的處理程序為加速封包擷取的硬體機制提供支援。硬體加速目前僅限於 Netronome 網路適配器,但很快將適用於其他裝置;
- 使用 Netmap 框架捕獲流量的程式碼已重寫。新增了使用進階 Netmap 功能(例如虛擬交換器)的能力 ;
- 支援黏性緩衝區的新關鍵字定義方案。新方案以「protocol.buffer」格式定義,例如,為了檢查URI,關鍵字將採用「http.uri」而非「http_uri」的形式;
- 使用的所有 Python 程式碼都經過相容性測試
Python 3; - 對 Tilera 架構、文字日誌 dns.log 和舊日誌檔案-json.log 的支援已停止。
蘇利卡塔的特點:
- 使用統一的格式顯示掃描結果 ,也被 Snort 專案使用,它允許使用標準分析工具,例如 。 可與 BASE、Snorby、Sguil 和 SQueRT 產品整合。 PCAP輸出支援;
- 支援自動偵測協定(IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB等),讓您僅按協定類型在規則中進行操作,無需參考連接埠號碼(例如封鎖HTTP非標準連接埠上的流量) 。 提供 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP 和 SSH 協定解碼器;
- 一個強大的HTTP流量分析系統,使用Mod_Security專案作者建立的特殊HTP庫來解析和規範HTTP流量。 有一個模組可用於維護 HTTP 傳輸的詳細日誌;日誌以標準格式儲存
阿帕奇。 支援檢索和檢查透過 HTTP 傳輸的檔案。 支援解析壓縮內容。 能夠透過 URI、Cookie、標頭、用戶代理、請求/回應正文進行識別; - 支援多種介面進行流量攔截,包括NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING。 可以分析已儲存的 PCAP 格式檔案;
- 高效能,能夠在傳統設備上處理高達 10 GB/秒的流量。
- 針對大量 IP 位址的高效能遮罩匹配機制。 支援透過遮罩和正規表示式選擇內容。 將檔案與流量隔離,包括透過名稱、類型或 MD5 校驗和進行識別。
- 能夠在規則中使用變數:您可以保存流程中的信息,然後在其他規則中使用它;
- 在設定檔中使用 YAML 格式,這可讓您保持清晰度,同時易於加工處理;
- 完整的 IPv6 支援;
- 內建資料包自動碎片整理和重組引擎,無論資料包到達的順序如何,都可以正確處理流;
- 支援隧道協定:Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE;
- 封包解碼支援:IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、Ethernet、PPP、PPPoE、Raw、SLL、VLAN;
- 用於記錄 TLS/SSL 連線中出現的金鑰和憑證的模式;
- 能夠在 Lua 中編寫腳本以提供高級分析並實現識別標準規則不足以滿足的流量類型所需的附加功能。
來源: opennet.ru