数ヶ月前、私たちはここでブログで共有しました Snort3のベータ版のリリースのニュース y すでにRCバージョンがあったのはほんの数日前でした アプリケーションのこの新しいブランチ用。
から シスコは、の発売候補の形成を発表しました 攻撃防止システム 鼻音3 (Snort ++プロジェクトとも呼ばれます)。2005年からオンとオフを切り替えています。安定バージョンはXNUMXか月以内にリリースされる予定です。
Snort 3は、製品コンセプトを完全に再考し、アーキテクチャを再設計しました。 Snort 3の開発の主要分野の中で、Snortの構成と起動の簡素化、構成の自動化、ルール作成言語の簡素化、すべてのプロトコルの自動検出、コマンドライン制御用のシェルの提供、アクティブな使用
Snortには、インターネットを通じて絶えず更新される攻撃のデータベースがあります。 ユーザーは、新しいネットワーク攻撃の特性に基づいて署名を作成し、Snortの署名メーリングリストに送信できます。このコミュニティと共有の倫理により、Snortは最も人気があり、最新で、最も人気のあるネットワークベースのIDSのXNUMXつになっています。単一の構成への異なるコントローラーの共有アクセスを備えたマルチスレッド。
CRにはどのような変更がありますか?
新しい構成システムへの移行が行われました、簡略化された構文と スクリプトを使用して構成を動的に生成できます。 LuaJITは、構成ファイルの処理に使用されます。 LuaJITベースのプラグインには、ルールと登録システムの追加オプションがあります。
エンジンは攻撃を検出するために近代化されました、ルールが更新され、ルール内のバッファー(スティッキーバッファー)をバインドする機能が追加されました。 ハイパースキャン検索エンジンが使用されているため、ルールの正規表現に基づいてトリガーされたパターンをすばやく正確に使用できます。
追加 HTTPの新しいイントロスペクションモード これはセッションステートフルであり、HTTP Evaderテストスイートでサポートされるシナリオの99%をカバーします。 HTTP / 2トラフィックの検査システムを追加しました。
ディープパケットインスペクションモードのパフォーマンスが改善されました 大幅に。 マルチスレッドパケット処理機能が追加され、パケットハンドラーを使用して複数のスレッドを同時に実行できるようになり、CPUコアの数に基づいて線形のスケーラビリティが提供されます。
構成テーブルと属性テーブルの共通ストレージが実装され、異なるサブシステムで共有され、情報の重複を排除することでメモリ消費を大幅に削減しました。
JSON形式を使用し、ElasticStackなどの外部プラットフォームと簡単に統合できる新しいイベントログシステム。
モジュラーアーキテクチャへの移行、 プラグイン接続および交換可能なプラグインの形式での主要なサブシステムの実装を通じて機能を拡張する機能。 現在のところ、 Snort3にはすでに数百のプラグインが実装されています これらはさまざまなアプリケーション領域をカバーしており、たとえば、独自のコーデック、イントロスペクションモード、登録方法、アクション、およびオプションをルールに追加できます。
目立つ他の変更のうち:
- 実行中のサービスの自動検出。アクティブなネットワークポートを手動で指定する必要がありません。
- デフォルト設定に関連する設定をすばやく上書きするためのファイルサポートが追加されました。 構成を簡素化するために、snort_config.luaとSNORT_LUA_PATHの使用は中止されました。 オンザフライで設定を再読み込みするためのサポートが追加されました。
- このコードは、C ++ 14標準で定義されているC ++構造を使用する機能を提供します(アセンブリには、C ++ 14をサポートするコンパイラが必要です)。
- 新しいVXLANコントローラーが追加されました。
- ボイヤームーアおよびハイパースキャンアルゴリズムの更新された代替実装を使用した、コンテンツによるコンテンツタイプの検索の改善。
- 複数のスレッドを使用してルールグループをコンパイルすることにより、起動を加速します。
- 新しい登録メカニズムが追加されました。
- ネットワーク上で利用可能なリソース、ホスト、アプリケーション、およびサービスに関する情報を収集するRNA(Real-time Network Awareness)検査システムが追加されました。