XNUMX年間の開発の後、 シスコは最初の安定バージョンを導入しました 攻撃防止システムの 完全に再設計されたSnort3、Snortの構成と起動を簡素化することに加えて、 構成を自動化する可能性、 ルール作成言語を簡素化し、すべてのプロトコルを自動的に検出し、 コマンドライン制御用のシェル、 単一の構成などへのさまざまなコントローラーの共有アクセスを備えたアクティブなマルチスレッド。
Snortを知らない人のために、あなたはそれを知っているべきです トラフィックをリアルタイムで分析し、検出された悪意のあるアクティビティに対応できます 後でインシデント分析を行うために、詳細なパッケージログを維持します。
Snort ++プロジェクトとしても知られるSnort3ブランチは、製品のコンセプトとアーキテクチャを完全に再考しました。
Snort 3の作業は、2005年に開始されましたが、すぐに中止され、シスコがプロジェクトを引き継いだ後、2013年に再開されました。
Snort3の主なニュース
の新しいバージョンでは Snort3は新しいセットアップシステムに移行しました。 これは単純化された構文を提供し、スクリプトを使用して構成を動的に生成できるようにします。 LuaJITは構成ファイルの処理に使用され、LuaJITベースのプラグインにはルールとレジストリシステムの追加オプションがあります。
目立つもう一つの変化はそれです エンジンは攻撃を検出するために近代化されています、 ルールが更新されました、 バッファをバインドする機能が追加されました ルール(スティッキーバッファー)では、ハイパースキャン検索エンジンも使用されました。これにより、ルールの正規表現に基づいて、トリガーされたパターンをより高速かつ正確に使用できるようになりました。
また、Snort3では HTTPの新しいイントロスペクションモードを追加しました これはセッションステートフルであり、HTTP Evaderテストスイートでサポートされるシナリオの99%に加えて、HTTP / 2トラフィック用の追加の検査システムをカバーします。
ディープパケットインスペクションモードのパフォーマンスが大幅に向上しました。 マルチスレッドパケット処理機能が追加され、パケットハンドラーを使用して複数のスレッドを同時に実行できるようになり、CPUコアの数に基づいて線形のスケーラビリティが提供されます。
構成テーブルの共通ストレージが実装されました 異なるサブシステムで共有される属性は、情報の重複を排除することでメモリ消費を大幅に削減しました。
また、また モジュラーアーキテクチャへの移行が強調されています、プラグインを介して機能を拡張する機能、および交換可能なプラグインの形式での主要なサブシステムの実装。
現在、Snort 200には3を超えるプラグインがあり、独自のコーデック、イントロスペクションモード、登録方法、アクション、オプションをルールに追加できるなど、さまざまな用途に対応しています。
新しいバージョンから際立っている他の変更の中で:
- デフォルト設定に関連する設定をすばやく上書きするためのファイルサポートが追加されました。
- 構成を簡素化するために、snort_config.luaとSNORT_LUA_PATHの使用は中止されました。
- オンザフライで設定を再読み込みするためのサポートが追加されました。
- JSON形式を使用し、ElasticStackなどの外部プラットフォームと簡単に統合できる新しいイベントログシステム。
- 実行中のサービスの自動検出。アクティブなネットワークポートを手動で指定する必要がありません。
- このコードは、C ++ 14標準で定義されているC ++構造を使用する機能を提供します(アセンブリには、C ++ 14をサポートするコンパイラが必要です)。
- 新しいVXLANコントローラーが追加されました。
- ボイヤームーアおよびハイパースキャンアルゴリズムの更新された代替実装を使用した、コンテンツによるコンテンツタイプの検索の改善。
- 複数のスレッドを使用してルールグループをコンパイルすることにより、起動を加速します。
- 新しい登録メカニズムが追加されました。
- ネットワーク上で利用可能なリソース、ホスト、アプリケーション、およびサービスに関する情報を収集するRNA(Real-time Network Awareness)検査システムが追加されました。
最後に あなたがそれについてもっと知りたいなら 新バージョンについては、確認できます 詳細は次のリンクにあります。