몇 달 전에 여기 블로그에서 공유했습니다. Snort 3 베타 버전 출시 소식 y RC 버전이있는 것은 불과 며칠 전이었습니다. 이 새로운 애플리케이션 브랜치를 위해.
이후 시스코는 출시 후보의 형성을 발표했다 공격 방지 시스템 코골이 3 (Snort ++ 프로젝트라고도 함), 2005 년부터 작업 중입니다. 안정 버전은 한 달 이내에 출시 될 예정입니다.
Snort 3는 제품 개념을 완전히 재검토하고 아키텍처를 재 설계했습니다.. Snort 3 개발의 핵심 영역 중에는 Snort의 구성 및 실행 단순화, 구성 자동화, 규칙 생성 언어 단순화, 모든 프로토콜 자동 감지, 명령 줄 제어를위한 셸 제공, 활성 사용
Snort에는 인터넷을 통해 지속적으로 업데이트되는 공격 데이터베이스가 있습니다.. 사용자는 새로운 네트워크 공격의 특성을 기반으로 서명을 생성하고이를 Snort의 서명 메일 링리스트에 제출할 수 있습니다. 이러한 커뮤니티 윤리 및 공유는 Snort를 가장 인기 있고 최신이며 가장 인기있는 네트워크 기반 IDS로 만들었습니다. 단일 구성에 대한 서로 다른 컨트롤러의 공유 액세스를 통한 다중 스레드.
CR에는 어떤 변화가 있나요?
새로운 구성 시스템으로 전환되었습니다., 단순화 된 구문과 스크립트를 사용하여 구성을 동적으로 생성 할 수 있습니다.. LuaJIT는 구성 파일을 처리하는 데 사용됩니다. LuaJIT 기반 플러그인에는 규칙 및 등록 시스템에 대한 추가 옵션이 있습니다.
공격을 탐지하기 위해 엔진이 현대화되었습니다., 규칙이 업데이트되었으며 규칙 (고정 버퍼)에서 버퍼를 바인딩하는 기능이 추가되었습니다. Hyperscan 검색 엔진이 사용되어 규칙의 정규식을 기반으로 트리거 된 패턴을 빠르고 정확하게 사용할 수 있습니다.
추가됨 HTTP를위한 새로운 인트로 스펙 션 모드 세션 상태 저장이며 HTTP Evader 테스트 스위트에서 지원하는 시나리오의 99 %를 포함합니다. HTTP / 2 트래픽에 대한 검사 시스템이 추가되었습니다.
심층 패킷 검사 모드의 성능이 향상되었습니다. 상당히. 다중 스레드 패킷 처리 기능이 추가되어 패킷 핸들러를 사용하여 다중 스레드를 동시에 실행할 수 있으며 CPU 코어 수에 따라 선형 확장 성을 제공합니다.
구성 및 속성 테이블의 공통 저장소가 구현되어 서로 다른 하위 시스템에서 공유되며 정보 중복을 제거하여 메모리 소비를 크게 줄였습니다.
JSON 형식을 사용하고 Elastic Stack과 같은 외부 플랫폼과 쉽게 통합되는 새로운 이벤트 로그 시스템.
모듈 식 아키텍처로 전환, 플러그인 연결 및 교체 가능한 플러그인 형태의 핵심 하위 시스템 구현을 통해 기능을 확장하는 기능. 현재 Snort 3에는 이미 수백 개의 플러그인이 구현되어 있습니다. 예를 들어 자신의 코덱, 인트로 스펙 션 모드, 등록 방법, 작업 및 옵션을 규칙에 추가 할 수 있도록 허용하는 등 다양한 애플리케이션 영역을 다룹니다.
눈에 띄는 다른 변경 사항 중 :
- 실행중인 서비스를 자동으로 감지하므로 활성 네트워크 포트를 수동으로 지정할 필요가 없습니다.
- 기본 설정과 관련된 설정을 빠르게 재정의하는 파일 지원이 추가되었습니다. 구성을 단순화하기 위해 snort_config.lua 및 SNORT_LUA_PATH 사용이 중단되었습니다. 즉시 설정을 다시로드하기위한 지원이 추가되었습니다.
- 이 코드는 C ++ 14 표준에 정의 된 C ++ 구문을 사용하는 기능을 제공합니다 (어셈블리에는 C ++ 14를 지원하는 컴파일러가 필요함).
- 새로운 VXLAN 컨트롤러가 추가되었습니다.
- Boyer-Moore 및 Hyperscan 알고리즘의 업데이트 된 대체 구현을 사용하여 콘텐츠 별 콘텐츠 유형 검색을 개선했습니다.
- 여러 스레드를 사용하여 규칙 그룹을 컴파일하여 시작을 가속화합니다.
- 새로운 등록 메커니즘을 추가했습니다.
- RNA (실시간 네트워크 인식) 검사 시스템이 추가되어 네트워크에서 사용 가능한 리소스, 호스트, 애플리케이션 및 서비스에 대한 정보를 수집합니다.