После семи лет разработки Cisco выпустила первую стабильную версию системы предотвращения атак Snort 3 был полностью переработан, помимо упрощения настройки и запуска Snort, а также возможность автоматизации настройки, упростить язык нормотворчества, автоматически определять все протоколы, обеспечивать оболочка для управления из командной строки, активная многопоточность с совместным доступом разных контроллеров к одной конфигурации и многое другое.
Тем, кто не знает Snort, следует знать, что может анализировать трафик в реальном времени, реагировать на обнаруженную вредоносную активность и вести подробный журнал пакетов для последующего анализа инцидентов.
Ветка Snort 3, также известная как проект Snort ++, полностью переосмыслила концепцию и архитектуру своего продукта.
Работа над Snort 3 началась в 2005 году, но вскоре была прекращена и возобновилась только в 2013 году после того, как Cisco приняла проект на себя.
Snort 3 основные новости
В новой версии Snort 3 был переведен на новую систему настройки, который предлагает упрощенный синтаксис и позволяет использовать сценарии для динамического создания конфигураций. LuaJIT используется для обработки файлов конфигурации, а плагины на основе LuaJIT имеют дополнительные параметры для правил и системы реестра.
Еще одно важное изменение: модернизирован движок для обнаружения атак, правила обновлены, добавлена возможность привязки буферов в правилах (липкие буферы) также использовалась поисковая машина Hyperscan, что позволило быстрее и точнее использовать срабатывающие шаблоны на основе регулярных выражений в правилах;
Также в Snort 3 добавлен новый режим интроспекции для HTTP который учитывает состояние сеанса и охватывает 99% сценариев, поддерживаемых набором тестов HTTP Evader, плюс добавленная система проверки трафика HTTP / 2.
Значительно улучшена производительность режима глубокой проверки пакетов. Добавлена возможность многопоточной обработки пакетов, позволяющая одновременно выполнять несколько потоков с помощью обработчиков пакетов и обеспечивать линейную масштабируемость в зависимости от количества ядер ЦП.
Реализовано единое хранилище конфигурационных таблиц. и атрибуты, которые используются в разных подсистемах, что значительно снизило потребление памяти за счет устранения дублирования информации.
Кроме того, также выделен переход к модульной архитектуре, возможность расширения функциональности за счет подключения плагинов и реализации ключевых подсистем в виде заменяемых плагинов.
В настоящее время существует более 200 подключаемых модулей для Snort 3, охватывающих множество применений, например, позволяющих вам добавлять собственные кодеки, режимы самоанализа, методы регистрации, действия и параметры в правилах.
Из других изменений, которые выделяются в новой версии:
- Добавлена поддержка файлов для быстрого изменения настроек относительно настроек по умолчанию.
- Использование snort_config.lua и SNORT_LUA_PATH было прекращено для упрощения настройки.
- Добавлена поддержка перезагрузки настроек на лету.
- Новая система журнала событий, которая использует формат JSON и легко интегрируется с внешними платформами, такими как Elastic Stack.
- Автоматическое определение запущенных служб, устраняющее необходимость вручную указывать активные сетевые порты.
- Код предоставляет возможность использовать конструкции C ++, определенные в стандарте C ++ 14 (для сборки требуется компилятор, поддерживающий C ++ 14).
- Добавлен новый контроллер VXLAN.
- Улучшен поиск типов контента по контенту с использованием обновленных альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan.
- Ускоренный запуск за счет использования нескольких потоков для компиляции групп правил;
- Добавлен новый механизм регистрации.
- Была добавлена система проверки RNA (Real-time Network Awareness), которая собирает информацию о ресурсах, хостах, приложениях и сервисах, доступных в сети.
В конце концов если вы хотите узнать об этом больше о новой версии вы можете проверить подробности по следующей ссылке.