几个月前,我们在博客上分享了 Snort 3 Beta版发布的新闻 y 只是几天前,已经有一个RC版本 该应用程序的新分支。
如 思科宣布组建新的候选产品 防攻击系统 喷鼻3 (也称为Snort ++项目),该项目自2005年以来一直在开发中。该稳定版本计划在一个月内发布。
Snort 3完全重新考虑了产品概念并重新设计了架构。 Snort 3的关键开发领域包括:简化Snort的配置和启动,自动配置,简化规则创建语言,自动检测所有协议,提供命令行控制外壳,使用主动
Snort的攻击数据库会通过互联网不断更新。 用户可以根据新网络攻击的特征创建签名,并将其提交到Snort的签名邮件列表中,这种社区和共享的道德使Snort成为最受欢迎,最新和最流行的基于网络的IDS之一。多线程,不同控制器对单个配置的共享访问。
CR有什么变化?
已经过渡到新的配置系统,它提供了简化的语法和 允许使用脚本来动态生成配置。 LuaJIT用于处理配置文件。 基于LuaJIT的插件具有规则和注册系统的其他选项。
引擎已经过现代化检测攻击,规则已更新,已添加了绑定规则中的缓冲区(粘性缓冲区)的功能。 使用了Hyperscan搜索引擎,它可以根据规则中的正则表达式快速而准确地使用触发模式。
添加 HTTP的新自省模式 它是会话状态状态,涵盖了HTTP Evader测试套件支持的99%的方案。 添加了HTTP / 2流量检查系统。
深度包检查模式的性能已得到改善 显着。 添加了多线程数据包处理功能,允许同时使用数据包处理程序执行多个线程,并根据CPU内核数提供线性可伸缩性。
已经实现了配置表和属性表的通用存储,该存储在不同的子系统中共享,通过消除信息重复,显着减少了内存消耗。
新的事件日志系统使用JSON格式,可以轻松地与Elastic Platform等外部平台集成。
过渡到模块化架构, 通过插件连接和以可替换插件形式实现的关键子系统的实现来扩展功能的能力。 现在, Snort 3已经实现了数百个插件, 其中涵盖了各个应用程序领域,例如,允许您在规则中添加自己的编解码器,自省模式,注册方法,操作和选项。
在其他突出的变化中:
- 自动检测正在运行的服务,无需手动指定活动的网络端口。
- 添加了文件支持以快速覆盖相对于默认设置的设置。 为了简化配置,已不再使用snort_config.lua和SNORT_LUA_PATH。 增加了对即时重新加载设置的支持;
- 该代码提供了使用C ++ 14标准中定义的C ++构造的能力(程序集需要支持C ++ 14的编译器)。
- 已添加新的VXLAN控制器。
- 使用Boyer-Moore和Hyperscan算法的更新替代实现,按内容改进了对内容类型的搜索。
- 通过使用多个线程来编译规则组来加速启动;
- 添加了新的注册机制。
- 已添加了RNA(实时网络意识)检查系统,该系统收集有关网络上可用资源,主机,应用程序和服务的信息。
数据来源: https://blog.snort.org