经过七年的发展, 思科发布了第一个稳定版本 攻击防范系统 完全重新设计的Snort 3,除了简化Snort的配置和启动以及 自动化配置的可能性, 简化规则制定语言,自动检测所有协议,提供 用于命令行控制的外壳, 主动多线程,并且可以共享不同控制器对单个配置的访问权限,甚至更多。
对于那些不了解Snort的人,您应该知道 可以实时分析流量,响应检测到的恶意活动 并维护详细的程序包日志,以用于以后的事件分析。
Snort 3分支(也称为Snort ++项目)已经完全重新考虑了其产品的概念和体系结构。
Snort 3的开发工作始于2005年,但很快就被放弃,直到2013年思科接手该项目后才恢复。
Snort 3主要新闻
在新版本中 Snort 3已过渡到新的设置系统, 它提供了简化的语法,并允许使用脚本来动态生成配置。 LuaJIT用于处理配置文件,基于LuaJIT的插件具有用于规则和注册表系统的其他选项。
另一个引人注目的变化是 引擎已经现代化,可以检测攻击, 规则已经更新, 绑定缓冲区的功能已添加 在规则(粘性缓冲区)中,还使用了Hyperscan搜索引擎,这使得可以基于规则中的正则表达式更快,更准确地使用触发模式。
另外,在Snort 3中 为HTTP添加了新的自省模式 它是会话状态状态,涵盖了HTTP Evader测试套件支持的99%的方案,以及添加的HTTP / 2流量检查系统。
深度包检查模式的性能已得到显着提高。 添加了多线程数据包处理功能,从而允许使用数据包处理程序同时执行多个线程,并根据CPU内核数提供线性可伸缩性。
配置表的通用存储已实现 以及在不同子系统中共享的属性,通过消除信息重复,显着减少了内存消耗。
而且,也 着重介绍了向模块化架构的过渡通过插件连接和以可替换插件形式实现的关键子系统来扩展功能的能力。
目前,Snort 200的插件有3多个,涵盖了多种用途,例如允许您在规则中添加自己的编解码器,自省模式,注册方法,操作和选项。
从新版本中脱颖而出的其他变化包括:
- 添加了文件支持以快速覆盖相对于默认设置的设置。
- 为了简化配置,已不再使用snort_config.lua和SNORT_LUA_PATH。
- 新增了对即时重新加载设置的支持。
- 新的事件日志系统使用JSON格式,可以轻松地与Elastic Platform等外部平台集成。
- 自动检测正在运行的服务,无需手动指定活动的网络端口。
- 该代码提供了使用C ++ 14标准中定义的C ++构造的能力(程序集需要支持C ++ 14的编译器)。
- 已添加新的VXLAN控制器。
- 使用Boyer-Moore和Hyperscan算法的更新替代实现,按内容改进了对内容类型的搜索。
- 通过使用多个线程来编译规则组来加速启动;
- 添加了新的注册机制。
- 已添加了RNA(实时网络意识)检查系统,该系统收集有关网络上可用资源,主机,应用程序和服务的信息。
最后 如果您想了解更多 关于新版本,您可以检查 以下链接中的详细信息。