幾個月前,我們在博客上分享了 Snort 3 Beta版發布的新聞 y 只是幾天前,已經有一個RC版本 該應用程序的新分支。
如 思科宣布組建新的候選產品 防攻擊系統 噴鼻3 (又稱Snort ++項目),該項目自2005年以來一直在開發中。該穩定版本計劃在一個月內發布。
Snort 3完全重新考慮了產品概念並重新設計了架構。 Snort 3的主要開發領域包括:簡化Snort的配置和啟動,自動配置,簡化規則創建語言,自動檢測所有協議,提供命令行控制外殼,使用活性
Snort的攻擊數據庫會通過互聯網不斷更新。 用戶可以根據新網絡攻擊的特徵創建簽名,並將其提交到Snort的簽名郵件列表中,這種社區和共享的道德使Snort成為最受歡迎,最新和最流行的基於網絡的IDS之一。強大的多線程功能,不同控制器對單個配置的共享訪問。
CR有什麼變化?
已經過渡到新的配置系統,它提供了簡化的語法和 允許使用腳本來動態生成配置。 LuaJIT用於處理配置文件。 基於LuaJIT的插件具有規則和註冊系統的其他選項。
引擎已經過現代化檢測攻擊,規則已更新,已添加了綁定規則中的緩衝區(粘性緩衝區)的功能。 使用了Hyperscan搜索引擎,它可以根據規則中的正則表達式快速而準確地使用觸發模式。
添加 HTTP的新自省模式 它是會話狀態狀態,涵蓋了HTTP Evader測試套件支持的99%的方案。 添加了HTTP / 2流量檢查系統。
深度包檢查模式的性能已得到改善 顯著。 添加了多線程數據包處理功能,從而允許使用數據包處理程序同時執行多個線程,並根據CPU內核數提供線性可伸縮性。
已經實現了配置表和屬性表的公共存儲,該存儲在不同的子系統中共享,這使得可以通過消除信息重複來顯著減少內存消耗。
新的事件日誌系統使用JSON格式,可以輕鬆地與Elastic Platform等外部平台集成。
過渡到模塊化架構, 通過插件連接和以可替換插件形式實現的關鍵子系統的實現來擴展功能的能力。 現在, Snort 3已經實現了數百個插件, 其中涵蓋了各個應用程序領域,例如,允許您在規則中添加自己的編解碼器,自省模式,註冊方法,操作和選項。
在其他突出的變化中:
- 自動檢測正在運行的服務,無需手動指定活動的網絡端口。
- 添加了文件支持以快速覆蓋相對於默認設置的設置。 為了簡化配置,已不再使用snort_config.lua和SNORT_LUA_PATH。 增加了對即時重新加載設置的支持;
- 該代碼提供了使用C ++ 14標準中定義的C ++構造的能力(程序集需要支持C ++ 14的編譯器)。
- 已添加新的VXLAN控制器。
- 使用Boyer-Moore和Hyperscan算法的更新替代實現,按內容改進了對內容類型的搜索。
- 通過使用多個線程來編譯規則組來加速啟動;
- 添加了新的註冊機制。
- 已添加了RNA(實時網絡意識)檢查系統,該系統收集有關網絡上可用資源,主機,應用程序和服務的信息。