The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Финальный бета-выпуск системы обнаружения атак Snort 3

24.04.2020 08:54

Компания Cisco представила финальную бета-версию полностью переработанной системы предотвращения атак Snort 3, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года. Позднее в этом году планируется опубликовать кандидат в релизы.

В новой ветке полностью переосмыслена концепция продукта и переработана архитектура. Из направлений, на которые был сделан акцент при подготовке новой ветки, отмечается упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. В разработке находится код для поддержки HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано несколько сотен плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.

Изменения по сравнению с прошлым тестовым выпуском, который был опубликован в 2018 году:

  • Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию;
  • В коде обеспечена возможность использования конструкций C++, определённых в стандарте C++14 (для сборки требуется компилятор, поддерживающий C++14);
  • Добавлен новый обработчик VXLAN;
  • Улучшен поиск типов контента по содержимому с использованием обновлённых альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan;
  • Практически доведена до полной готовности система инспектирования трафика HTTP/2;
  • Ускорен запуск за счёт использования нескольких потоков для компиляции групп правил;
  • Добавлен новый механизм ведения логов;
  • Улучшено определение ошибок Lua и оптимизирована работа белых списков;
  • Внесены изменения, позволяющие реализовать перезагрузку настроек на лету;
  • Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах;
  • Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH.


  1. Главная ссылка к новости (https://blog.snort.org/2020/04...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.9.16.0
  3. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
  4. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  5. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  6. OpenNews: Доступна система обнаружения атак Suricata 5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52799-snort
Ключевые слова: snort, ids
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:51, 24/04/2020 [ответить]  
  • –4 +/
    На бинарники сил не хватило
     
     
  • 2.4, Аноним (4), 10:30, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    За бинарниками обращайтесь к вашим дистростроителям.
     
     
  • 3.6, Cisco (??), 19:48, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К дистрибьюторам для покупки подписки
     

  • 1.3, Аноним (3), 10:25, 24/04/2020 [ответить]  
  • +1 +/
    > Финальный бета-выпуск системы обнаружения атак Snort 3
    > финальную бета-версию

    Snort v3-beta-final

     
     
  • 2.5, анан (?), 14:54, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    за ним гамма версии будут
     
     
  • 3.7, Аноним (7), 18:52, 26/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Альфа - версия для внутреннего тестирования
    Бета - публичного
    Релиз
     
     
  • 4.8, Аноним (7), 18:54, 26/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    final - суффикс в названии метки в репе, которую создают после публикации
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру