The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.08.2018 08:40  Система обнаружения атак Snort 3 перешла на стадию бета-тестирования

После почти четырёх лет нахождения на стадии альфа-разработки представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.

Кроме переосмысления концепции и переработки архитектуры в Snort 3 реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. В разработке находится код для поддержки HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано 225 плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.


  1. Главная ссылка к новости (https://blog.snort.org/2018/08...)
  2. OpenNews: Релиз системы обнаружения атак Snort 2.9.11.0
  3. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
  4. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
  5. OpenNews: Подкаст с разработчиком системы обнаружения DDoS-атак FastNetMon
  6. OpenNews: Доступна система обнаружения атак Suricata 4.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: snort
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, psv (??), 19:09, 30/08/2018 [ответить]    [к модератору]
  • +/
    Так а базы правил которую сообщество разрабатывает нет? Ну типа хотя бы валидный трафик описан когда? Или в идеале генератор таких правил из описания сети и сервисов в ней?
     
     
  • 2.4, пох (?), 20:20, 30/08/2018 [^] [ответить]    [к модератору]
  • +/
    дружище, ты точно-точно понимаешь, что такое и как работают - IDS?

    у снорта есть, конечно, помимо intrusion detect, еще тyпенькие скрипты-проверялки наличия конкретных уязвимостей, но это, пожалуй, самая в нем неинтересная часть.

    общедоступная нахаляву база правил есть:
    https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
    но пользы от нее вообще говоря немного.

     
     
  • 3.8, psv (??), 10:17, 06/09/2018 [^] [ответить]    [к модератору]
  • +/
    это гуано я уже видел

    нужен именно генератор базы правил из описания сети и сервисов в ней

     
  • 1.5, CyberMan (?), 00:59, 31/08/2018 [ответить]    [к модератору]
  • –1 +/
    Сурикат пофичастее будет.
     
     
  • 2.6, Деннис Ритчи (?), 07:05, 31/08/2018 [^] [ответить]    [к модератору]
  • +/
    Да и поддержка GPU в сурикате получше реализована
     
     
  • 3.7, тот самый парень (?), 10:19, 03/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Насколько лучше сказать не получится, ведь ноль на ноль не делится. "Во сколько раз", точнее.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor