Suricata — новая открытая система обнаружения атак

1 января 2010 года

После трех лет разработки объединение OISF (Open Information Security Foundation) начало бета-тестирование новой открытой системы обнаружения и предотвращения атак Suricata IDS/IPS, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.

Особенности Suricata:

• Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
• Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту);
• Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и использована в сторонних проектах. Код библиотеки написан автором проекта Mod_Security.
• Поддержка разбора сжатого методом Gzip содержания пакетов;
• Очень быстрый механизм сопоставления по маске с большими наборами IP адресов;
• Поддержка стандартных интерфейсов для перехвата трафика NFQueue, IPFRing, LibPcap, IPFW. Унифицированный формат вывода результатов проверки позволяет использовать стандартные утилиты для анализа;
• Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
• Наличие модуля для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате apache;
• В ближайших планах:
• Формирование общедоступной распределенной базы репутации IP адресов;
• Возможность аппаратной акселерации на стороне GPU, за счет задействования CUDA и OpenCL.