入侵檢測系統,Snort 2.9.8.0 發布

jopen 9年前發布 | 6K 次閱讀 Snort

Snort是美國Sourcefire公司開發的發布在GPL v2下的IDS(Intrusion Detection System)軟件

Snort有 三種工作模式:嗅探器、數據包記錄器、網絡入侵檢測系統模式。嗅探器模式僅僅是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網路入侵檢測模式分析網絡數據流以匹配用戶定義的一些規則,并根據檢測結果采取一定的動作。網絡入侵檢測系統模式是最復雜的,而且是可 配置的。

Snort可以用來監測各種數據包如端口掃描等之外,還提供了以XML形式或數據庫形式記錄日志的各種插件。
Snort 2.9.8.0 發布,此版本更新內容: 

[] 新組件
   SMBv2/SMBv3 support for file inspection.


 *  Port override for metadata service in IPS rules.


 *  AppID Lua detector performance profiling.


 *  Perfmon dumps stats at fixed intervals from absolute time.


 *  New preprocessor alert (120:18) to detect SSH tunneling over HTTP


 *  New config option |disable_replace| to disable replace rule option.


 *  New Stream configuration |log_asymmetric_traffic| to control logging to syslog.


 *  New shell script in tools to create simple Lua detectors for AppID.


[] 改進
   sfip_t refactored to use struct in6_addr for all ip addresses.


 *  Post-detection callback for preprocessors.


 *  AppID support for multiple server/client detectors evaluating on same flow.


 *  AppID API for DNS packets.


 *  Memory optimizations throughout.


 *  Support sending UDP active responses.


   Fix perfmon tracking of pruned packets.
 
   Stability improvements for AppID.


 *  Stability improvements for Stream6 preprocessor.


 *  Added improved support to block malware in FTP preprocessor.


 *  Added support to differentiate between active and passive FTP connections.


   Improvements done in Stream6 preprocessor to avoid having duplicate packets 
    in the DAQ retry queue.
 
   Resolved an issue where reputation config incorrectly displayed 'blacklist' in
    priority field even though 'whitelist' option was configured.


 *  Added support for multiple expected sessions created per packet


 *  Active response now supports MPLS</pre> 
詳細改進請看更新日志


下載: