Suricata 1.0 — Open Source-движок для обнаружения вторжений

Организация Open Information Security Foundation (OISF), спонсируемая Министерством национальной безопасности США, объявила о выпуске нового движка с открытым кодом для обнаружения вторжений — Suricata 1.0.

Млекопитающее сурикат (Suricata suricatta)
Фото с сайта En.Wikipedia.Org

Новый движок Suricata позиционируется как замена популярному IDS-решению с открытым кодом Snort, созданному в 1998 году. Мэтт Йонкман (Matt Jonkman), президент OISF, утверждает, что проект Suricata призван снять некоторые ограничения, присутствующие многие годы в Snort. По его словам, например, многопоточная архитектура Suricata позволяет добиться высокой производительности на современных многоядерных и многопроцессорных системах, чего так не хватает Snort в современных реалиях.

Из других интересных особенностей Suricata отмечается возможность фильтрации по репутации IP-адресов, т.е. помечать специальным флагом трафик от источников, которые известны как «плохие». Правила в Suricata могут применяться в зависимости от автоматически определяемого протокола, а не указанного сетевого порта.

Suricata был написан с нуля при поддержке компаний, специализирующихся на ИТ-безопасности (среди них называются Endace, NitroSecurity и Everis), и призван стать инновационным решением. Однако Мартин Рош (Martin Roesch), разработчик Snort, подверг весь провозглашаемый энтузиазм сомнению: «Они действительно, действительно хотят заменить Snort движком для IDS нового поколения. Но если вы посмотрите на модель определения атак в Suricata, то увидите, что она точно такая же, как у Snort».

Релиз Suricata 1.0.0 распространяется под свободной лицензией GNU GPL и уже доступен для свободного скачивания на сайте OIFS.

Дмитрий Шурупов по материалам computerworld.com.