WikiDer > Argus - Система создания и использования записей аудита - Википедия

Argus – Audit Record Generation and Utilization System - Wikipedia

Argus - Система создания и использования записей аудита - это первая реализация мониторинга сетевого потока и постоянный проект мониторинга сетевого потока с открытым исходным кодом. Основанная Картером Буллардом в 1984 году в Технологическом институте Джорджии и разработанная для обеспечения кибербезопасности в Университете Карнеги-Меллона в начале 1990-х годов, Argus внес важный вклад в развитие Интернета. информационная безопасность технологии более 30 лет.[1] [1].

Хронология мониторинга сетевого потока

Проект Argus ориентирован на развитие всех аспектов крупномасштабной сети. Осведомленность о ситуации и сеть контрольный журнал создание для поддержки сетевых операций (NetOps), Управление производительностью и безопасностью. По мотивам телекоммуникаций Детальная запись звонка (CDR), Argus пытается создать сеть метаданные которые можно использовать для выполнения большого количества управление сетью задачи. Argus используется многими университетами, корпорациями и государственными учреждениями, включая США. DISA, МО, DHS, FFRDC, ГЛОРИАДА и входит в сотню лучших инструментов интернет-безопасности.[2] Аргус задуман как в реальном времени система ситуационной осведомленности, и ее данные могут использоваться для отслеживания, сигнализации и оповещения о состоянии проводной сети. Эти данные также можно использовать для проведения комплексного аудита всего сетевого трафика, как описано в Красная книга, Министерство обороны США NCSC-TG-005,[3] дополняя традиционные Система обнаружения вторжений (IDS) на основе сетевая безопасность.[4] Журнал аудита традиционно используется как исторический измерение сетевого трафика данные для сетевая криминалистика[5] и Обнаружение аномалий сетевого поведения (NBAD).[6] Аргус широко использовался в информационная безопасность, концы с концами анализ производительности, а в последнее время программно-определяемая сеть (SDN) исследование.[7] Аргус также был темой в управление сетью разработка стандартов. RMON (1995) [8] и IPFIX (2001).[9]

Argus состоит из расширенного комплексного генератора данных сетевого потока, монитора Argus, который обрабатывает пакеты (либо файлы захвата, либо данные в реальном времени) и генерирует подробную сеть. транспортный поток отчеты о состоянии всех потоков в потоке пакетов. Аргус контролирует все сетевой трафик, плоскость данных, плоскость управления и плоскости управления, а не только протокол Интернета (IP) трафик. Argus захватывает большую часть динамики и семантики пакетов каждого потока с большим сокращением объема данных, поэтому вы можете эффективно хранить, обрабатывать, проверять и анализировать большие объемы сетевых данных. Аргус предоставляет достижимость, доступность, возможность подключения, продолжительность, ставка, нагрузка, положительный результат, потеря, дрожь, ретрансляция (сети передачи данных), и метрики задержки для всех сетевых потоков, и фиксирует большинство атрибутов, доступных из содержимого пакета, таких как адреса уровня 2, идентификаторы туннелей (MPLS, GRE, IPsecи т. д.), идентификаторы протоколов, SAP, количество переходов, параметры, идентификация транспорта L4 (RTP обнаружение), индикации управления потоком хоста и т. д. Argus реализовал ряд показателей динамики пакетов, специально разработанных для кибербезопасности. Argus обнаруживает поведение человека при вводе текста в любом потоке, но особый интерес представляет обнаружение нажатия клавиши в зашифрованном SSH туннели.[10] и Argus генерирует коэффициент производителя-потребителя (PCR), который указывает, является ли сетевой объект производителем и / или потребителем данных,[11] важное свойство при оценке потенциала узла быть вовлеченным в Постоянная угроза повышенной сложности (APT) опосредованная эксфильтрация.

Argus - это открытый исходный код (GPL), принадлежащий и управляемый QoSient, LLC, и был перенесен на большинство операционных систем и многие платформы с аппаратным ускорением, такие как Bivio, Pluribus, Arista и Tilera. Программное обеспечение должно быть переносимым во многие другие среды с небольшими изменениями или без них. Производительность такова, что аудит интернет-активности всего предприятия может выполняться с использованием скромных вычислительных ресурсов.

Поддерживаемые платформы

  • Linux: Операционная система Unix, работающая под управлением Ядро Linux
  • Солярис: Операционная система Unix, разработанная Sun Microsystems
  • BSD: Семейство операционных систем Unix (FreeBSD, NetBSD, OpenBSD)
  • OS X: Операционная система Unix, разработанная Apple Inc.
  • IRIX: Операционная система Unix, разработанная Силиконовая Графика
  • AIX, Операционная система Unix, разработанная IBM
  • Windows, (под Cygwin) операционная система, разработанная Microsoft
  • OpenWrt: Операционная система Unix с ядром Linux на встроенных устройствах

Рекомендации

  1. ^ https://openargus.org/publications
  2. ^ http://sectools.org
  3. ^ http://csrc.nist.gov/publications/secpubs/rainbow/tg005.txt
  4. ^ Р. Бейтлих, Дао мониторинга сетевой безопасности: помимо обнаружения вторжений, Нью-Йорк: Аддисон-Уэсли, 2004.
  5. ^ Pilli, Emmanuel S .; Joshi, R.C .; Нийоги, Радждип (2010). «Сетевые системы судебной экспертизы: обзор и исследовательские задачи». Цифра. Расследование. 7 (1–2): 14–27. Дои:10.1016 / j.diin.2010.02.003.
  6. ^ Г. Ничис, В. Секар, Д. Андерсен, Х. Ким, Х. Чжан, Эмпирическая оценка энтропийного обнаружения аномалий трафика, Труды 8-й конференции ACM SIGCOMM по измерению Интернета, стр. 151–156, 20–22 октября 2008 г. , Вулиагмени, Греция
  7. ^ Дж. Наус, Д. Эриксон, А. Ковингтон, Дж. Аппенцеллер, Н. Маккеон, Реализация коммутатора OpenFlow на платформе NetFPGA, Симпозиум по архитектуре для сетевых и коммуникационных систем, стр. 1–9, 2008 г., Сан-Хосе, Калифорния
  8. ^ ftp://ietf.org/ietf/rmonmib/rmonmib-minutes-94dec.txt
  9. ^ http://www.ietf.org/proceedings/51/slides/ipfx-2/sld001.htm
  10. ^ Саптарши Гуха, Пол Кидвелл, Асгрит Бартур, Уильям С. Кливленд, Джон Герт и Картер Буллард. 2011. SSH Keystroke Packet Detection, ICS-2011 - Монтерей, Калифорния, 9–11 января.
  11. ^ https://qosient.com/argus/presentations/Argus.FloCon.2014.PCR.Presentation.pdf

внешняя ссылка