Argus - система создания и использования записей аудита - это первая реализация мониторинга сетевых потоков и текущий проект мониторинга сетевых потоков с открытым исходным кодом. Основанная Картером Буллардом в 1984 году в Технологическом институте Джорджии и разработанная для обеспечения кибербезопасности в Университете Карнеги-Меллона в начале 1990-х годов, компания Argus на протяжении 30 лет вносила важный вклад в развитие технологий кибербезопасности в Интернете . [1] [1] .
Проект Argus направлен на развитие всех аспектов крупномасштабной сетевой ситуационной осведомленности и создание сетевого контрольного журнала для поддержки сетевых операций ( NetOps ), управления производительностью и безопасностью. Руководствуясь подробной записью телефонных звонков (CDR), Argus пытается сгенерировать сетевые метаданные, которые можно использовать для выполнения большого количества задач управления сетью . Argus используется многими университетами, корпорациями и государственными учреждениями, включая US DISA , DoD, DHS , FFRDCs , GLORIAD, и входит в 100 лучших инструментов интернет-безопасности. [2] Argus разработан как система ситуационной осведомленности в реальном времени , и ее данные могут использоваться для отслеживания, сигнализации и оповещения о состоянии проводной сети. Эти данные также могут использоваться для проведения комплексного аудита всего сетевого трафика, как описано в Красной книге Министерства обороны США NCSC-TG-005 [3], дополняя традиционную систему безопасности сети на основе системы обнаружения вторжений (IDS) . [4] Контрольный журнал традиционно используется в качестве исторических данных измерения сетевого трафика для сетевой криминалистики [5] и обнаружения аномалий сетевого поведения (NBAD). [6] Argus широко использовался в области кибербезопасности , сквозного анализа производительности, а с недавних пор - в исследованиях программно-определяемых сетей (SDN). [7] Argus также активно участвовал в разработке стандартов управления сетями . RMON (1995) [8] и IPFIX (2001). [9]
Argus состоит из расширенного комплексного генератора данных сетевого потока, монитора Argus, который обрабатывает пакеты (либо файлы захвата, либо данные в реальном времени) и генерирует подробные отчеты о состоянии потока сетевого трафика для всех потоков в потоке пакетов. Argus контролирует весь сетевой трафик , данные плоскости , плоскости управления и управления самолетом, а не только Internet Protocol (IP) трафика. Argus захватывает большую часть динамики и семантики пакетов каждого потока с большим сокращением объема данных, поэтому вы можете эффективно хранить, обрабатывать, проверять и анализировать большие объемы сетевых данных. Argus предоставляет показатели достижимости , доступности , возможности подключения , продолжительности, скорости, нагрузки, правильного размещения, потерь , джиттера , повторной передачи (сети данных) и задержки для всех сетевых потоков, а также фиксирует большинство атрибутов, доступных из содержимого пакета, например Адреса уровня 2, идентификаторы туннелей ( MPLS , GRE, IPsec и т. Д.), Идентификаторы протоколов, SAP, количество переходов, параметры, идентификация транспорта L4 ( обнаружение RTP ), индикаторы управления потоком хоста и т. Д. Argus реализовал ряд показателей динамики пакетов, специально разработанных для кибербезопасности. Argus обнаруживает поведение человека при вводе текста в любом потоке, но особый интерес представляет обнаружение нажатия клавиши в зашифрованных туннелях SSH . [10] и Argus генерирует коэффициент «производитель-потребитель» (PCR), который указывает, является ли сетевой объект производителем и / или потребителем данных [11], что является важным свойством при оценке вероятности вовлечения узла в расширенную постоянную угрозу ( APT) опосредованная эксфильтрация.
Argus - это проект с открытым исходным кодом ( GPL ), принадлежащий и управляемый QoSient, LLC, который был перенесен на большинство операционных систем и многие платформы с аппаратным ускорением, такие как Bivio, Pluribus, Arista и Tilera. Программное обеспечение должно быть переносимым во многие другие среды с небольшими изменениями или без них. Производительность такова, что аудит интернет-активности всего предприятия может выполняться с использованием скромных вычислительных ресурсов.
Поддерживаемые платформы
- Linux : операционная система Unix с ядром Linux
- Solaris : операционная система Unix, разработанная Sun Microsystems
- BSD : семейство операционных систем Unix ( FreeBSD , NetBSD , OpenBSD )
- OS X : операционная система Unix, разработанная Apple Inc.
- IRIX : операционная система Unix, разработанная Silicon Graphics.
- AIX , операционная система Unix, разработанная IBM
- Windows (под Cygwin ) операционная система, разработанная Microsoft
- OpenWrt : операционная система Unix с ядром Linux на встроенных устройствах.
Рекомендации
- ^ https://openargus.org/publications
- ^ http://sectools.org
- ^ http://csrc.nist.gov/publications/secpubs/rainbow/tg005.txt
- ^ Р. Bejtlich, Дао Network Security Monitoring: Beyond обнаружения вторжений, НьюЙорк: Addison-Wesley, 2004.
- ^ Пилли, Эммануэль С .; Джоши, RC; Нийоги, Радждип (2010). «Сетевые системы судебной экспертизы: обзор и исследовательские задачи». Цифра. Расследование . 7 (1-2): 14-27. DOI : 10.1016 / j.diin.2010.02.003 .
- ^ Г. Ничис, В. Секар, Д. Андерсен, Х. Ким, Х. Чжан, Эмпирическая оценка обнаружения аномалий трафика на основе энтропии, Труды 8-й конференции ACM SIGCOMM по измерению Интернета, стр. 151–156, 20–22 октября, 2008, Вулиагмени, Греция
- ^ Дж. Наус, Д. Эриксон, А. Ковингтон, Дж. Аппенцеллер, Н. Маккеун, Реализация коммутатора OpenFlow на платформе NetFPGA, Симпозиум по архитектуре для сетевых и коммуникационных систем, стр. 1–9, 2008 г., Сан-Хосе, Калифорния
- ^ ftp://ietf.org/ietf/rmonmib/rmonmib-minutes-94dec.txt
- ^ http://www.ietf.org/proceedings/51/slides/ipfx-2/sld001.htm
- ^ Saptarshi Гуа, Пол Kidwell, Asgrith Barthur, William S Кливленд, Джон Герт, и Картер Буллард. 2011. SSH Keystroke Packet Detection, ICS-2011 - Монтерей, Калифорния, 9–11 января.
- ^ https://qosient.com/argus/presentations/Argus.FloCon.2014.PCR.Presentation.pdf
Внешние ссылки
- Сайт Аргуса