Argus - systém generování a využití záznamů o auditu - Argus – Audit Record Generation and Utilization System - Wikipedia

Argus - systém generování a využití záznamů o auditu je první implementací monitorování toku sítě a je pokračujícím projektem monitorování toku sítě v otevřeném zdrojovém kódu. Společnost Argus, kterou založil Carter Bullard v roce 1984 na Georgia Tech a která byla vyvinuta pro kybernetickou bezpečnost na Carnegie Mellon University na počátku 90. let, významně přispívá k internetu kybernetická bezpečnost technologie za 30 let.[1] [1].

Časová osa monitorování toku sítě

Projekt Argus je zaměřen na rozvoj všech aspektů rozsáhlé sítě situační uvědomění a síť audit trail založení na podporu provozu sítě (NetOps ), Správa výkonu a zabezpečení. Motivováno telco Záznam podrobností hovoru (CDR), Argus se pokusí generovat síť metadata které lze použít k provedení velkého počtu správa sítě úkoly. Argus je používán mnoha univerzitami, korporacemi a vládními subjekty včetně USA DISA, DoD, DHS, FFRDC, GLORIAD a je top 100 internetovým bezpečnostním nástrojem.[2] Argus je navržen tak, aby byl reálný čas situační systém povědomí a jeho data lze použít ke sledování, poplachu a výstrahám v podmínkách drátové sítě. Data lze také použít k zavedení komplexního auditu veškerého síťového provozu, jak je popsáno v dokumentu červená kniha, USA DoD NCSC-TG-005,[3] doplňující tradiční Systém detekce narušení (IDS) zabezpečení sítě.[4] Auditní stopa se tradičně používá jako historická měření síťového provozu údaje pro síťová forenzní[5] a Detekce anomálií chování sítě (NBAD).[6] Argus byl hojně používán v kybernetická bezpečnost, end-to-end analýza výkonu a v poslední době softwarově definované sítě (SDN) výzkumu.[7] Argus byl také tématem v správa sítě vývoj norem. RMON (1995) [8] a IPFIX (2001).[9]

Argus se skládá z pokročilého komplexního generátoru síťových toků dat, monitoru Argus, který zpracovává pakety (buď zachycuje soubory nebo živá data paketů) a generuje detailní síť tok provozu zprávy o stavu všech toků v toku paketů. Argus sleduje vše síťový provoz, datová rovina, kontrolní letadlo a řídící rovina, nejen internetový protokol (IP) provoz. Argus zachycuje velkou část dynamiky paketů a sémantiky každého toku s velkou redukcí dat, takže můžete efektivně ukládat, zpracovávat, kontrolovat a analyzovat velké množství síťových dat. Argus poskytuje dosažitelnost, dostupnost, připojení, doba trvání, rychlost, zatížení, dobrý stav, ztráta, chvění, retransmise (datové sítě) a zpožďují metriky pro všechny síťové toky a zachycují většinu atributů, které jsou k dispozici z obsahu paketu, jako jsou adresy vrstvy 2, identifikátory tunelu (MPLS, GRE, IPsec atd.), ID protokolů, SAP, počet hopů, možnosti, identifikace transportu L4 (RTP detekce), indikace řízení toku hostitele atd ... Společnost Argus implementovala řadu metrik dynamiky paketů speciálně určených pro kybernetickou bezpečnost. Argus detekuje chování člověka při psaní v jakémkoli toku, ale zvláště zajímavá je detekce úderu klíče v šifrovaném SSH tunely.[10] a Argus generuje Producer Consumer Ratio (PCR), které označuje, zda je síťová entita producentem dat a / nebo spotřebitelem,[11] důležitá vlastnost při hodnocení potenciálu uzlu zapojit se do Pokročilá trvalá hrozba (APT) zprostředkovanou exfiltrací.

Argus je otevřený zdroj (GPL ) projekt, vlastněný a spravovaný společností QoSient, LLC, a byl přenesen do většiny operačních systémů a mnoha hardwarově akcelerovaných platforem, jako jsou Bivio, Pluribus, Arista a Tilera. Software by měl být přenosný do mnoha jiných prostředí s malými nebo žádnými úpravami. Výkon je takový, že auditování internetové aktivity celého podniku lze dosáhnout pomocí skromných výpočetních prostředků.

Podporované platformy

Reference

  1. ^ https://openargus.org/publications
  2. ^ http://sectools.org
  3. ^ http://csrc.nist.gov/publications/secpubs/rainbow/tg005.txt
  4. ^ R. Bejtlich, Tao monitorování zabezpečení sítě: Beyond Intrusion Detection, New York: Addison-Wesley, 2004.
  5. ^ Pilli, Emmanuel S .; Joshi, R. C .; Niyogi, Rajdeep (2010). „Network forensic frameworks: Survey and research challenges“. Číslice. Investig. 7 (1–2): 14–27. doi:10.1016 / j.diin.2010.02.003.
  6. ^ G. Nychis, V. Sekar, D Andersen, H Kim, H Zhang, Empirické hodnocení detekce anomálií provozu založené na entropii, Sborník z 8. konference ACM SIGCOMM o měření internetu, str. 151–156, 20. – 22. Října 2008 , Vouliagmeni, Řecko
  7. ^ J. Naous, D. Ericson, A. Covington, G Appenzeller, N. McKeown, Implementace přepínače OpenFlow na platformě NetFPGA, Sympózium o architektuře pro síťové a komunikační systémy, s. 1–9, 2008, San Jose, CA
  8. ^ ftp://ietf.org/ietf/rmonmib/rmonmib-minutes-94dec.txt
  9. ^ http://www.ietf.org/proceedings/51/slides/ipfx-2/sld001.htm
  10. ^ Saptarshi Guha, Paul Kidwell, Asgrith Barthur, William S Cleveland, John Gerth a Carter Bullard. 2011. SSH Keystroke Packet Detection, ICS-2011 — Monterey, Kalifornie, 9. – 11. Ledna.
  11. ^ https://qosient.com/argus/presentations/Argus.FloCon.2014.PCR.Presentation.pdf

externí odkazy