Argus – Система создания и использования аудиторских записей

Argus – Audit Record Generation and Utilization System – это первая реализация мониторинга сетевого потока, и это продолжающийся проект мониторинга сетевого потока с открытым исходным кодом. Начатый Картером Буллардом в 1984 году в Georgia Tech и разработанный для кибербезопасности в Университете Карнеги-Меллона в начале 1990-х годов, Argus внес важный вклад в технологию кибербезопасности Интернета за 30 лет. [1] [1].

Хронология мониторинга сетевого потока

Проект Argus сосредоточен на разработке всех аспектов крупномасштабной сетевой ситуационной осведомленности и создании сетевого аудиторского журнала для поддержки сетевых операций ( NetOps ), производительности и управления безопасностью. Мотивированный записью подробностей вызовов телекоммуникационных компаний (CDR), Argus пытается генерировать сетевые метаданные , которые могут использоваться для выполнения большого количества задач по управлению сетью . Argus используется многими университетами, корпорациями и государственными организациями, включая US DISA , DoD, DHS , FFRDCs и GLORIAD , сеть NSF International, когда она была в эксплуатации. Argus входит в сотню лучших инструментов интернет-безопасности и находится в этом списке уже более 15 лет (возможно, дольше). [2]

Argus разработан как система ситуационной осведомленности в режиме реального времени , и его данные могут использоваться для отслеживания, оповещения и предупреждения о состоянии проводной сети со скоростью до 400 Гбит/с. Данные используются для проведения комплексного аудита всего сетевого трафика, как описано в модели безопасности Zero Trust , которая изначально была описана в Red Book , US DoD NCSC-TG-005, [3] дополняя традиционную сетевую безопасность на основе системы обнаружения вторжений (IDS) . [4]

Аудиторский след традиционно использовался в качестве исторических данных измерения сетевого трафика для сетевой криминалистики [5] и обнаружения аномалий поведения сети (NBAD). [6] Argus широко использовался в кибербезопасности , сквозном анализе производительности, исследованиях программно-определяемых сетей (SDN) [7] и в последнее время в очень большом количестве исследовательских работ по искусственному интеллекту и машинному обучению. Argus используется для разработки наборов данных сетевых атак, таких как набор данных UNSW-NB15. [8] Argus также был темой в стандартах для разработки сетевой безопасности и управления сетями , еще в RMON (1995) [9] и IPFIX (2001). [10] и совсем недавно в ENISA.

Argus состоит из усовершенствованного комплексного генератора данных сетевого потока, монитора Argus, который обрабатывает пакеты (файлы захвата или данные пакетов в реальном времени) и генерирует подробные отчеты о состоянии потока сетевого трафика для всех потоков в потоке пакетов. Argus отслеживает весь сетевой трафик , плоскость данных , плоскость управления и плоскость управления, а не только трафик Интернет-протокола (IP). Argus захватывает большую часть динамики пакетов и семантики каждого потока, с большим сокращением данных, поэтому вы можете эффективно хранить, обрабатывать, проверять и анализировать большие объемы сетевых данных. Argus предоставляет метрики достижимости , доступности , связности , продолжительности, скорости, нагрузки, успешного размещения, потерь , джиттера , повторной передачи (сети передачи данных) и задержки для всех сетевых потоков и захватывает большинство атрибутов, доступных из содержимого пакета, таких как адреса уровня 2, идентификаторы туннелей ( MPLS , GRE, IPsec и т. д.), идентификаторы протоколов, SAP, количество переходов, опции, идентификация транспорта L4 ( обнаружение RTP ), индикаторы управления потоком хоста и т. д. Argus реализовал ряд метрик динамики пакетов, специально разработанных для кибербезопасности. Argus обнаруживает поведение человека при наборе текста в любом потоке, но особый интерес представляет обнаружение нажатия клавиш в зашифрованных туннелях SSH . [11] и Argus генерирует соотношение производитель-потребитель (PCR), которое указывает, является ли сетевой объект производителем и/или потребителем данных, [12] важное свойство при оценке возможности вовлечения узла в эксфильтрацию, опосредованную усовершенствованной постоянной угрозой (APT).

Argus — проект с открытым исходным кодом ( GPL ), принадлежащий и управляемый QoSient, LLC, и перенесенный на большинство операционных систем и множество экзотических аппаратно-ускоренных платформ, таких как Bivio, Pluribus, Arista и Tilera. Программное обеспечение должно быть переносимым во многие другие среды с небольшими или нулевыми изменениями. Производительность такова, что аудит интернет-активности всего предприятия может быть выполнен с использованием скромных вычислительных ресурсов.

Поддерживаемые платформы

  • Linux : операционная система Unix, работающая на ядре Linux.
  • MacOS : операционная система Apple для Intel и Apple Silicon
  • Windows (под управлением Cygwin ) — операционная система, разработанная корпорацией Microsoft.
  • Solaris : операционная система Unix, разработанная Sun Microsystems
  • BSD : семейство операционных систем Unix ( FreeBSD , NetBSD , OpenBSD )
  • OS X : операционная система Unix, разработанная Apple Inc.
  • IRIX : операционная система Unix, разработанная Silicon Graphics
  • AIX , операционная система Unix, разработанная IBM
  • OpenWrt : операционная система Unix, работающая на ядре Linux на встраиваемых устройствах.

Ссылки

  1. ^ "Openargus - Публикации".
  2. ^ "Главная". sectools.org .
  3. Национальный центр компьютерной безопасности (31 июля 1987 г.). «Интерпретация доверенных сетей (NCSC-TG-005)». Центр ресурсов компьютерной безопасности .
  4. ^ Бейтлих, Ричард (2008). Дао мониторинга сетевой безопасности: за пределами обнаружения вторжений (Nachdr. ed.). Бостон Мюнхен: Addison-Wesley. ISBN 978-0321246776.
  5. ^ Пилли, Эммануэль С.; Джоши, Р.К.; Нийоги, Радждип (2010). «Сетевые криминалистические структуры: задачи опросов и исследований». Цифра. Расследование . 7 ( 1–2 ): 14–27 . doi :10.1016/j.diin.2010.02.003.
  6. ^ G. Nychis, V. Sekar, D Andersen, H Kim, H Zhang, Эмпирическая оценка обнаружения аномалий трафика на основе энтропии, Труды 8-й конференции ACM SIGCOMM по измерению Интернета, стр. 151–156, 20–22 октября 2008 г., Вулиагмени, Греция
  7. ^ J. Naous, D. Ericson, A. Covington, G Appenzeller, N. McKeown, Реализация коммутатора OpenFlow на платформе NetFPGA, Симпозиум по архитектуре сетевых и коммуникационных систем, стр. 1–9, 2008, Сан-Хосе, Калифорния
  8. ^ «Набор данных UNSW-NB15 | Исследования UNSW».
  9. ^ ftp://ietf.org/ietf/rmonmib/rmonmib-минуты-94dec.txt
  10. ^ «Аргус-2.0.1».
  11. ^ Saptarshi Guha, Paul Kidwell, Asgrith Barthur, William S Cleveland, John Gerth и Carter Bullard. 2011. SSH Keystroke Packet Detection, ICS-2011 — Монтерей, Калифорния, 9–11 января.
  12. ^ Буллард, Картер; Герт, Джон (13.01.2014). ПЦР — новая метрика потока (PDF) . FloCon 2014. Чарльстон, Южная Каролина, США.
  • веб-сайт Аргус
  • Аргус Девелопмент
Взято с "https://en.wikipedia.org/w/index.php?title=Argus_–_Система_создания_и_использования_записей_аудита&oldid=1252011572"