Argus — система создания и использования аудиторских записей

Argus — система создания и использования аудиторских записей — это первая реализация мониторинга сетевых потоков и текущий проект мониторинга сетевых потоков с открытым исходным кодом. Основанная Картером Буллардом в 1984 году в Технологическом институте Джорджии и разработанная для кибербезопасности в Университете Карнеги-Меллона в начале 1990-х годов, компания Argus кибербезопасности в Интернете. на протяжении 30 лет вносила важный вклад в технологии ^{[ 1 ]} [1] .

Проект Argus ориентирован на разработку всех аспектов крупномасштабной сетевой осведомленности и создание журнала сетевого аудита для поддержки сетевых операций ( NetOps ), производительности и управления безопасностью. Вдохновленный подробной записью вызовов телекоммуникационных компаний (CDR), Argus пытается создать сетевые метаданные , которые можно использовать для выполнения большого количества задач по управлению сетью . Argus используется многими университетами, корпорациями и государственными учреждениями, включая DISA США , Министерство обороны, DHS , FFRDC и GLORIAD , международную сеть NSF, когда она работала. Argus входит в сотню лучших инструментов интернет-безопасности и находится в этом списке уже более 15 лет (а может, и дольше). ^{[ 2 ]}

Argus спроектирован как система ситуационной осведомленности в режиме реального времени , а ее данные можно использовать для отслеживания, сигнализации и оповещения о состоянии проводной сети со скоростью до 400 Гбит/с. Данные используются для проведения комплексного аудита всего сетевого трафика, как описано в модели безопасности с нулевым доверием , которая изначально была описана в Красной книге , Министерство обороны США NCSC-TG-005, ^{[ 3 ]} дополняя традиционную на основе системы обнаружения вторжений (IDS) сетевую безопасность . ^{[ 4 ]}

Журнал аудита традиционно использовался в качестве исторических измерения сетевого трафика данных для сетевой криминалистики. ^{[ 5 ]} и обнаружение аномалий поведения сети (NBAD). ^{[ 6 ]} Argus широко используется в области кибербезопасности , комплексного анализа производительности, исследований программно-конфигурируемых сетей (SDN). ^{[ 7 ]}и в последнее время очень большое количество исследовательских работ в области искусственного интеллекта и машинного обучения. Argus используется для разработки наборов данных о сетевых атаках, таких как набор данных UNSW-NB15. ^{[ 8 ]} Argus также был предметом разработки стандартов сетевой безопасности и сетевого управления еще в RMON (1995 г.). ^{[ 9 ]} и ИПФИКС (2001). ^{[ 10 ]} и совсем недавно в ENISA.

Argus состоит из усовершенствованного комплексного генератора данных о сетевых потоках, монитора Argus, который обрабатывает пакеты (либо файлы захвата, либо текущие пакетные данные) и генерирует подробные отчеты о состоянии потока сетевого трафика для всех потоков в потоке пакетов. Argus отслеживает весь сетевой трафик , уровень данных , уровень управления и уровень управления, а не только трафик Интернет-протокола (IP). Argus фиксирует большую часть динамики пакетов и семантики каждого потока, значительно сокращая объем данных, поэтому вы можете эффективно хранить, обрабатывать, проверять и анализировать большие объемы сетевых данных. Argus предоставляет показатели достижимости , доступности , возможности подключения , продолжительности, скорости, нагрузки, пропускной способности, потерь , джиттера , повторной передачи (сети передачи данных) и задержки для всех сетевых потоков, а также фиксирует большинство атрибутов, доступных из содержимого пакета, например Адреса уровня 2, идентификаторы туннелей ( MPLS , GRE, IPsec и т. д.), идентификаторы протоколов, SAP, количество переходов, параметры, идентификация транспорта L4 ( обнаружение RTP ), управление потоком хоста. индикации и т. д. Компания Argus внедрила ряд показателей динамики пакетов, специально разработанных для обеспечения кибербезопасности. Argus обнаруживает поведение человека при вводе текста в любом потоке, но особый интерес представляет обнаружение нажатия клавиш в зашифрованном SSH. туннели . ^{[ 11 ]} и Argus генерирует соотношение производителей и потребителей (PCR), которое указывает, является ли сетевой объект производителем и/или потребителем данных. ^{[ 12 ]} важное свойство при оценке возможности вовлечения узла в эксфильтрацию, опосредованную расширенной постоянной угрозой (APT).

Argus — это проект с открытым исходным кодом ( GPL ), принадлежащий и управляемый компанией QoSient, LLC. Он портирован на большинство операционных систем и многие экзотические платформы с аппаратным ускорением, такие как Bivio, Pluribus, Arista и Tilera. Программное обеспечение должно быть переносимо для многих других сред с небольшими модификациями или без них. Производительность такова, что аудит интернет-активности всего предприятия можно выполнить, используя скромные вычислительные ресурсы.

Поддерживаемые платформы

Linux : операционная система Unix с ядром Linux.
MacOS : операционная система Apple для Intel и Apple Silicon.
Windows (под Cygwin ) — операционная система, разработанная Microsoft.
Solaris : операционная система Unix, разработанная Sun Microsystems.
BSD : семейство операционных систем Unix ( FreeBSD , NetBSD , OpenBSD ).
OS X : операционная система Unix, разработанная Apple Inc.
IRIX : операционная система Unix, разработанная Silicon Graphics.
AIX — операционная система Unix, разработанная IBM.
OpenWrt : операционная система Unix, использующая ядро Linux на встроенных устройствах.

Ссылки

^ «Опенаргус – Публикации» .
^ "Дом" . sectools.org .
^ Национальный центр компьютерной безопасности (31 июля 1987 г.). «Интерпретация доверенной сети (NCSC-TG-005)» . Ресурсный центр компьютерной безопасности .
^ Бейтлих, Ричард (2008). Дао мониторинга сетевой безопасности: помимо обнаружения вторжений (под ред. Nachdr.). Бостон, Мюнхен: Аддисон-Уэсли. ISBN 978-0321246776 .
^ Пилли, Эммануэль С.; Джоши, RC; Нийоги, Радждип (2010). «Сетевые криминалистические структуры: задачи опросов и исследований». Цифры. Расследовать . 7 (1–2): 14–27. дои : 10.1016/j.diin.2010.02.003 .
^ Г. Найчис, В. Секар, Д. Андерсен, Х. Ким, Х. Чжан, Эмпирическая оценка обнаружения аномалий трафика на основе энтропии, Материалы 8-й конференции ACM SIGCOMM по измерению Интернета, стр. 151–156, 20–22 октября, 2008, Вульягмени, Греция
^ Дж. Наус, Д. Эриксон, А. Ковингтон, Дж. Аппенцеллер, Н. Маккеун, Реализация коммутатора OpenFlow на платформе NetFPGA, Симпозиум по архитектуре сетевых и коммуникационных систем, стр. 1–9, 2008 г., Сан-Хосе, Калифорния
^ https://research.unsw.edu.au/projects/unsw-nb15-dataset ^{[ только URL ]}
^ ftp://ietf.org/ietf/rmonmib/rmonmib-минуты-94dec.txt
^ «Аргус-2.0.1» .
^ Саптарши Гуха, Пол Кидвелл, Асгрит Бартур, Уильям С. Кливленд, Джон Герт и Картер Буллард. 2011. Обнаружение пакетов нажатия клавиш SSH, ICS-2011 — Монтерей, Калифорния, 9–11 января.
^ Буллард, Картер; Герт, Джон (13 января 2014 г.). ПЦР — новая метрика потока (PDF) . FloCon 2014. Чарльстон, Южная Каролина, США.

Внешние ссылки

[1] «Опенаргус – Публикации» .

[2] "Дом" . sectools.org .

[3] Национальный центр компьютерной безопасности (31 июля 1987 г.). «Интерпретация доверенной сети (NCSC-TG-005)» . Ресурсный центр компьютерной безопасности .

[4] Бейтлих, Ричард (2008). Дао мониторинга сетевой безопасности: помимо обнаружения вторжений (под ред. Nachdr.). Бостон, Мюнхен: Аддисон-Уэсли. ISBN 978-0321246776 .

[5] Пилли, Эммануэль С.; Джоши, RC; Нийоги, Радждип (2010). «Сетевые криминалистические структуры: задачи опросов и исследований». Цифры. Расследовать . 7 (1–2): 14–27. дои : 10.1016/j.diin.2010.02.003 .

[6] Г. Найчис, В. Секар, Д. Андерсен, Х. Ким, Х. Чжан, Эмпирическая оценка обнаружения аномалий трафика на основе энтропии, Материалы 8-й конференции ACM SIGCOMM по измерению Интернета, стр. 151–156, 20–22 октября, 2008, Вульягмени, Греция

[7] Дж. Наус, Д. Эриксон, А. Ковингтон, Дж. Аппенцеллер, Н. Маккеун, Реализация коммутатора OpenFlow на платформе NetFPGA, Симпозиум по архитектуре сетевых и коммуникационных систем, стр. 1–9, 2008 г., Сан-Хосе, Калифорния

[8] ttps://research.unsw.edu.au/projects/unsw-nb15-dataset ^{[ только URL ]}

[9] tp://ietf.org/ietf/rmonmib/rmonmib-минуты-94dec.txt

[10] «Аргус-2.0.1» .

[11] Саптарши Гуха, Пол Кидвелл, Асгрит Бартур, Уильям С. Кливленд, Джон Герт и Картер Буллард. 2011. Обнаружение пакетов нажатия клавиш SSH, ICS-2011 — Монтерей, Калифорния, 9–11 января.

[12] Буллард, Картер; Герт, Джон (13 января 2014 г.). ПЦР — новая метрика потока (PDF) . FloCon 2014. Чарльстон, Южная Каролина, США.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]