ФЛАИМ

ФЛАИМ
Разработчик(и)	LAIM Рабочая группа – NCSA
Стабильная версия	0.7.0 / 29 февраля 2008 г.
Операционная система	Linux , FreeBSD , NetBSD , OpenBSD , Mac OS X
Тип	Безопасность / конфиденциальность
Лицензия	Лицензия BSD
Веб-сайт	Флайм .ncsa .uiuc .edu

FLAIM (фреймворк для анонимизации журналов и управления информацией) — это модульный инструмент, предназначенный для обеспечения совместного использования компьютерных и сетевых журналов посредством применения комплексных политик очистки данных. ^{[ 1 ]}

FLAIM ориентирован на 3 разных сообщества пользователей. Во-первых, FLAIM может использоваться инженером по безопасности, который расследует масштабный инцидент, охватывающий несколько организаций. Из-за конфиденциальности, присущей журналам безопасности, многие организации неохотно делятся ими. Однако это нежелание препятствует обмену информацией, необходимому для расследования вторжений, которые обычно выходят за рамки организаций. Во-вторых, любому, кто разрабатывает инструменты анализа журналов или компьютерной криминалистики, нужны данные, на которых можно протестировать свои инструменты. ^{[ 2 ]} Чем больше и разнообразнее набор данных, тем надежнее они смогут сделать свои инструменты. Для многих это означает, что им придется собирать множество журналов из внешних источников, а не только те, которые они могут создать собственными силами. Опять же, для этого требуется совместное использование журналов. В-третьих, исследователям во многих дисциплинах информатики (например, сетевых измерениях , компьютерной безопасности и т. д.) для изучения необходимы большие и разнообразные наборы данных. Наличие инструментов очистки данных делает организации более склонными делиться с этими исследователями своими собственными журналами.

FLAIM доступен в соответствии с Initiative лицензией открытого исходного кода Университета Иллинойса/NCSA, одобренной Open Source . Это лицензия в стиле BSD . ^{[ 3 ]} Он работает в Unix и Unix-подобных системах, включая Linux , FreeBSD , NetBSD , OpenBSD и Mac OS X.

Хотя FLAIM — не единственный анонимайзер журналов , он уникален своей гибкостью в создании сложных политик XML и поддержкой нескольких типов журналов. ^{[ 1 ]} Точнее, это единственный такой инструмент, позволяющий достичь следующих 4 целей. (1) FLAIM предоставляет разнообразный набор примитивов анонимизации. (2) FLAIM поддерживает несколько типов журналов, включая журналы учета процессов Linux, оповещения netfilter , трассировки tcpdump и NFDUMP NetFlows . ^{[ 4 ]} (3) Благодаря гибкому языку политики анонимизации можно реализовать сложные политики, обеспечивающие компромисс между потерей информации и безопасностью. (4) FLAIM является модульным и легко расширяется для новых типов журналов и данных. Механизм анонимизации не зависит от синтаксиса фактического журнала.

История

Работа над анонимизацией журналов началась в 2004 году в NCSA . Сначала это было сделано для внутренней анонимизации журналов, которыми можно было поделиться с группой SIFT. Вскоре возникла необходимость в более мощной анонимизации и анонимизации разных типов логов. ^{[ 5 ]} CANINE был создан для анонимизации и преобразования между несколькими форматами NetFlows . ^{[ 6 ]}^{[ 7 ]} Это был инструмент на основе графического интерфейса Java. Позже был создан Scrub-PA для анонимизации журналов учета процессов. ^{[ 8 ]} Scrub-PA был основан на коде Java, используемом для CANINE. Разработка обоих этих инструментов финансировалась исследовательским центром Управления военно-морских исследований НКАССР в рамках проекта SLAGEL. ^{[ 9 ]}

Быстро стало понятно, что создание одноразовых инструментов для каждого нового формата журналов — не лучший вариант. Кроме того, более ранние инструменты были ограничены тем, что их нельзя было создавать из командной строки. Было решено, что UNIX необходим новый модульный инструмент на базе командной строки. Поскольку скорость также вызывала беспокойство, этот инструмент нужно было написать на C++ . После успешного получения гранта Cyber Trust от Национального научного фонда LAIM была сформирована рабочая группа в NCSA . ^{[ 10 ]} В рамках этого проекта, возглавляемого ИП Адамом Слагеллом, был разработан FLAIM для преодоления этих ограничений CANINE и Scrub-PA. Первая общедоступная версия FLAIM, 0.4., была выпущена 23 июля 2006 г. ^{[ 11 ]}

Функции

Гибкий XML язык политики
Модульный модуль для поддержки простых плагинов для новых типов журналов.
Поддержка основных UNIX-подобных операционных систем.
Встроенная поддержка нескольких примитивов анонимизации.
Плагин NFDUMP для формата NetFlows
Плагин для netfilter журналов брандмауэра
Плагин для pcap трассировки из tcpdump
Плагин для журналов учета процессов Linux

Ссылки

^ Jump up to: ^а ^б Сладжелл А., Лаккараджу К. и Луо К., «FLAIM: многоуровневая платформа анонимизации для компьютерных и сетевых журналов», 20-я конференция администраторов больших систем установки USENIX (LISA '06), Вашингтон, округ Колумбия, декабрь. ., 2006.
^ Гарфинкель, С. «Судебно-медицинская экспертиза: вызов судебно-медицинским исследованиям» (PDF) . Проверено 4 декабря 2007 г.
^ «Лицензия ФЛАИМ» . Архивировано из оригинала 28 июня 2007 г. Проверено 4 декабря 2007 г.
^ «FLAIM (фреймворк для анонимизации журналов и управления информацией)» . Архивировано из оригинала 27 августа 2007 г. Проверено 4 декабря 2007 г.
^ Сладжелл А., Ли Ю. и Луо К., «Общий доступ к сетевым журналам для компьютерной криминалистики: новый инструмент для анонимизации записей NetFlow», Семинар по исследованию компьютерных сетей (CNFR), Афины, Греция, сентябрь. ., 2005.
^ Луо К., Ли Ю., Слагелл А. и Юрчик В., «CANINE: инструмент конвертера/анонимайзера NetFlow для совместимости форматов и безопасного совместного использования», FLOCON — Семинар по анализу сетевых потоков, Питтсбург, Пенсильвания, Сентябрь 2005 г.
^ Ли, Ю., Слагелл, А., Луо, К., и Юрчик, В., «CANINE: комбинированный инструмент преобразования и анонимизации для обработки NetFlows в целях безопасности», 10-я Международная конференция по телекоммуникационным системам, моделированию и анализу, Даллас , Техас, ноябрь 2005 г.
^ Луо К., Ли Ю., Эрмопулос К., Юрчик В. и Слагелл А., «Scrub-PA: многоуровневый, многомерный инструмент анонимизации для учета процессов», ACM Computing Research. Репозиторий (CoRR), Технический отчет cs.CR/0601079, январь 2006 г.
^ «SLAGEL (Анонимизация системных журналов для лучшего обмена журналами)» . Проверено 4 декабря 2007 г. ^{[ постоянная мертвая ссылка ]}
^ «Рабочая группа по анонимизации журналов и управлению информацией (LAIM)» . Архивировано из оригинала 18 августа 2007 г. Проверено 4 декабря 2007 г.
^ «Архив новостей NCSA 2006» . Проверено 4 декабря 2007 г.

Луо К., Ли Ю., Слэджелл А. и Юрчик В. « CANINE: инструмент преобразования/анонимайзера NetFlow для совместимости форматов и безопасного совместного использования », FLOCON — Конференция по анализу сетевых потоков, Питтсбург, Пенсильвания, сентябрь ., 2005. Архивировано 25 июня 2006 г. в Wayback Machine.

Внешние ссылки

[slagell06-1] Jump up to: ^а ^б Сладжелл А., Лаккараджу К. и Луо К., «FLAIM: многоуровневая платформа анонимизации для компьютерных и сетевых журналов», 20-я конференция администраторов больших систем установки USENIX (LISA '06), Вашингтон, округ Колумбия, декабрь. ., 2006.

[2] Гарфинкель, С. «Судебно-медицинская экспертиза: вызов судебно-медицинским исследованиям» (PDF) . Проверено 4 декабря 2007 г.

[3] «Лицензия ФЛАИМ» . Архивировано из оригинала 28 июня 2007 г. Проверено 4 декабря 2007 г.

[4] «FLAIM (фреймворк для анонимизации журналов и управления информацией)» . Архивировано из оригинала 27 августа 2007 г. Проверено 4 декабря 2007 г.

[5] Сладжелл А., Ли Ю. и Луо К., «Общий доступ к сетевым журналам для компьютерной криминалистики: новый инструмент для анонимизации записей NetFlow», Семинар по исследованию компьютерных сетей (CNFR), Афины, Греция, сентябрь. ., 2005.

[6] Луо К., Ли Ю., Слагелл А. и Юрчик В., «CANINE: инструмент конвертера/анонимайзера NetFlow для совместимости форматов и безопасного совместного использования», FLOCON — Семинар по анализу сетевых потоков, Питтсбург, Пенсильвания, Сентябрь 2005 г.

[7] Ли, Ю., Слагелл, А., Луо, К., и Юрчик, В., «CANINE: комбинированный инструмент преобразования и анонимизации для обработки NetFlows в целях безопасности», 10-я Международная конференция по телекоммуникационным системам, моделированию и анализу, Даллас , Техас, ноябрь 2005 г.

[8] Луо К., Ли Ю., Эрмопулос К., Юрчик В. и Слагелл А., «Scrub-PA: многоуровневый, многомерный инструмент анонимизации для учета процессов», ACM Computing Research. Репозиторий (CoRR), Технический отчет cs.CR/0601079, январь 2006 г.

[9] «SLAGEL (Анонимизация системных журналов для лучшего обмена журналами)» . Проверено 4 декабря 2007 г. ^{[ постоянная мертвая ссылка ]}

[laimhome-10] «Рабочая группа по анонимизации журналов и управлению информацией (LAIM)» . Архивировано из оригинала 18 августа 2007 г. Проверено 4 декабря 2007 г.

[11] «Архив новостей NCSA 2006» . Проверено 4 декабря 2007 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]