Argus - Audit yozuvlarini yaratish va ulardan foydalanish tizimi - Argus – Audit Record Generation and Utilization System - Wikipedia

Argus - Audit yozuvlarini yaratish va ulardan foydalanish tizimi tarmoq oqimini monitoring qilishning birinchi tadbiri bo'lib, davom etayotgan ochiq manbali tarmoq oqimi monitoringi loyihasidir. 1984 yilda Georgia Tech-da Karter Bullard tomonidan boshlangan va 1990-yillarning boshlarida Karnegi Mellon Universitetida kiber xavfsizlik uchun ishlab chiqilgan Argus Internetga muhim hissa qo'shgan kiber xavfsizlik 30 yil ichida texnologiya.[1] [1].

Tarmoq oqimini kuzatish vaqt jadvalini

Argus loyihasi keng miqyosli tarmoqning barcha jihatlarini rivojlantirishga qaratilgan vaziyatni anglash va tarmoq auditorlik izi Tarmoq operatsiyalarini qo'llab-quvvatlash uchun tashkil etish (NetOps ), Ishlash va xavfsizlikni boshqarish. Telekom tomonidan motivatsiya qilingan Tafsilotlarni yozib oling (CDR), Argus tarmoq yaratishga urinmoqda metadata juda ko'p sonini bajarish uchun ishlatilishi mumkin tarmoqni boshqarish vazifalar. Argus ko'plab universitetlar, korporatsiyalar va davlat tashkilotlari, shu jumladan AQSh tomonidan qo'llaniladi DISA, DoD, DHS, FFRDKlar, GLORIAD va bu Internet xavfsizligining eng yaxshi 100 vositasi.[2] Argus a bo'lishi uchun mo'ljallangan haqiqiy vaqt vaziyatni anglash tizimi va uning ma'lumotlari simli tarmoq sharoitlarini kuzatish, signalizatsiya va ogohlantirish uchun ishlatilishi mumkin. Ma'lumotlardan, shuningdek, tasvirlanganidek, barcha tarmoq trafigi bo'yicha keng qamrovli auditni o'rnatish uchun foydalanish mumkin Qizil kitob, AQSh DoD NCSC-TG-005,[3] an'anaviyni to'ldiradi Intruziyani aniqlash tizimi (IDS) asosida tarmoq xavfsizligi.[4] Auditorlik izi an'anaviy ravishda tarixiy sifatida ishlatiladi tarmoq trafigini o'lchash uchun ma'lumotlar tarmoq sud ekspertizasi[5] va Tarmoq xatti-harakatlarini anomaliyani aniqlash (NBAD).[6] Argus-dan keng foydalanilgan kiberxavfsizlik, uchidan oxirigacha ishlash tahlili va yaqinda, dasturiy ta'minot bilan belgilangan tarmoq (SDN) tadqiqotlari.[7] Argus ham mavzu bo'ldi tarmoqni boshqarish standartlarni ishlab chiqish. RMON (1995) [8] va IPFIX (2001).[9]

Argus paketlarni qayta ishlovchi (fayllarni yoki jonli paketli ma'lumotlarni) va batafsil tarmoqni ishlab chiqaradigan rivojlangan keng qamrovli tarmoq oqimi ma'lumotlarini ishlab chiqaruvchi Argus monitoridan iborat. transport oqimi paketlar oqimidagi barcha oqimlarning holati to'g'risida hisobotlar. Argus hammasini nazorat qiladi tarmoq trafigi, ma'lumotlar tekisligi, boshqaruv tekisligi va boshqaruv tekisligi, nafaqat Internet protokoli (IP) trafik. Argus har bir oqimning paketli dinamikasi va semantikasining katta qismini, shu bilan birga ma'lumotlarning katta hajmini qisqartirishni o'z ichiga oladi, shuning uchun siz katta miqdordagi tarmoq ma'lumotlarini saqlashingiz, qayta ishlashingiz, tekshirishingiz va tahlil qilishingiz mumkin. Argus beradi erishish imkoniyati, mavjudlik, ulanish, davomiyligi, darajasi, yuki, yaxshi yo'qotish, chayqalish, qayta uzatish (ma'lumotlar tarmoqlari) va barcha tarmoq oqimlari uchun ko'rsatkichlarni kechiktiradi va paket tarkibidan olinadigan atributlarning aksariyatini, masalan, Layer 2 manzillari, tunnel identifikatorlari (MPLS, GRE, IPsec va boshqalar ...), protokol identifikatorlari, SAP, hop-count, variantlar, L4 transport identifikatsiyasi (RTP aniqlash), xost oqimini boshqarish ko'rsatkichlari va boshqalar ... Argus kiberxavfsizlik uchun maxsus ishlab chiqilgan bir qator paket dinamikasi ko'rsatkichlarini amalga oshirdi. Argus har qanday oqimda odamning yozish xatti-harakatini aniqlaydi, ammo shifrlangan SSH-da klaviatura zarbasini aniqlash alohida qiziqish uyg'otadi. tunnellar.[10] va Argus ishlab chiqaruvchilarning iste'molchilar nisbati (PCR) ni ishlab chiqaradi, bu tarmoq sub'ekti ma'lumot ishlab chiqaruvchi va / yoki iste'molchi ekanligini ko'rsatib beradi,[11] ga qo'shilish uchun potentsialni baholashda muhim xususiyat Murakkab tahdid (APT) vositachilik bilan eksfiltratsiya.

Argus - bu ochiq manba (GPL ) QoSient, LLC tomonidan boshqariladigan va boshqaradigan loyiha aksariyat operatsion tizimlarga va Bivio, Pluribus, Arista va Tilera kabi ko'plab tezlashtirilgan platformalarga ko'chirilgan. Dasturiy ta'minot ko'plab boshqa muhitlarga ko'chirilishi kerak, ular modifikatsiyasiz yoki umuman o'zgartirilmaydi. Ishlash shundan iboratki, butun bir korxonaning Internet faoliyatini tekshirish oddiy kompyuter resurslaridan foydalangan holda amalga oshirilishi mumkin.

Qo'llab-quvvatlanadigan platformalar

Adabiyotlar

  1. ^ https://openargus.org/publications
  2. ^ http://sectools.org
  3. ^ http://csrc.nist.gov/publications/secpubs/rainbow/tg005.txt
  4. ^ R. Bejtlich, Tarmoq xavfsizligi monitoringi Tao: Intruziyani aniqlashdan tashqari, Nyu-York: Addison-Uesli, 2004.
  5. ^ Pilli, Emmanuel S.; Joshi, R. C .; Niyogi, Rajdeep (2010). "Tarmoq sud-tibbiyot asoslari: So'rov va tadqiqot muammolari". Raqam. Tergov. 7 (1–2): 14–27. doi:10.1016 / j.diin.2010.02.003.
  6. ^ G. Nychis, V. Sekar, D Andersen, X Kim, H Chjan, Entropiyaga asoslangan trafik anomaliyasini aniqlashning empirik bahosi, Internetni o'lchash bo'yicha 8-ACM SIGCOMM konferentsiyasi materiallari, 151-156 betlar, 20-22 oktyabr, 2008 , Vuliagmeni, Gretsiya
  7. ^ J. Naous, D. Ericson, A. Covington, G Appenzeller, N. McKeown, NetFPGA platformasida OpenFlow kalitini amalga oshirish, Tarmoq va aloqa tizimlari uchun arxitektura bo'yicha simpozium, 2008 yil 1-9-betlar, San-Xose, Kaliforniya
  8. ^ ftp://ietf.org/ietf/rmonmib/rmonmib-minutes-94dec.txt
  9. ^ http://www.ietf.org/proceedings/51/slides/ipfx-2/sld001.htm
  10. ^ Saptarshi Guha, Pol Kidvell, Asgrit Barthur, Uilyam S Klivlend, Jon Gert va Karter Bullard. 2011. SSH klaviatura paketini aniqlash, ICS-2011 - Monterey, Kaliforniya, 9–11-yanvar.
  11. ^ https://qosient.com/argus/presentations/Argus.FloCon.2014.PCR.Presentation.pdf

Tashqi havolalar