Argus – system generowania i wykorzystywania rekordów audytu
Argus – the Audit Record Generation and Utilization System jest pierwszą implementacją monitorowania przepływu w sieci i jest trwającym projektem monitorowania przepływu w sieci typu open source. Założony przez Cartera Bullarda w 1984 roku w Georgia Tech i opracowany z myślą o bezpieczeństwie cybernetycznym na Carnegie Mellon University na początku lat 90 . [1] .
Projekt Argus koncentruje się na rozwoju wszystkich aspektów świadomości sytuacyjnej sieci na dużą skalę i ustanowieniu ścieżki audytu sieci w celu wsparcia operacji sieciowych ( NetOps ), zarządzania wydajnością i bezpieczeństwem. Zmotywowany rekordem szczegółów połączeń telekomunikacyjnych (CDR), Argus próbuje wygenerować metadane sieciowe , które można wykorzystać do wykonania dużej liczby zadań związanych z zarządzaniem siecią . Argus jest używany przez wiele uniwersytetów, korporacji i jednostek rządowych, w tym amerykańskie DISA , DoD, DHS , FFRDC , GLORIAD i znajduje się na liście Top 100 Internet Security Tool. Argus został zaprojektowany jako w czasie rzeczywistym , a jego dane mogą być wykorzystywane do śledzenia, alarmowania i ostrzegania o warunkach sieci przewodowej. Dane można również wykorzystać do przeprowadzenia kompleksowego audytu całego ruchu sieciowego, zgodnie z opisem w Czerwonej Księdze Departamentu Obrony Stanów Zjednoczonych NCSC-TG-005, uzupełniającego tradycyjne zabezpieczenia sieci oparte na systemie wykrywania włamań (IDS) . Ścieżka audytu jest tradycyjnie wykorzystywana jako historyczne pomiarowe ruchu sieciowego do analizy sieciowej i wykrywania anomalii w zachowaniu sieci (NBAD). Argus był szeroko stosowany w cyberbezpieczeństwie , kompleksowej analizie wydajności, a ostatnio w badaniach sieci definiowanych programowo (SDN). Argus był również tematem rozwoju standardów zarządzania siecią . RMON (1995) i IPFIX (2001).
Argus składa się z zaawansowanego, kompleksowego generatora danych o przepływie w sieci, monitora Argus, który przetwarza pakiety (zarówno przechwytywane pliki, jak i aktualne dane pakietowe) i generuje szczegółowe raporty o stanie przepływu ruchu w sieci dla wszystkich przepływów w strumieniu pakietów. Argus monitoruje cały ruch sieciowy , płaszczyznę danych , płaszczyznę kontroli i płaszczyznę zarządzania, a nie tylko ruch protokołu internetowego (IP). Argus przechwytuje znaczną część dynamiki pakietów i semantyki każdego przepływu, przy znacznej redukcji danych, dzięki czemu można wydajnie przechowywać, przetwarzać, sprawdzać i analizować duże ilości danych sieciowych. Argus zapewnia osiągalność , dostępność , łączność , czas trwania, szybkość, obciążenie, dobry wynik, utratę , jitter , retransmisję (sieci danych) i opóźnienia dla wszystkich przepływów sieciowych i przechwytuje większość atrybutów, które są dostępne z zawartości pakietu, takie jak Adresy warstwy 2, identyfikatory tuneli ( MPLS , GRE, IPsec itp.), identyfikatory protokołów, SAP, liczba przeskoków, opcje, identyfikacja transportu L4 ( wykrywanie RTP ), wskazania kontroli przepływu hosta itp. Firma Argus zaimplementowała szereg metryk dynamiki pakietów zaprojektowanych specjalnie dla cyberbezpieczeństwa. Argus wykrywa zachowania ludzi związane z pisaniem na klawiaturze w dowolnym przepływie, ale szczególnie interesujące jest wykrywanie naciśnięć klawiszy w zaszyfrowanych tunelach SSH . a Argus generuje współczynnik producentów-konsumentów (PCR), który wskazuje, czy jednostka sieciowa jest producentem i/lub konsumentem danych, co jest ważną właściwością przy ocenie potencjału zaangażowania węzła w eksfiltrację za pośrednictwem zaawansowanego trwałego zagrożenia (APT ) .
Argus jest projektem Open Source ( GPL ), którego właścicielem i zarządcą jest QoSient, LLC, i został przeniesiony na większość systemów operacyjnych i wiele platform akcelerowanych sprzętowo, takich jak Bivio, Pluribus, Arista i Tilera. Oprogramowanie powinno być przenośne do wielu innych środowisk z niewielkimi lub żadnymi modyfikacjami. Wydajność jest taka, że audyt całej aktywności internetowej przedsiębiorstwa można przeprowadzić przy użyciu skromnych zasobów obliczeniowych.
Obsługiwane platformy
- Linux : system operacyjny Unix z uruchomionym jądrem Linux
- Solaris : system operacyjny Unix opracowany przez firmę Sun Microsystems
- BSD : rodzina systemów operacyjnych Unix ( FreeBSD , NetBSD , OpenBSD )
- OS X : system operacyjny Unix opracowany przez firmę Apple Inc.
- IRIX : system operacyjny Unix opracowany przez firmę Silicon Graphics
- AIX , system operacyjny Unix opracowany przez IBM
- Windows , (pod Cygwin ) system operacyjny opracowany przez Microsoft
- OpenWrt : system operacyjny Unix z jądrem Linuksa na urządzeniach wbudowanych