Argus: el sistema de generación y utilización de registros de auditoría es la primera implementación de monitoreo de flujo de red y es un proyecto de monitoreo de flujo de red de código abierto en curso. Fundada por Carter Bullard en 1984 en Georgia Tech, y desarrollada para la seguridad cibernética en la Universidad Carnegie Mellon a principios de la década de 1990, Argus ha sido un importante contribuyente a la tecnología de seguridad cibernética de Internet durante sus 30 años. [1] [1] .
El Proyecto Argus se centra en desarrollar todos los aspectos del conocimiento de la situación de la red a gran escala y el establecimiento de pistas de auditoría de la red en apoyo de las operaciones de red ( NetOps ), la gestión del rendimiento y la seguridad. Motivado por el registro detallado de llamadas (CDR) de la empresa de telecomunicaciones , Argus intenta generar metadatos de red que se pueden utilizar para realizar una gran cantidad de tareas de administración de red . Argus es utilizado por muchas universidades, corporaciones y entidades gubernamentales, incluyendo US DISA , DoD, DHS , FFRDCs , GLORIAD y es una de las 100 mejores herramientas de seguridad en Internet. [2] Argus está diseñado para ser un sistema de conocimiento de la situación en tiempo real, y sus datos se pueden usar para rastrear, alertar y alertar sobre las condiciones de la red alámbrica. Los datos también se pueden usar para establecer una auditoría integral de todo el tráfico de la red, como se describe en el Libro Rojo , Departamento de Defensa de los EE. UU. NCSC-TG-005, [3] que complementa la seguridad de red tradicional basada en el sistema de detección de intrusiones (IDS) . [4] La pista de auditoría se utiliza tradicionalmente como datos históricos de medición de tráfico de red para análisis forense de redes [5] y Detección de anomalías de comportamiento de red (NBAD). [6] Argus se ha utilizado ampliamente en ciberseguridad , análisis de rendimiento de un extremo a otro y, más recientemente, en la investigación de redes definidas por software (SDN). [7] Argus también ha sido un tema en el desarrollo de estándares de gestión de redes . RMON (1995) [8] e IPFIX (2001). [9]
Argus está compuesto por un generador de datos de flujo de red completo avanzado, el monitor Argus, que procesa paquetes (ya sea archivos de captura o datos de paquetes en vivo) y genera informes detallados del estado del flujo de tráfico de la red de todos los flujos en el flujo de paquetes. Argus supervisa todo el tráfico de la red , del plano de datos , plano de control y gestión avión, no sólo de Protocolo de Internet (IP) de tráfico. Argus captura gran parte de la dinámica y la semántica de los paquetes de cada flujo, con una gran reducción de datos, para que pueda almacenar, procesar, inspeccionar y analizar grandes cantidades de datos de red de manera eficiente. Argus proporciona accesibilidad , disponibilidad y conectividad, duración, velocidad, carga, buena puesta, pérdida , fluctuación , retransmisión (redes de datos) y métricas de retardo para todos los flujos de red, y captura la mayoría de los atributos que están disponibles en el contenido del paquete, como direcciones de capa 2, identificadores de túnel ( MPLS , GRE, IPsec , etc ...), ID de protocolo, SAP, recuento de saltos, opciones, identificación de transporte L4 ( detección de RTP ), indicaciones de control de flujo de host, etc ... Argus ha implementado una serie de métricas de dinámica de paquetes específicamente diseñado para la seguridad cibernética. Argus detecta el comportamiento de tipeo humano en cualquier flujo, pero es de particular interés la detección de pulsaciones de teclas en túneles SSH cifrados . [10] y Argus genera el índice productor-consumidor (PCR) que indica si una entidad de la red es un productor y / o consumidor de datos, [11] una propiedad importante al evaluar el potencial de un nodo para estar involucrado en una amenaza persistente avanzada (APT) mediada exfiltración.
Argus es un proyecto de código abierto ( GPL ), propiedad y administrado por QoSient, LLC, y se ha adaptado a la mayoría de los sistemas operativos y muchas plataformas aceleradas por hardware, como Bivio, Pluribus, Arista y Tilera. El software debe ser portátil para muchos otros entornos con pocas modificaciones o ninguna. El rendimiento es tal que se puede auditar la actividad de Internet de toda una empresa utilizando recursos informáticos modestos.