Основные характеристики АПК Аргус версии 1.5

Наименование: Аппаратно-программный комплекс обнаружения компьютерных атак «Аргус» версии 1.5 (АПК Аргус).

Обозначение изделия: ДВИК.40006-15

Сертификация:

соответствует классу В требований ФСБ России к системам обнаружения компьютерных атак – регистрационный номер Сертификата соответствия СФ/СЗИ-0039 от "25" декабря 2014 г. (срок действия – до 31 декабря 2017 г);
имеет сертификат соответствия ФСТЭК России № 2487 от 23 ноября 2011 г. (срок действия – до 23 ноября 2017 г.)

Скорость анализа сетевых потоков: 1 Гбит/с в каждом из направлений передачи данных (при подключении к линии в режиме Full-Duplex).

Подключение к контролируемой сети: Т-образное (span) и мостовое.

Самозащита и скрытие присутствия: NO PAUSE FRAME, NO ARP, NO IP, NO STP.

Способ поиска компьютерных атак: сигнатурный и статистический анализ трафика.

Сигнатурный анализатор помимо стандартных подходов поиска в payload данных по шаблону использует анализаторы протоколов. Анализаторы протоколов настраиваются гибким языком сценариев. Сигнатурный анализатор поддерживает расширенное описание сигнатур (зависимые сигнатуры, поля прикладных протоколов). Реализована возможность отключения срабатывания отдельной сигнатуры или переназначения ей уровня критичности. Обладает устойчивостью к методам обхода систем обнаружения компьютерных атак.
Статистический анализатор основан на протоколе Netflow и встроенном коллекторе. Имеется возможность использования АПК Аргус в качестве сенсора для внешних коллекторов Netflow v5/9/IPFIX.

Наличие WEB-интерфейса управления.

Поддерживаемые протоколы:

транспортного уровня: ARP, IP, ICMP, TCP, UDP;
прикладного уровня: DHCP, SunRPC, DCE_RPC, DNS, Finger, Gnutella, FTP, HTTP, Ident, IRC, Netbios-SSN, NCP, NFS, NTP, POP3, Portmapper, RSH, Rlogin, SMB, SSH, SSL, SMTP, Telnet.

Возможности описания политик безопасности:

На основе сценариев можно организовать политики безопасности, которые будут предназначены для контроля трафика на предмет наличия:

активности бот-сетей;
вирусной активности;
разведки IT-ресурсов (сетевое сканирование);
использования сетевых приложений (Web, ICQ и т.д.);
атак типа Bruteforce (перебор паролей методом «грубой силы») для протоколов HTTP, FTP, SMB, SSH, Telnet и др.;
инкапсуляции протоколов с целью создания туннелей;
аномалий в работе протоколов и отклонений от RFC на основе статистического и эвристического анализа;
распределенных во времени атак, проводимых с использованием различных протоколов.

Язык описания политик состоит из следующих конструкций:

переменные, константы, переопределяемые переменные;
типы данных: регулярное выражение, целые, десятичные, строка, время, запись, список, таблица, множество, перечисление, – поддержка неявной типизации по контексту;
операторы: отрицания, логические, арифметические;
циклы, условия, операторы перехода;
области видимости: файл, функция;
директивы препроцессора: загрузка файлов политик и сигнатур;
предопределение функций, функции, функции-события;
обработчик события, планировщик события;
поддержка регулярных выражений.

Расширенное описание сигнатур позволяет:

устанавливать зависимости между сигнатурами в рамках соединения (например, условием проверки текущей сигнатуры является срабатывание другой сигнатуры, настроенной на ответ сервера об ошибке);
задавать несколько регулярных выражений;
задавать регулярные выражения, как для всего пакета или сессии, так и для отдельных полей прикладных протоколов;
объект сигнатуры имеет доступ к контексту соединения для прикладных протоколов, поэтому можно параметризировать свойства соединения, в рамках которого ожидается реакция: направление, статус, порт, адрес, протокол.

Возможности Netflow-статистики:

хосты, использующие большой процент пропускной способности сети;
хосты с большим числом контактов с другими хостам сети;
хосты, использующие запрещенные протоколы или некорректно использующие разрешенные протоколы;
общее процентное соотношение используемых протоколов, в том числе и соотношение трафика протоколов TCP и UDP;
общие показатели трафика: количество пакетов, объем;
общее распределение трафика по портам TCP и UDP;
список активных хостов в сети с индивидуальными общими характеристиками трафика хостов (размер, пакеты, используемые протоколы, TCP/UDP-сессии и TCP/UDP-порты);
загруженность сети по задаваемым интервалам времени;
общее процентное соотношение трафика между хостами локальной подсети и между локальными и внешними хостами;
матрица хостов локальной сети с объемом трафика, которым они обмениваются.

Возможности коммуникации с комплексом:

Web интерфейс;
Telnet console;
COM port;
USB;
FTP;
Возможность организации защиты канала управления с использованием российских сертифицированных криптографических средств.

Сообщения об атаках и характеристиках сети передаются по протоколам:

SMTP;
SYSLOG;
Netflow 5/9/IPFIX;
Протокол надежного транспорта ООО «ЦСС».

Протокол надёжного транспорта сообщений характеризуется следующими отличительными свойствами:

архитектура «Клиент-Сервер»;
реализация механизмов квитирования и ретрансляции сообщений;
реализация механизмов транзакций в очередях и хранилищах сообщений;
реализация механизмов динамического изменения правил маршрутизации сообщений;
поддержка механизмов криптографической защиты сообщений при передаче по каналам связи (для реализации данного свойства используются сертифицированные ФСБ России криптобиблиотеки "Агава-А" и "Агава-Про" производства ООО «Р-Альфа»);
поддержка механизмов аутентификации и авторизации компонентов подсистемы;
поддержка различных протоколов транспорта: TCP/UDP/ICMP для передачи сообщений по электронным (сетевым) каналам связи;
физические перемещения промежуточных хранилищ сообщений на съёмных носителях информации (например, USB Flash диски) для передачи сообщений при отсутствии электронных (сетевых) каналов связи;
поддержка передачи структурированных (IDMEF) и типизированных неструктурированных (BLOB) сообщений;
мультиплатформенная реализация: Unix/Linux/BSD/Windows.

Загрузить PDF >>>