ACARM-ng

The topic of this article may not meet Wikipedia's notability guidelines for products and services. Please help to demonstrate the notability of the topic by citing reliable secondary sources that are independent of the topic and provide significant coverage of it beyond a mere trivial mention. If notability cannot be shown, the article is likely to be merged, redirected, or deleted. Find sources: "ACARM-ng" – news · newspapers · books · scholar · JSTOR (August 2012) (Learn how and when to remove this message)

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed. Find sources: "ACARM-ng" – news · newspapers · books · scholar · JSTOR (August 2012) (Learn how and when to remove this message)

ACARM-ng
原作者	バルトロミエ・バルチェレク バルトシュ・シュルゴット ヴォイチェフ・ワガ マリウシュ・ウクロンスキ
開発者	WCSS
初回リリース	2011年2月14日 (2011-02-14)
安定版リリース	1.1.1 [1] / 2012年5月29日; 13年前 (2012-05-29)
書かれた	C++ パイソン
オペレーティング·システム	リナックス
前任者	ACARM
タイプ	侵入検知システム 侵入防止システム
ライセンス	GPLv2
Webサイト	www.acarm.wcss.wroc.pl

ACARM-ng（アラート相関、評価、対応モジュール - 次世代）は、オープンソースの IDS / IPSシステムです。ACARM-ngは、コンピュータネットワークのトラフィック分析を大幅に効率化するアラート相関ソフトウェアです。ネットワークセンサー（NIDS）とホストセンサー（HIDS）から送信されるアラートの収集と相関処理を担います。相関処理は、類似のイベントを悪意のあるアクティビティの論理的な構成要素を表すグループに統合することで、システム管理者が確認する必要があるメッセージの総数を可能な限り削減することを目的としています。

ACARMの初期バージョンは、2004年から2007年にかけてPOSITIFヨーロッパ研究プロジェクトの枠組みの中で開発されました。これは実用的な概念実証としてJavaで書かれており、記事で紹介されています。^[2]スケーラビリティの低さと効率性の問題にもかかわらず、このソフトウェアは非常に有用であることが証明されました。

2009年末、現在の設計には深刻な欠陥があり、そもそもパフォーマンスが低いことが明らかになりました。その結果、プロジェクトは中止されました。同年後半、ACARM-ngという愛称の新しいプロジェクトが開始され、オリジナルのACARMの後継を目指しました。ACARM-ngは、そのスケーラビリティとプラグインベースのアーキテクチャにより、アラート相関を新たな次元へと引き上げることを目指しました。2009年以降、ヴロツワフ・ネットワーク・スーパーコンピューティング・センター（Wroclaw Centre for Networking and Supercomputing）のPL-Gridプロジェクトの一環として、積極的に開発が進められています。 ^[3]

ACARM-ng の主な機能は次のとおりです。

• 汎用フレームワーク（プラグインでシステムを簡単に拡張できます）
• マルチスレッド実装
• CPU使用率とメモリ使用量が低い
• 最先端のオブジェクト指向設計手法を用いた実装
• 定期的なアラート処理
• リアルタイムの情報提供と対応
• ウェブベースのデータ視覚化
• 報告を遅らせない長い相関時間ウィンドウ

ACARM-ng は、相関デーモン、WUI、および (オプション)データベース エンジンという 3 つの主要要素で構成されています。

ACARM-ngのデーモンは、フレームワークソリューションとしてゼロから設計されました。ログ記録、アラート、システムコンポーネント間での相関メタアラートの受け渡し、エラー回復、マルチスレッド処理といったコアシステム機能を提供します。パッケージの残りの部分はプラグインであり、以下のクラスに分類されています。

• 永続性（データ抽象化）
• 入力（データ収集）
• フィルター（データの相関と修正）
• トリガー（自動報告と反応）^[4]

内蔵ソフトウェアウォッチドッグは、システム ステータスの最新情報を提供します。

WUIは、収集されたイベントと相関関係にあるイベントをグラフや表形式で表示することで、相関関係にあるデータを容易に閲覧できます。システム管理者は、システムのライフサイクル全体を通して、常に何が起こっているかを簡単に把握できます。

WUIとデーモンはデータベースを介して相互運用します。デーモンは収集したデータ、相関結果、および実行時設定を保存します。WUIはこれらのデータを読み取り、表示することができます。

デーモンの実行にはデータベースエンジンは必須ではありませんが、データを永続的に保存することを強くお勧めします。データベースの使用を拒否すると、WUI経由でシステム情報を取得できなくなり、システムの再起動時に履歴データが失われます。デーモンによって処理されなくなったイベントも破棄されます。

受信データの量を制限する必要がある場合がよくあります（例えば、cronスクリプトによって定期的に発生するアラートを削除するなど）。ユーザーがシステムの入力を独自のニーズに合わせて調整できるように、特別な「プリプロセッサ」コンポーネントが提供されています。これにより、一致する場合は受け入れるルールと一致する場合は拒否するルールの連鎖を定義し、相関エンジンに入る前に受信アラートを受け入れるか拒否するかを選択できます。

ACARM-ngのデーモンは、コアパッケージを再コンパイルすることなく、新しいプラグインの追加と削除を可能にします。これにより、システム開発とテストが大幅に容易になります。

使用する各プラグインは、まずメイン構成ファイルで構成する必要があります。

永続性はストレージレベルでの抽象化を提供します。この汎用インターフェースは、トランザクションメカニズムが提供されている限り、あらゆるデータ保存バックエンドの実装に使用できます。

ACARM-ng の最近の安定したリリースでは、次の永続性実装が提供されています。

• スタブ（すべての書き込み要求を無視します - データは保存されません）
• postgres（情報の保存にPostgreSQLデータベースを使用）

入力はデータ収集メカニズムの抽象化を提供します。実装における唯一の要件は、ACARM-ng互換の形式でアラートを出力することです。

ACARM-ng の最近の安定したリリースでは、次の入力実装が提供されています。

• ファイル（IDMEF形式のXMLファイルを読み取ります）
• prelude ( Prelude-Managerデータ収集ポイントからのアラートを読み取る)

フィルターは、相関関係とデータ更新のメカニズムを抽象化します。フィルターがメタアラートに対して実行できる操作に制限はありませんが、最も一般的な用途は類似アラートの相関関係を分析することです（この特殊なケース向けに特別に調整されたAPIが提供されています）。

ACARM-ng の最近の安定したリリースでは、次のフィルター実装が提供されています。

• 1対1（ホストのペア間のイベントを相関させる）
• 1対多（すべてのアラートのソースホストが同じであるイベントを相関させる）
• 多対一（イベントを相関させ、宛先ホストはすべてのアラートで同じです）
• 多対多（相関アラートの送信元ホストと宛先ホストのセットが類似しているイベントを相関させる）
• DNSリゾルバ (可能な場合はIPアドレスを DNS 名に解決します)
• IP ブラックリスト（疑わしいネットワークに属する送信元/宛先アドレスのアラートの優先順位を変更します）
• 同じ名前（同じ名前のイベントを関連付けます）
• イベント チェーン (次のマシンで発生したイベントを時系列順に相関させます。このようなソリューションはまれであり、「スキャン、ブレーキング、エスカレーション」のシーケンスを示している可能性があります)
• ユーザーモニター（1人のユーザーのアクションによってトリガーされたイベントを相関させる）
• 類似性（特定の閾値を超える、互いに類似したイベントを相関させます。2 つの要素の比較ではすべてのデータが考慮されます）
• 新しいイベント（システム上で以前は見られなかったイベントの優先順位を変更します）
• python (イベント相関にはユーザー提供のPythonスクリプトを使用)

トリガーは、レポートと対応のメカニズムを抽象化します。トリガーは設計上、データの内容を変更することはできませんが、アラートへの対応を開始します。典型的な用途としては、疑わしいイベントを管理者にリアルタイムで報告すること（例えば、電子メール経由）や、検出されたスレッドへの自動対応（例えば、ファイアウォールで悪意のあるホストをブロックすること）などがあります。

ACARM-ng の最近の安定したリリースでは、次のトリガー実装が提供されています。

• 疑わしいイベントについて管理者に通知する:
  • ファイル（相関イベントを含むIDMEF形式のファイルを作成します）
  • gg ( Gadu-Gadu インスタント メッセンジャーのプロトコルを使用)
  • jabber（XMPP（旧称Jabber）インスタントメッセンジャーのプロトコルを使用）
  • メール（電子メールを送信する）
• 自動反応手段の提供:
  • extapp (外部アプリケーション/スクリプトを実行し、関連するすべてのイベントをパラメータとして渡します)
  • python (イベント相関にはユーザー提供のPythonスクリプトを使用)
  • snort sam ( Snort のSnort Sam プラグインを使用して、さまざまな種類のファイアウォールを再構成します)

各トリガーは、特定の閾値、相関アラート数、あるいはデーモンのメインプリプロセッサと同様に定義されたその他のルールに反応するように個別に設定できます。このアプローチは完全に設定可能なソリューションを提供し、任意の複雑なルールを定義して誤検知を最小限に抑えることができます。特に、システムが疑わしいイベントに対して自律的に反応するように構成されている場合、誤検知を最小限に抑えることができます。

• 侵入検知システム（IDS）
• 侵入防止システム（IPS）
• プレリュードハイブリッドIDS
• スノート

• 公式サイト
• SourceForge の ACARM-ng
• メイン開発ブランチ（バザールリポジトリ）
• POSITIFフォルダ 2016年3月4日アーカイブWayback Machine