FLAIM

FLAIM
Utvecklare	LAIM -arbetsgruppen - NCSA
Stabil frisättning	0.7.0 / 29 februari 2008
Operativ system	Linux , FreeBSD , NetBSD , OpenBSD , Mac OS X
Typ	Säkerhet / Sekretess
Licens	BSD-licens
Hemsida	http://flaim.ncsa.uiuc.edu/

FLAIM (Framework for Log Anonymization and Information Management) är ett modulärt verktyg utformat för att möjliggöra delning av dator- och nätverksloggar genom tillämpning av komplexa datasaneringspolicyer.

FLAIM riktar sig till 3 olika användargemenskaper. För det första kan FLAIM användas av säkerhetsingenjören som undersöker en bred incident som spänner över flera organisationer. På grund av den känslighet som är inneboende i säkerhetsrelevanta loggar är många organisationer ovilliga att dela dem. Denna motvilja hämmar dock den delning som krävs för att undersöka intrång som vanligtvis spänner över organisatoriska gränser. För det andra behöver alla som designar logganalys eller datorkriminaltekniska verktyg data som de kan testa sina verktyg med. Ju större och mer mångsidig datamängd, desto mer robusta kan de göra sina verktyg. För många innebär detta att de måste samla in många loggar från externa källor, inte bara vad de kan generera internt. Återigen, detta kräver loggdelning. För det tredje behöver forskare inom många datavetenskapliga discipliner (t.ex. nätverksmätningar , datorsäkerhet , etc.) stora och varierande datamängder för att studera. Att ha tillgängliga datasaneringsverktyg gör organisationer mer villiga att dela sina egna loggar med dessa forskare.

FLAIM är tillgängligt under Open Source Initiative- godkända University of Illinois/NCSA Open Source License. Detta är en BSD-liknande licens . Det körs på Unix och Unix-liknande system, inklusive Linux , FreeBSD , NetBSD , OpenBSD och Mac OS X .

Även om FLAIM inte är den enda logganonymiseraren , är den unik i sin flexibilitet att skapa komplexa XML- policyer och dess stöd för flera loggtyper. Mer specifikt är det det enda sådana verktyget för att uppfylla följande fyra mål. (1) FLAIM tillhandahåller en mångfald av anonymiseringsprimitiver. (2) FLAIM stöder flera loggtyper, inklusive loggar för linuxprocesskonton, netfiltervarningar , tcpdump- spår och NFDUMP NetFlows . (3) Med ett flexibelt språk för anonymiseringspolicyn kan komplexa policyer som gör avvägningar mellan informationsförlust och säkerhet göras. (4) FLAIM är modulärt och lätt att utöka till nya typer av loggar och data. Anonymiseringsmotorn är agnostisk mot syntaxen för den faktiska loggen.

Historia

Arbetet med logganonymisering började 2004 vid NCSA . Först var detta för att anonymisera loggar internt för att dela med SIFT-gruppen. Snart uppstod ett behov av kraftfullare anonymisering och anonymisering av olika typer av loggar. CANINE skapades för att anonymisera och konvertera mellan flera format av NetFlows . Detta var ett Java GUI-baserat verktyg. Senare skapades Scrub-PA för att anonymisera Process Accounting-loggar. Scrub-PA baserades på Java-koden som användes för CANINE. Utvecklingen av båda dessa verktyg finansierades under Office of Naval Research NCASSR forskningscenter genom SLAGEL-projektet.

Man insåg snabbt att det inte var rätt väg att bygga engångsverktyg för varje nytt loggformat. Dessutom var de tidigare verktygen begränsade genom att de inte kunde skriptas från kommandoraden. Det beslutades att ett nytt, modulärt kommandoradsbaserat UNIX- verktyg behövdes. Eftersom hastighet också var ett problem, måste detta verktyg skrivas i C++ . Med det framgångsrika förvärvet av ett Cyber Trust-anslag från National Science Foundation bildades LAIM Working Group vid NCSA . Från detta projekt ledd av PI, Adam Slagell, utvecklades FLAIM för att övervinna dessa begränsningar hos CANINE och Scrub-PA. Den första offentliga versionen av FLAIM, 0.4., släpptes den 23 juli 2006.

Funktioner

Flexibelt XML- policyspråk
Modulär för att stödja enkla plugins för nya loggtyper
Stöd för stora UNIX-liknande operativsystem
Inbyggt stöd för flera anonymiseringsprimitiver
Plugin för NFDUMP-formatet NetFlows
Plugin för netfilter brandväggsloggar
Plugin för pcap- spår från tcpdump
Plugin för linux process redovisningsloggar

^ ^a ^b Slagell, A., Lakkaraju, K. och Luo, K., "FLAIM: A Multi-level Anonymization Framework for Computer and Network Logs," 20:e USENIX Large Installation System Administration Conference (LISA '06), Washington, DC, dec., 2006.
^ Garfinkel, S. "Forensic Corpora: En utmaning för kriminalteknisk forskning" (PDF) . Hämtad 2007-12-04 .
^ "FLAIM-licens" . Arkiverad från originalet 2007-06-28 . Hämtad 2007-12-04 .
^ "FLAIM (ram för logganonymisering och informationshantering)" . Arkiverad från originalet 2007-08-27 . Hämtad 2007-12-04 .
^ Slagell, A., Li, Y. och Luo, K., "Sharing Network Logs for Computer Forensics: A New Tool for the Anonymization of NetFlow Records," Computer Network Forensics Research (CNFR) Workshop, Aten, Grekland, sep. ., 2005.
^ Luo, K., Li, Y., Slagell, A. och Yurcik, W., "CANINE: A NetFlow Converter/Anonymizer Tool for Format Interoperability and Secure Sharing," FLOCON — Network Flow Analysis Workshop, Pittsburgh, PA, september 2005.
^ Li, Y., Slagell, A., Luo, K. och Yurcik, W., "CANINE: A Combined Conversion and Anonymization Tool for Processing NetFlows for Security," 10:e internationella konferensen om telekommunikationssystem, modellering och analys, Dallas , TX, november 2005.
^ Luo, K., Li, Y., Ermopoulos, C., Yurcik, W. och Slagell, A., "Scrub-PA: A Multi-level, Multi-Dimensional Anonymization Tool for Process Accounting," ACM Computing Research Repository (CoRR), Technical Report cs.CR/0601079, Jan., 2006.
^ "SLAGEL (Anonymisering av systemloggar för större utbyte av loggar)" . Hämtad 2007-12-04 . ^{[ permanent död länk ]}
^ "Arbetsgrupp för logga anonymisering och informationsledning (LAIM)" . Arkiverad från originalet 2007-08-18 . Hämtad 2007-12-04 .
^ "NCSA-nyhetsarkiv 2006" . Hämtad 2007-12-04 .

Luo, K., Li, Y., Slagell, A. och Yurcik, W., " CANINE: A NetFlow Converter/Anonymizer Tool for Format Interoperability and Secure Sharing , " FLOCON — Network Flow Analysis Conference, Pittsburgh, PA, sep. ., 2005.

externa länkar

[slagell06-1] Slagell, A., Lakkaraju, K. och Luo, K., "FLAIM: A Multi-level Anonymization Framework for Computer and Network Logs," 20:e USENIX Large Installation System Administration Conference (LISA '06), Washington, DC, dec., 2006.

[2] Garfinkel, S. "Forensic Corpora: En utmaning för kriminalteknisk forskning" (PDF) . Hämtad 2007-12-04 .

[3] "FLAIM-licens" . Arkiverad från originalet 2007-06-28 . Hämtad 2007-12-04 .

[4] "FLAIM (ram för logganonymisering och informationshantering)" . Arkiverad från originalet 2007-08-27 . Hämtad 2007-12-04 .

[5] Slagell, A., Li, Y. och Luo, K., "Sharing Network Logs for Computer Forensics: A New Tool for the Anonymization of NetFlow Records," Computer Network Forensics Research (CNFR) Workshop, Aten, Grekland, sep. ., 2005.

[6] Luo, K., Li, Y., Slagell, A. och Yurcik, W., "CANINE: A NetFlow Converter/Anonymizer Tool for Format Interoperability and Secure Sharing," FLOCON — Network Flow Analysis Workshop, Pittsburgh, PA, september 2005.

[7] Li, Y., Slagell, A., Luo, K. och Yurcik, W., "CANINE: A Combined Conversion and Anonymization Tool for Processing NetFlows for Security," 10:e internationella konferensen om telekommunikationssystem, modellering och analys, Dallas , TX, november 2005.

[8] Luo, K., Li, Y., Ermopoulos, C., Yurcik, W. och Slagell, A., "Scrub-PA: A Multi-level, Multi-Dimensional Anonymization Tool for Process Accounting," ACM Computing Research Repository (CoRR), Technical Report cs.CR/0601079, Jan., 2006.

[9] "SLAGEL (Anonymisering av systemloggar för större utbyte av loggar)" . Hämtad 2007-12-04 . ^{[ permanent död länk ]}

[laimhome-10] "Arbetsgrupp för logga anonymisering och informationsledning (LAIM)" . Arkiverad från originalet 2007-08-18 . Hämtad 2007-12-04 .

[11] "NCSA-nyhetsarkiv 2006" . Hämtad 2007-12-04 .