ASAX (Advanced Security audit trail Analyzer on uniX)

Система ASAX разработана в университете Namur, Belgium. Первые публикации по системе датированы 1991 г., последние — 1998 г. Система предназначена для анализа журналов регистрации ОС UNIX [1,4,8,12].

Первоначально система ASAX была разработана под практически несовместимые ОС BS2000 и SINIX компании Siemens-Nixdorf A.G. Она представляла собой систему анализа журналов регистрации, для которых тогда не существовало единого стандарта. Поэтому задача построения системы разбивалась на две большие подзадачи: разработать унифицированный и гибкий формат журнальных записей, в которые можно было бы корректно преобразовывать исходные журналы регистрации ОС, разработать эффективный, мощный и при этом удобный язык описания и обнаружения сложных шаблонных конструкций в журнальных записях. Первую задачу решала сама компания Siemens-Nixdorf A.G., решением второй задачи занимался Университет Namur в Бельгии.

В результате исследовательской работы был разработан язык RUSSEL, в качестве модели анализа потоков данных вообще и анализа журналов безопасности в частности. В качестве единого формата журнальных записей был разработан т.н. нормальный формат журнальных записей (NADF — Normalized Audit Data Format). Единственное требование к формату являлась возможность прямого преобразования записей из специфических форматов ОС в NADF.

Язык RUSSEL является императивным языком, что, как утверждают авторы, обусловлено требованиями эффективности языка. Этот язык предназначен для описания правил обработки записей в формате NADF. Каждое правило состоит из двух частей — описание условия срабатывания правила и действия. Действием могут быть вывод сообщения, вызов другого правила. Система обнаружения состоит из интерпретатора языка RUSSEL и источников информации, преобразующих записи системных журналов в записи в формате NADF. Интерпретатор получает на вход модули — наборы правил на языке RUSSEL и одну журнальную запись в формате NADF. Среди правил находится инициализирующее правило, которое должно применяться первым, и дальше вызываются те правила, которые стоят в блоке действия предыдущего примененного правила. На рис. 5.3 представлен модуль, состоящий из правил обнаружения попыток несанкционированного доступа (НСД) в систему на основе задания порога для числа неудачных попыток входа в систему. Для увеличения эффективности используются специальные модули, передающие записи журналов анализатору. При этом одна копия записи проходит через все используемые модули правил и возможно применение системы для обработки данных журналов регистрации в реальном времени.

Правило 1 обнаруживает неудачную попытку доступа к ресурсу и вызывает правило 2. Правило 2 подсчитывает число неудачных попыток доступа и при превышении некоторой пороговой величины, сообщает о том, что обнаружен признак попытки НСД к ресурсу.

Система ASAX реализована и существует только для платформ UNIX и реализована на алгоритмическом языке С.