Trithème
Distributed and Hybrid Intrusion Detection and Response System
SubProjects Forums Tracker Support Releases
Lists Tasks Docs CVS Contact Us

"Claws enoff, massa, and mouff too. I nabber did see sich a d--d bug --he kick and he bite ebery ting what cum near him."
Edgar Allan Poe, Golden Bug

Roadmap & News > Planning/Pre Alpha
xx/02/2001 
- Au vue des récentes demandes d'informations et/ou de participations, vous pouvez désormais vous inscrire à la liste Trithème-Perspective afin de participer à la phase pré-alpha de Trithème.
xx/03/2001
- Vous pouvez désormais rejoindre les participants au projet sur le channel IRC #tritheme sur OPN
xx/05/2001
- Une documentation de présentation plus complète est maintenant à votre disposition > Trithème FYI
Elle est bien sûr ouverte à toutes suggestions ou commentaires et en constante évolution.
- la roadmap se précise. Le lancement effectif du développement se fera à l'occasion du Libre Software Meeting de Bordeaux en juillet. Nous nous attaquerons tout d'abord à Ubik_lib et à la création d'agents et de manager Trithème afin de mettre en place l'architecture de communication. Ensuite l'architecture de traitement de données sera mis en place avec le développement de Data_mod et un début d'IHM_mod. Une fois l'ensemble de ces prérequis terminés, le développement de Sniff_mod débutera afin de parvenir à une 1ère release d'IDS network-based distribué.
xx/06/2001
- Remaniement importante du site et de la documentation avec notamment la disparition de IHM_mod et l'apparition de ICE_mod. Le LSM approchant - où nous devrions d'ailleurs y donner un petit speech concernant Trithème - nous lançons un dernier appel à contributions et à critiques.

<< top >>

Features > Trithème
Trithème est IDS compatible POSIX et sous licence GPL permettant l'utilisation simultanée des approches host-based et network-based par la distribution des fonctions de ses modules à des agents répartis sur l'ensemble du segment de réseau à surveiller. En combinant ces approches, il se veut plus exhaustif et alerte que les IDS classiques. Trithème est par ailleurs entièrement développé à partir de formats libres que sont UNIX, le langage C, ou le format XML. Puis comme il est si bien dit sur la page du projet m-o-o-t : Here are our preliminary designs. We are sure to have made errors in them. They are presented here for you to criticize.

> Manager Trithème
> Sniff_mod
> Log_mod
> Nessusd/Trithème
> Data_mod
> ICE_mod

> Manager Trithème
- centralisation des données collectées par les agents/senseurs au sein d'un Operationnal DataMart puis Data Warehouse et manipulation au sein de bases de données multi dimensionnelles MOLAP
- stockage temporaire (72-96h) pour accès rapide des données brutes dans l'operationnal datamart puis stockage à long-terme (X mois) des données analysées dans le data warehouse
- communication avec les agents/senseurs par l'intermédiaire de Ubik_lib implémentant la communication par message IDMEF/XML tunnelés en SSL
- création et gestion des agents/senseurs distribués ainsi que de leurs tâches et gestion du chargement dynamique  de leurs modules. A noter une technique de "chaises tournantes" modifiant régulièrement les tâches et les modules de chaque agent compliquant la tâche de détection et d'attaque de Trithème.
- langage macro intuitif et proche de celui de Snort permettant la définition de règles d'exclusion pour un profil ou une normalisation et de règles d'implication pour une signature
- interface graphique (php/httpd) et console (par SSH) pour l'ensemble des fonctions

 

> Sniff_mod
- correspondance CIDF = E-Box
- collection du trafic réseau (libpcap) et application de filtres de signatures ou règles d'implication au trafic à la recherche de signatures manifestes d'intrusion (pattern matching)
- recoupement avec la base de données Nessusd/Trithème afin de réduire le nombre de filtres aux vulnérabilités effectivement décelées
- dissimulation du bit IFF_PROMISC
- résistance aux vulnérabilités inhérentes aux Network IDS par une capacité de réassemblage de flux et de statefull inspection multiflux.

 
> Log_mod

- correspondance CIDF = E-Box
- collecte et transmission des fichiers logs système et firewall et transformation en format IDMEF/XML pour analyse
- profiling comportemental par schématisation et établissement d'un profil pour chaque utilisateur d'un système
- monitoring des ressources avec notamment la surveillance de l'accès aux ressources systèmes et aux fichiers privilégiés avec sequence matching des entrées utilisateurs et comparaison aux règles d'exclusion
- vérification d'intégrité ou profiling statique par comparaison d'une image remise à jour périodiquement du système avec l'état courant du système ou d'une liste de fichiers sélectionnés. Inclus également une sauvegarde de la syscall table ou des syscalls directement en cas d'infection
- recoupement des résultats du profil comportemental avec le monitoring de ressources et la vérification d'intégrité à la recherche d'une activité ou modification non autorisée

 

> Nessusd/Trithème
- correspondance CIDF = E-Box
- scanner de vulnérabilités par mimétisme d'attaques et définition de tests par le langage NASL
- intégration de Nessusd à l'interface Trithème
- fusion de la knowledge base Nessus avec le Data Warehouse
- clonage de serveurs Nessusd en fonction du besoin de la même manière que les modules et agents Trithème
- capacité d'audit des logiciels par audit du code source ou désassemblage à la recherche de vulnérabilités de type buffer overflow ou format strings
- intégration des rapports Nessus aux rapports Trithème permettant une cartographie détaillée de l'état de la sécurité du réseau ou système

 
> Data_mod
- correspondance CIDF = A-Box
- recoupement et analyse des données en provenance des multiples senseurs/agents. S'occupe notamment de l'analyse du trafic collecté par Sniff_mod et de l'analyse des logs collectés par Log_mod puis de leur comparaison avec le Data Warehouse c'est-à-dire les bases de données de tests de vulnérabilités, de signatures d'attaques, de profils comportementaux et des images statiques de systèmes.
- ensemble des manipulation d'analyse et de recherche sur le Data Warehouse
- utilisation de modules statistiques utilisant la corrélation, régression et analyses factorielles, le memory-based reasoning et des méthodes récursives non linéaires pour l'extraction de données.
- application d'algorithmes évolués de pattern matching permettant une reconnaissance approximative et/ou exacte (Landau-Viskhin, Galil-Giancarlo, Not So Naive, Apostolico-Giancarlo, Galil-Seiferas, Barry-Ravindran, Optimal Mismatch, Turbo Reverse Factor)

 

> ICE_mod
- correspondance CIDF = C-Box
- modification dynamique de la configuration réseau notamment au niveau du filtrage dans un but d'islanding et de création de DMZ autour d'une machine
- application d'un plugin de normalisation du trafic pour les border host permettant d'écarter de Sniff_mod les paquets contradictoires ou en violation avec le protocole
- throttling, ralentissement des ressources disponibles à l'attaquant par exemple en limitant les ressources matérielles, ou en réduisant le temps avant timeout
- génération dynamique de rapports à partir des résultats d'analyse, d'extraction de données et de corrélation de Data_mod - entreprosés dans le Data Warehouse - et notification à l'analyste/opérateur
- back tracing ou piège, avec possibilité de redirection vers un honeypot ou honeynet ou capacité de port mapping et/ou d'OS fingerprinting afin de confondre l'attaquant

<< top >>

SourceForge Logo All source code is release under the terms of the General Public License and all the documents are released under the terms of the GNU Free Documentation License . The owner are eberkut and the Trithème Dev Team and the organization is CNS . A big thanks to y0me for the logo of which he is the owner. Forum comments are owned by the poster. The rest is copyright ©1999-2001 VA Linux Systems, Inc.