amon

Основной сервис программного комплекса мониторинга аномальных процессов

Синтаксис:

amon [-c файл] [-v]

Опции:

-c файл

Путь к конфигурационному файлу. Если не указан, утилита пытается найти файл conf в текущем каталоге.

-v

Повысить уровень вывода отладочной информации. Может быть применён несколько раз.

Платформы:

ЗОСРВ «Нейтрино»

Целевые архитектуры:

aarch64, arm, armv7, e2k, mips, ppc, x86

Описание:

Сервис amon выполняет мониторинг активности процессов в ЗОСРВ «Нейтрино». Он осуществляет сбор и анализ данных, что позволяет выявлять аномалии в поведении процессов. Для анализа используется библиотека машинного обучения Interference. Модель нейронной сети хранится в формате JSON в файле структуры, путь к которому указан в конфигурационном файле. Этот же файл структуры используется для хранения всех данных обучения.

Сервис состоит из следующих компонентов:

• модуль управления - осуществляет управление другими модулями и предоставляет интерфейс взаимодействия с сервисом;
• модуль оповещения - хранит информацию об аномалиях и генерирует оповещения при их появлении;
• модуль сбора информации - управляет процессом получения и анализа информации;
• поставщик данных - предоставляет информацию об активности;
• анализатор данных - выполняет анализ посредством нейронной сети.

После успешного запуска сервис создаёт префикс /dev/amon, через который можно осуществлять взаимодействие с ним.

Способы взаимодействия с сервисом amon:

Взаимодействие с сервисом amon осуществляется через менеджер ресурсов /dev/amon:

• стандартные утилиты ( cat, ...);
• утилита управления сервисом amoncfg;
• интеграция с auditlogger2;
• интеграция с системой распределённого мониторинга и управления (ПК АРМ АБИ);
• API.

Параметры конфигурационного файла:

• buffer_size - размер кольцевого буфера для сообщений об аномалиях.
• providers - список источников данных активности.
• processes - список процессов, которые необходимо анализировать.
• data - список типов активности, которые необходимо анализировать.
• polling_time - интервал опроса.
• structure - путь к файлу, хранящему структуру нейронной сети.
• anomaly_action - путь к скрипту, который будет автоматически запущен при выявлении аномальной активности.
• name - имя поставщика данных.

Примеры:

Запуск amon с указанием пути к конфигурационному файлу.

amon -c /usr/local/conf

Пример конфигурационного файла:

{
    "name": "default",
    "buffer_size": 1000,
    "providers": [
        {
            "name": "kernel",
            "processes": [
                "io-usb",
                "io-hid"
            ],
            "data": [
                "threads",
                "libs",
                "mem"
            ],
            "polling_time": 3000,
            "structure": "structures/kernel/structure.json",
            "anomaly_action": "scripts/action.sh"
        }
    ]
}

Возвращаемое значение:

0

Завершено успешно.

>0

Возникла ошибка.

Классификация:

ПК МАП для ЗОСРВ «Нейтрино»

Тематические ссылки:

Обзор программного комплекса мониторинга аномальных процессов, amoncfg

Предыдущий раздел: Программный комплекс монитринга аномальных процессов