Le trop plein d'informations (logs, traffic réseau etc.) que nos machines subissent aujourd'hui rendent la sécurité informatique de plus en plus hasardeuse. La plupart des systèmes qui s'en occupent actuellement font le plus souvent des correspondances entre un motif connu et une ligne de log.Le but de Picviz est de générer une image en coordonnées parallèles, afin de representer l'information sous une seule image facilement exploitable par l'être humain pour comprendre ces lignes de logs.
Les coordonnées parallèles permettent de gérer une image en N dimensions, avec un nombre d'évènements particulièrement grand.
Les coordonnées parallèles permettent d'afficher un nombre d'évènements particulièrement élevés dans un grand nombre de dimensions.
Chaque évènement, tel une connexion ssh, est constitué de plusieurs variables (temps, ip source, ip destination, utilisateur, ...).
Chaque variable est placée sur un axe qui reçoit tout en bas la valeur minimale de cette variable, et tout en haut la valeur maximale.
Ainsi, on peut rapidement voir les lignes converger et diverger, permettant de se rendre compte des groupes et corrélations entre tous ces évènements.
Une fois cela fait, on peut rajouter de l'analyse de fréquence, qui consiste à casser la couleur des lignes pour faire un dégradé depuis le vert jusqu'au rouge en passant par le jaune correspondant à la fréquence d'apparition d'une ligne (faible = vert; élevé = rouge).
L'image réalisée permet assez rapidement de visualiser les problèmes qu'une ou plusieurs machines peuvent avoir avec les logs.
Site Web : http://www.wallinfire.net/picviz
Pays : France
Licence : GPL
Leader du Projet : Sebastien Tricaud
Public visé : Toute personne souhaitant faire du data-mining sur les logs, de rechercher des évènements de sécurité lorsque ces évènements sont trop importants pour qu'un système de détection d'intrusion aide.
Spécificités : Comparé aux autres projets, Picviz permet de gérer plusieurs millions d'évènements. Et a une architecture dédiée à la sécurité permettant d'aider à la recherche de l'évènement souhaité. Le coeur du projet est en C, et pour l'interface graphique, des bindings Python ont été écrits. L'interface graphique est en Python + QT, et permet de déplacer la souris sur les traits pour voir l'information qu'ils représentent. Comme une interface graphique ne permet pas de gérer plus d'une dizaines de milliers de traits, le binaire en console permet de créer des graphes, et de les filtrer.
Nombre de développeurs : 1
Nombre de contributeurs : 2
Mailing list : http://www.wallinfire.net/picviz/attachment/wiki/Releases[....]
CVS Public : http://www.wallinfire.net/svn-picviz/trunk
Vous souhaitez contribuer ?
L'interface graphique nécessiterai plus de travail, et pourrait intégrer les fonctionnalités que la bibliothèque permet (tel que le temps réel).