Архитектура интегрированного java-приложения для анализа журналов с целью обнаружения компьютерных атак в информационных системах посредством реагирования на различные аномалии безопасности

Цель. Необходимо при интеграции стека ELK в информационную систему иметь дублирующее java-приложение в закрытом контуре для скрытой обработки аномалий. Требуется разработка архитектуры java-приложения для скрытой интеграции с информационной системой.

Метод. В процессе исследования были использованы методы анализа информации в журналах информационных систем, методы статического анализа, программирование для разработки приложения и алгоритмы обработки данных.

Результат. Представлен пример реализации стека Elasticsearch для обработки и хранения журналов. Предложена реализация анализа аномалий с помощью официальной библиотеки Elasticsearch. Рассмотрены варианты использования Elasticsearch для анализа аномалий, предложена реализация анализа аномалий с помощью официальной библиотеки Elasticsearch. Предложена архитектура интегрированного в информационную систему java-приложения для автоматизированного анализа журналов с целью выявления компьютерных атак или сигналов их начала посредством поиска аномалий. Рассмотрены варианты аномалий в журналах информационных систем и описаны действия по их выявлению. Продемонстрирована обобщенная карта процесса работы java-приложения.

Вывод. Разработана архитектура java-приложения, реализующего анализ журналов информационной системы по ключевым аномалиям.

1. Zamani M., Movahedi M. Machine learning techniques for intrusion detection // arXiv preprint arXiv:1312.2177. – 2013.

2. Kononenko O. et al. Mining modern repositories with elasticsearch // Proceedings of the 11th working conference on mining software repositories. – 2014. – С. 328-331. 3. Salo F. et al. Data mining techniques in intrusion detection systems: A systematic literature review // IEEE Access. – 2018. – Т. 6. – С. 56046-56058.

3. Son S. J., Kwon Y. Performance of ELK stack and commercial system in security log analysis // 2017 IEEE 13th Malaysia international conference on communications (MICC). – IEEE, 2017. – С. 187-190.

4. Орлов, Г.А. Применение Big Data при анализе больших данных в компьютерных сетях / Г.А. Орлов, А.В. Красов, А.М. Гельфанд // Наукоемкие технологии в космических исследованиях Земли. – 2020. – Т. 12, № 4. – С. 76-84. – DOI 10.36724/2409-5419-2020-12-4-76-84. – EDN RQQTOQ.

5. Котенко, И.В. Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack / И.В. Котенко, А.А. Кулешов, И.А. Ушаков // Труды СПИИРАН. – 2017. – № 5(54). – С. 5-34. – DOI 10.15622/sp.54.1. – EDN ZMREVZ.

6. Shah N., Willick D., Mago V. A framework for social media data analytics using Elasticsearch and Kibana // Wireless networks. – 2022. – Т. 28. – №. 3. – С. 1179-1187.

7. Bhattacharjee S. D. et al. Context-aware graph-based analysis for detecting anomalous activities // 2017 IEEE International Conference on Multimedia and Expo (ICME). – IEEE, 2017. – С. 1021-1026.

8. Cheng L., Liu F., Yao D. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery. 2017;7:5: e1211.

9. Башмаков, Н. М. Система обнаружения аномалий в журналах мониторинга состояния объекта защиты / Н. М. Башмаков, В. В. Уразаев, А. М. Вульфин // Сборник избранных статей научной сессии ТУСУР. – 2023. – № 1-3. – С. 36-41. – EDN LUQUGC.

10. Шариков П.И., Красов А.В. Исследование уязвимости сериализации и десериализации данных в java//Региональная информатика и информационная безопасность: сборник научных трудов, Санкт-Петербург, 01–03 ноября 2017 г. Санкт-Петербургское Общество информатики, вычислительной техники, систем связи и управления. Выпуск 3. Санкт-Петербург: Санкт-Петербургское общество информатики, вычислительной техники, систем связи и управления, 2017. – С. 333-336. – EDN YNAETH.

11. Шелухин, О.И. Обнаружение аномалий больших данных неструктурированных системных журналов / О.И. Шелухин, В.С. Рябинин // Вопросы кибербезопасности. – 2019. – № 2(30). – С. 36-41. – DOI 10.21681/2311-3456-2019-2-36-41. – EDN IGKKGG.

12. Красов А.В., Сахаров Д.В., Тасюк А.А. Проектирование системы обнаружения вторжений для информационной сети с использованием больших данных//Наукоемкие технологии в космических исследованиях Земли. – 2020.– Т.12, № 1.– С.70-76. DOI 10.36724/2409-5419-2020-12-1-70-76. - EDN UJEKZY.

13. Миняев А.А., Красов А.В., Сахаров Д.В. Метод оценки эффективности системы защиты информации территориально-распределенных информационных систем персональных данных//Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1:Естественные и технические науки. – 2020. – № 1. – С. 29-33. – DOI 10.46418/2079-8199_2020_1_5. EDN ULHTJK.

14. Миняев, А.А. Методика оценки эффективности системы защиты информации территориальнораспределенных информационных систем / А.А. Миняев, А.В. Красов // Вестник СанктПетербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. – 2020. – № 3. – С. 26-32. – DOI 10.46418/2079-8199_2020_3_4. – EDN YNHOEI.

15. Технические аспекты управления с использованием сети Интернет : Монография / А.А. Алейников, К.З. Билятдинов, А.В. Красов [и др.]. – Санкт-Петербург : Центр научно-информационных технологий «Астерион», 2016. – 305 с. – ISBN 978-5-00045-408-4. – EDN XGTJLL.

16. Майоров, А.В. Архитектура и программная реализация системы обнаружения компьютерных атак в корпоративных и государственных информационных системах на основе методов интеллектуального анализа / А.В. Майоров // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. – 2023. – № 2. – С. 40-46. – DOI 10.46418/2079-8199_2023_2_8. – EDN HEPDFF

17. Шариков П.И., Цветков А.Ю., Сигачева В.В., Сиротина Л.К. Исследование и алгоритм предотвращения эксплуатации уязвимостей библиотеки журналирования Log4j в информационных системах java-приложений // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. – 2023. – № 4. – С. 100-106. – DOI 10.46418/2079-8199_2023_4_19. – EDN BULSOH

18. Шариков П.И. Методика обфускации байт-кода java-приложения с целью его защиты от атак декомпиляцией // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия1:Естественные и технические науки. – 2022. – № 1. – С. 64-72. – DOI 10.46418/2079- 8199_2022_1_10. – EDN AUOFNA

19. Шариков, П.И. Методика создания и скрытого вложения цифрового водяного знака в байт-код classфайла на основе не декларированных возможностей виртуальной машины java // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. – 2023. – № 7-2. – С. 165-174. – DOI 10.37882/2223-2982.2023.7-2.37. – EDN YBEWYQ