Scientific and analytical journal «Vestnik Saint-Petersburg university of State fire service of EMERCOM of Russia»

Научно-аналитический журнал "Вестник Санкт-Петербургского университета ГПС МЧС России"

2218-130X

98921

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

INFORMATICS, COMPUTER ENGINEERING AND CONTROL

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

METHODOLOGY FOR ANALYZING EVENT LOGS OF INFORMATION SYSTEMS USING ELASTICSEARCH TO DETECT SIGNALS OF MALICIOUS ACTIVITIES IN INFORMATION SYSTEMS

МЕТОДИКА АНАЛИЗА ЖУРНАЛОВ СОБЫТИЙ ИНФОРМАЦИОННЫХ СИСТЕМ С ИСПОЛЬЗОВАНИЕМ ELASTICSEARCH ДЛЯ ОБНАРУЖЕНИЯ СИГНАЛОВ О ВРЕДОНОСНЫХ ДЕЙСТВИЯХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Дудников

Иван Алексеевич

Dudnikov

Ivan A.

van.dy@mail.ru

https://orcid.org/0000-0003-3996-9217

Шариков

Павел Иванович

Sharikov

Pavel I.

sharikov.pavel@ro.ru

кандидат технических наук;

candidate of technical sciences;

Майоров

Александр Владимирович

Maiorov

Alexander V.

Санкт-Петербургский государственный университет телекоммуникаций имени профессора М.А. Бонч-Бруевича Санкт-Петербург Россия Saint-Petersburg State university of telecommunications named after professor M.A. Bonch-Bruevich Saint-Petersburg Russian Federation

18 05 2025

2025 1 120 134 10 02 2025 15 03 2025

https://journals.igps.ru/en/nauka/article/98921/view

Рассматривается использование стека ELK (Elasticsearch, Logstash, Kibana) для автоматизированного анализа журналов событий информационных систем с целью повышения эффективности обнаружения аномалий, указывающих на вредоносные действия. В качестве основного инструмента используется Elasticsearch, который позволяет эффективно хранить и анализировать большие объемы данных, а также интегрировать различные системы для мониторинга безопасности. Работа направлена на развитие методов корреляции событий и использования машинного обучения для автоматического выявления угроз в реальном времени. Особое внимание уделено оптимизации процессов мониторинга информационной безопасности, сокращению времени реакции на инциденты и улучшению точности диагностики угроз. Предложенный подход интегрируется в существующие инфраструктуры и адаптируется к меняющимся условиям, обеспечивая гибкость и эффективность работы с логами. В дальнейших исследованиях планируется провести экспериментальное применение метода и сравнение с другими решениями для оценки его эффективности.

The work explores the use of the ELK stack (Elasticsearch, Logstash, Kibana) for automated analysis of event logs in information systems to improve the efficiency of anomaly detection, indicating malicious activities. Elasticsearch is used as the main tool, enabling efficient storage and analysis of large data volumes, as well as the integration of various systems for security monitoring. The paper focuses on the development of event correlation methods and the use of machine learning for real-time threat detection. Special attention is given to optimizing information security monitoring processes, reducing response times to incidents, and improving threat diagnosis accuracy. The proposed approach integrates into existing infrastructures and adapts to changing conditions, ensuring flexibility and efficiency in working with logs. Future research will include experimental implementation of the method and comparison with other solutions to evaluate its effectiveness.

анализ журналов событий информационная безопасность стек ELK Elasticsearch аномалии машинное обучение автоматизация мониторинг

event log analysis information security ELK stack Elasticsearch anomalies machine learning automation monitoring

A Technique for Detecting the Substitution of a Java-Module of an Information System Prone to Pharming with Using a Hidden Embedding of a Digital Watermark Resistant to Decompilation / Sh. Pavel [et al.] // International Congress on Ultra Modern Telecommunications and Control Systems and Workshops: Virtual, Online, 2021. P. 219–223. DOI: 10.1109/ICUMT54235.2021.9631736. EDN YVVEUX.

Исследование и алгоритм предотвращения эксплуатации уязвимостей библиотеки журналирования Log4j в информационных системах Java-приложений / П.И. Шариков [и др.] // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Сер. 1: Естественные и технические науки. 2023. № 4. С. 100–106. DOI: 10.46418/2079-8199_2023_4_19. EDN BULSOH.

Issledovanie i algoritm predotvrashcheniya ekspluatacii uyazvimostej biblioteki zhurnalirovaniya Log4j v informacionnyh sistemah Java-prilozhenij / P.I. Sharikov [i dr.] // Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizajna. Ser. 1: Estestvennye i tekhnicheskie nauki. 2023. № 4. S. 100–106. DOI: 10.46418/2079-8199_2023_4_19. EDN BULSOH.

Шариков П.И. Исследование атаки обфускацией на байт-код java-приложения с целью разрушения или повреждения цифрового водяного знака // I-methods. 2022. Т. 14. № 1. EDN GQGKIV.

Sharikov P.I. Issledovanie ataki obfuskaciej na bajt-kod java-prilozheniya s cel'yu razrusheniya ili povrezhdeniya cifrovogo vodyanogo znaka // I-methods. 2022. T. 14. № 1. EDN GQGKIV.

Применение стека ELK для анализа сетевого трафика / М.С. Протодьяконова [и др.] // World science: problems and innovations. 2018. Т. 1. С. 105–106.

Primenenie steka ELK dlya analiza setevogo trafika / M.S. Protod'yakonova [i dr.] // World science: problems and innovations. 2018. T. 1. S. 105–106.

Котенко И.В., Кулешов А.А., Ушаков И.А. Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack // Труды СПИИРАН. 2017. № 5 (54). С. 5–34.

Kotenko I.V., Kuleshov A.A., Ushakov I.A. Sistema sbora, hraneniya i obrabotki informacii i sobytij bezopasnosti na osnove sredstv Elastic Stack // Trudy SPIIRAN. 2017. № 5 (54). S. 5–34.

Применение стека технологий ELK для сбора и анализа системных журналов событий / Н.А. Балашов [и др.] // Современные информационные технологии и IT-образование. 2021. Т. 17. № 1. С. 61–68.

Primenenie steka tekhnologij ELK dlya sbora i analiza sistemnyh zhurnalov sobytij / N.A. Balashov [i dr.] // Sovremennye informacionnye tekhnologii i IT-obrazovanie. 2021. T. 17. № 1. S. 61–68.

Dzik C.S., Piletski I.I. Real-Time AWS resources monitoring and analytics // Big data and advanced analytics. 2021. № 7-1. С. 25–30.

Dzik C.S., Piletski I.I. Real-Time AWS resources monitoring and analytics // Big data and advanced analytics. 2021. № 7-1. S. 25–30.

Майоров А.В. Архитектура и программная реализация системы обнаружения компьютерных атак в корпоративных и государственных информационных системах на основе методов интеллектуального анализа // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Сер. 1: Естественные и технические науки. 2023. № 2. С. 40–46. DOI: 10.46418/2079-8199_2023_2_8. EDN HEPDFF.

Majorov A.V. Arhitektura i programmnaya realizaciya sistemy obnaruzheniya komp'yuternyh atak v korporativnyh i gosudarstvennyh informacionnyh sistemah na osnove metodov intellektual'nogo analiza // Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizajna. Ser. 1: Estestvennye i tekhnicheskie nauki. 2023. № 2. S. 40–46. DOI: 10.46418/2079-8199_2023_2_8. EDN HEPDFF.

Майоров А.В., Красов А.В., Ушаков И.А. Модель представления больших данных о компьютерных атаках в формате nosql // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Сер. 1: Естественные и технические науки. 2023. № 2. С. 47–54. DOI: 10.46418/2079-8199_2023_2_9. EDN GDZKWM.

Majorov A.V., Krasov A.V., Ushakov I.A. Model' predstavleniya bol'shih dannyh o komp'yuternyh atakah v formate nosql // Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizajna. Ser. 1: Estestvennye i tekhnicheskie nauki. 2023. № 2. S. 47–54. DOI: 10.46418/2079-8199_2023_2_9. EDN GDZKWM.

10.

An approach for stego-insider detection based on a hybrid nosql database / I. Kotenko [et al.] // Journal of Sensor and Actuator Networks. 2021. Vol. 10. № 2. DOI: 10.3390/jsan10020025. EDN IKOMVS.

11.

Detection of stego-insiders in corporate networks based on a hybrid NoSQL database model / I. Kotenko [et al.] // ACM International Conference Proceeding Ser.: 4. SPb., 2020. P. 3442612. DOI: 10.1145/3440749.3442612. EDN EYKYHJ.

12.

Big Data Processing for Full-Text Search and Visualization with Elasticsearch / A. Voit [et al.] // (IJACSA) International Journal of Advanced Computer Science and Applications. 2017. Т. 8. № 12. P. 76–83.

13.

Hårek Haugerud, Mohamad Sobhie, Anis Yazidi Tuning of Elasticsearch Configuration: Parameter Optimization Through Simultaneous Perturbation Stochastic Approximation // Frontiers in big data. 2022. Т. 8.

14.

Logging Java Apps with ELK. URL: https://logz.io/blog/logging-java-elk-stack (дата обращения: 20.11.2024).

Logging Java Apps with ELK. URL: https://logz.io/blog/logging-java-elk-stack (data obrashcheniya: 20.11.2024).

15.

Store Java application's logs in Elasticsearch. URL: https://mostafa-asg.github.io/post/ship-app-logs-to-elasticsearch-elk-filebeat (дата обращения: 20.11.2024).

Store Java application's logs in Elasticsearch. URL: https://mostafa-asg.github.io/post/ship-app-logs-to-elasticsearch-elk-filebeat (data obrashcheniya: 20.11.2024).

16.

Java logging with Fluent Bit and Elasticsearch. URL: https://chronosphere.io/learn/java-logging-with-fluent-bit-and-elasticsearch (дата обращения: 20.11.2024).

Java logging with Fluent Bit and Elasticsearch. URL: https://chronosphere.io/learn/java-logging-with-fluent-bit-and-elasticsearch (data obrashcheniya: 20.11.2024).

17.

Spring Boot Logs Aggregation and Monitoring Using ELK Stack. URL: https://auth0.com/blog/spring-boot-logs-aggregation-and-monitoring-using-elk-stack (дата обращения: 20.11.2024).

Spring Boot Logs Aggregation and Monitoring Using ELK Stack. URL: https://auth0.com/blog/spring-boot-logs-aggregation-and-monitoring-using-elk-stack (data obrashcheniya: 20.11.2024).