Um Framework Baseado na Pilha ELK Para Análise Pós-Intrusão de Ataques de DDoS

Camilla Alves; André Monteiro

doi:10.5753/sbseg.2024.241518

Camilla Alves CEFET/RJ
André Monteiro CEFET/RJ

DOI: https://doi.org/10.5753/sbseg.2024.241518

Resumo

Este trabalho apresenta um framework baseado no Elasticsearch, Logstash e Kibana (pilha ELK) projetado para analisar os logs de ataques de negação de serviço (DDoS) a um ambiente computacional. O framework proposto viabiliza a investigação pós-intrusão, executando um algoritmo de identificação de ataques e realizando o armazenamento, análise e visualização das informações relacionadas ao ataque cibernético. Assim, a análise dos logs pode ser feita de forma objetiva em uma interface amigável, pois em geral os logs de ambientes computacionais apresentam um volume massivo de dados não estruturados, tornando o processo de investigação de ataques em uma tarefa complexa. Foram realizados testes com duas abordagens de ataques de DDoS, ratificando que o framework foi capaz de coletar informações diretamente dos logs da rede de dados, identificar os pacotes maliciosos e encaminha-los a uma interface visual para investigação dos administradores do ambiente alvo.

Referências

(2021). Ddos dissector. Disponível em: [link]. Acesso em: 28 fev. 2021.

(2021). Elastic stack. Disponível em: [link]. Acesso em: 22 mar. 2021.

He, S., He, P., Chen, Z., Yang, T., Su, Y., and Lyu, M. R. (2021). A survey on automated log analysis for reliability engineering. ACM computing surveys (CSUR), 54(6):1–37.

Heinrich, T., Will, N. C., Obelheiro, R. R., and Maziero, C. A. (2022). Um estudo de correlaçao de ataques drdos com fatores externos visando dados de honeypots. In Anais do XXII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, pages 358–371. SBC.

Khayam, S. A., Mirza, F., et al. (2009). A survey of anomaley-based intrusion detection systems. School of Electrical Engineering and Computer Science (SEECS), National University of Sciences & Technology (NUST).

Koroniotis, N., Moustafa, N., Sitnikova, E., and Turnbull, B. (2019). Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset. Future Generation Computer Systems, 100:779–796.

Kumar, A., Bandyopadhyay, A., Bhoomika, H., Singhania, I., and Shah, K. (2018). Analysis of network traffic and security through log aggregation. International Journal of Computer Science and Information Security (IJCSIS), 16(6).

Muhammad, A. R., Sukarno, P., and Wardana, A. A. (2023). Integrated security information and event management (siem) with intrusion detection system (ids) for live analysis based on machine learning. Procedia Computer Science, 217:1406–1415.

Peter, C. S., Oliveira, T., Monks, E. M., Motta, F. P., Barbosa, J. L., and Yamin, A. C. (2021). iota: An approach to secure over-the-air updates on the internet of things scenario. In Proceedings of the Brazilian Symposium on Multimedia and the Web, pages 173–176.

Praneeth, J. and Sreedevi, M. (2019). Detecting and analyzing the malicious windows events using winlogbeat and elk stack. Int J Recent Technol Eng, pages 156–160.

Santanna, J. J., van Rijswijk-Deij, R., Hofstede, R., Sperotto, A., Wierbosch, M., Granville, L. Z., and Pras, A. (2015). Booters—an analysis of ddos-as-a-service attacks. In 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), pages 243–251. IEEE.

Stoleriu, R., Puncioiu, A., and Bica, I. (2021). Cyber attacks detection using open source elk stack. In 2021 13th International Conference on Electronics, Computers and Artificial Intelligence (ECAI), pages 1–6. IEEE.

Verma, J., Bhandari, A., and Singh, G. (2022). inids: Swot analysis and tows inferences of state-of-the-art nids solutions for the development of intelligent network intrusion detection system. Computer Communications, 195:227–247.