DOI QR코드

DOI QR Code

A Security Log Analysis System using Logstash based on Apache Elasticsearch

아파치 엘라스틱서치 기반 로그스태시를 이용한 보안로그 분석시스템

  • Lee, Bong-Hwan (Department of Electronics, Information and Communications Engineering, Daejeon University) ;
  • Yang, Dong-Min (Grade School of Archive and Records Management, Chonbuk National University)
  • Received : 2017.12.04
  • Accepted : 2017.12.26
  • Published : 2018.02.28

Abstract

Recently cyber attacks can cause serious damage on various information systems. Log data analysis would be able to resolve this problem. Security log analysis system allows to cope with security risk properly by collecting, storing, and analyzing log data information. In this paper, a security log analysis system is designed and implemented in order to analyze security log data using the Logstash in the Elasticsearch, a distributed search engine which enables to collect and process various types of log data. The Kibana, an open source data visualization plugin for Elasticsearch, is used to generate log statistics and search report, and visualize the results. The performance of Elasticsearch-based security log analysis system is compared to the existing log analysis system which uses the Flume log collector, Flume HDFS sink and HBase. The experimental results show that the proposed system tremendously reduces both database query processing time and log data analysis time compared to the existing Hadoop-based log analysis system.

최근 사이버 공격은 다양한 정보시스템에 심각한 피해를 주고 있다. 로그 데이터 분석은 이러한 문제를 해결하는 하나의 방법이다. 보안 로그 분석시스템은 로그 데이터 정보를 수집, 저장, 분석하여 보안 위험에 적절히 대처할 수 있게 한다. 본 논문에서는 보안 로그 분석을 위하여 분산 검색 엔진으로 사용되고 있는 Elasticsearch와 다양한 종류의 로그 데이터를 수집하고 가공 및 처리할 수 있게 하는 Logstash를 사용하여 보안 로그 분석시스템을 설계하고 구현하였다. 분석한 로그 데이터는 Kibana를 이용하여 로그 통계 및 검색 리포트를 생성하고 그 결과를 시각화할 수 있게 하였다. 구현한 검색엔진 기반 보안 로그 분석시스템과 기존의 Flume 로그 수집기, Flume HDFS 싱크 및 HBase를 사용하여 구현한 보안 로그 분석시스템의 성능을 비교 분석하였다. 실험 결과 Elasticsearch 기반의 로그 분석시스템을 사용할 경우 하둡 기반의 로그 분석시스템에 비하여 데이터베이스 쿼리 처리시간 및 로그 데이터 분석 시간을 현저하게 줄일 수 있음을 보였다.

Keywords

References

  1. N. Y. Kim, S. H. Kim, W. Y. Sohn, and J. G. Song, "Design and Implementation of Log Analysis for Intrusion Responsible System," KSII Transactions on Internet and Information Systems, vol. 2, no. 2, pp. 123-126, Nov. 2004.
  2. S. R, Cho, "Big Data, Environmental Changes and Distributed Database System," Communications of KIISE, vol. 30, no. 5, pp. 21-28, May 2012.
  3. D. H. Lee, J. C. Park, C. G. Yu, and H. S. Yun, "On the Design of a Big Data based Real-Time Network Traffic Analysis Platform," Journal of the Korea Institute of Information Security & Cryptology, vol. 23, no. 8, pp. 721-728, Aug. 2013. https://doi.org/10.13089/JKIISC.2013.23.4.721
  4. B. M. Choi, J. H. Kong, S. S. Hong, and M. M. Han, "The Method of Analyzing Firewall Log Data using MapReduce based on NoSQL," Journal of the Korea Institute of Information Security & Cryptology, vol. 23, no. 4, pp. 667-677, Aug. 2013. https://doi.org/10.13089/JKIISC.2013.23.4.667
  5. J. H. Kim, "Big Data-based System Fault Detection through Log Data Analysis Techniques," Master's Thesis, Graduate School of Gunkook University, 2014.
  6. V. Bhavana, "Data Security in Cloud environments", Asia-pacific Journal of Convergent Research Interchange, HSST, ISSN : 2508-9080, vol.1, no.4,pp.25-31, December 2015.), http://dx.doi.org/10.21742/APJCRI.2015.12.04.
  7. J. H. Lee and K. Raj, "Hybrid Data Management in Cloud Security", Asia-pacific Journal of Convergent Research Interchange, HSST, ISSN : 2508-9080, vol.1, no.4, pp.33-39, December, 2015. http://dx.doi.org/10.21742/APJCRI.2015.12.05
  8. K. M. Ahn, J. Y. Lee, D. M. Yang, and B. H. Lee, "Design and Implementation of a Hadoop-based Efficient Security Log Analysis System," Journal of the Korea Institute of Information and Communication Engineering, vol. 19, no. 8, pp. 1797-1804. Aug. 2015. https://doi.org/10.6109/jkiice.2015.19.8.1797
  9. M. J. Kim, S. H. Han, W. Choi, and H. G. Lee, "Design and Implementation of MongoDB-based Unstructured Log Processing System over Cloud Computing Environment," KSII Transactions on Internet and Information Systems, vol. 14, no. 6, pp.71-84, Dec. 2013.
  10. B. M. Choi, J. H. Kong, and M. M. Ha, "The Model of Network Packet Analysis based on Big Data," Journal of Korean Institute of Intelligent Systems, vol. 23, no. 5, pp. 392-39, Oct. 2013. https://doi.org/10.5391/JKIIS.2013.23.5.392
  11. NoSQL Databases: An Overview [Internet], Available: https://www.thoughtworks.com/insights/blog/nosql-databases-overview.
  12. Elastic Search: Introduction, Basics, Architecture and Usage of Elastic Search [Internet], Available: https://hassantariqblog.wordpress.com/.
  13. Apache Flume [Internet], Available: https://flume.apache.org.

Cited by

  1. 네트워크 보안 관제를 위한 로그 시각화 방법 vol.7, pp.4, 2018, https://doi.org/10.30693/smj.2018.7.4.70
  2. 딥러닝을 활용한 마스크 착용 얼굴 체온 측정 시스템 vol.24, pp.2, 2021, https://doi.org/10.9717/kmms.2020.24.2.208
  3. 방대한 IoT 장치 기반 환경에서 효율적인 빅데이터 수집 기법 설계 vol.14, pp.4, 2018, https://doi.org/10.17661/jkiiect.2021.14.4.300
  4. A Model for Illegal File Access Tracking Using Windows Logs and Elastic Stack vol.17, pp.4, 2018, https://doi.org/10.3745/jips.03.0162