Програмний модуль системи виявлення вторгнень на основі аналізу лог-файлів

Abstract

Метою цього дослідження є: розробка актуального програмного модулю системи виявлення вторгнень на основі аналізу лог-файлів. Об'єктом дослідження є: аналіз лог-файлів на предмет виявлення вторгнень. Предметом дослідження є лог-файли, зокрема ті з них, що є журналами доступу. Методи дослідження: 1) використано метод дедуктивного умовиводу з метою виведення часткових висновків щодо цифрових слідів на основі знань про загальні положення найпоширеніших векторів кібератак (1.2, 1.3, 2.1): 2) використано метод програмування шляхом побудови shell-скриптів, за допомогою якого створено скрипт для аналізу файлу access.log Apache (2.2); 3) використано метод програмування мовою Python, за допомогою якого створено універсальний пошуковий парсер (3.2) та додатковий програмний модуль аналізу лог-файлів (3.3). Результати та новизна: 1) одержано власний спосіб аналізу змісту та структури лог-файлів у системах Linux (Ubuntu) за допомогою побудованого shell-скрипта; 2) одержано універсальний пошуковий програмний модуль мовою Python системи виявлення вторгнень на основі аналізу лог-файлів; 3) одержано додатковий програмний модуль мовою Python системи виявлення вторгнень з можливістю оповіщення власника через бота, створеного в Telegram; 4) удосконалено алгоритм традиційного аналізу лог-файлів у системах Linux (Ubuntu) та Windows; 5) удосконалено систему виявлення вторгнень з урахуванням основних проблем веб-безпеки та рекомендованих параметрів аналізу лог-файлів; 6) окреслено поняття інформації та її види, особливості її технічного захисту; 7) сформульовано концепцію виявлення методів заволодіння конфіденційною інформацією за допомогою програмних засобів; 8) проаналізовано концепцію аналізу основних шляхів запобігання вторгненням. Галузь застосування: результати роботи можуть бути застосовані у сфері кібербезпеки, зокрема, у царині захисту будь-якої конфіденційної інформації, баз даних у тому числі на об’єктах критичної інфраструктури. Практичне значення одержаних результатів. Результати, одержані внаслідок проведеного дослідження, можуть бути використані у практичній діяльності системних адміністраторів, фахівців з кібербезпеки, аналітиків кіберзагроз, data scientist. Зокрема, створений shell-скрипт для аналізу файлу access.log Apache призначений для виявлення найважливішої інформації з лог-файлу в терміналі системи Linux (Ubuntu). Створений універсальний пошуковий програмний модуль Python на основі аналізу лог-файлів здатен попередити подальший розвиток DDoS-атаки та злом системи методом підбору пароля. Створений додатковий програмний модуль Python системи виявлення вторгнень з можливістю оповіщення власника через бота, створеного в Telegram, здатен знайти сліди вторгнення через виявлення «помилок доступу» в статусі запиту користувача веб-сайту. Положення, що були удосконалені або дістали подальший розвиток можуть бути використані з метою підготовки IT-спеціалістів, зокрема фахівців з кібербезпеки, а також з метою інформування працівників усіх рівнів, що використовують комп’ютерні мережі, але не мають спеціальних задач у сфері IT, про ознаки, наслідки та способи запобігання вторгненням.