Diseño e implementación de una aplicación web para el análisis centralizado de logs de seguridad

Abstract

Durante los últimos años, ha habido un incremento significativo del uso de tecnologías de la información y los dispositivos móviles. En consecuencia, el aumento de la demanda de las aplicaciones software ha hecho que el proceso de desarrollo, en muchas ocasiones, sea incompleto debido a que no se implementan los controles de seguridad necesarios. Dicha proliferación de aplicaciones y la movilidad de los usuarios finales han supuesto un gran incremento de la complejidad del flujo de información en las redes de comunicación contemporáneas. Con esta enorme cantidad de información, los mecanismos de protección tradicionales corren el riesgo de quedar obsoletos y es esencial investigar y desarrollar nuevos métodos en la situación actual de la seguridad informática. La mayoría de aplicaciones guarda registros de actividad, logs. Estos registros facilitan la corrección de errores y, en seguridad informática, pueden utilizarse para la detección de ataques y la auditoría del sistema. Los logs pueden registrar una gran cantidad de información y pueden tener una gran variedad de formatos ya que no existe un formato común. Es por ello que una herramienta que permita centralizar y procesar esta información puede ser interesante. El propósito de este trabajo es realizar una primera fase de investigación, diseño e implementación de un proyecto llamado LogExplorer. Este proyecto trata de diseñar y desarrollar una aplicación web que servirá de herramienta para centralizar la información de logs. Proporciona métodos para recopilar, almacenar, analizar y visualizar los datos de logs. Este proyecto está basado en J2EE y Spring Framework. Uno de los mayores retos de diseño en este proyecto es dotarla de suficiente escalabilidad. Ya que la seguridad necesita cambiar continuamente. Para realizar el análisis de esta herramienta, se ha estudiado el desafío VAST Challenge 2012 MC2. Este ejemplo muestra una situación simulada en la que se detecta el ataque de una botnet y su comportamiento a través de los registros del cortafuegos y del IDS. Esta herramienta se basa en el patrón modelo-vista-controlador y utiliza Maven para gestionar las dependencias y bibliotecas. La base de datos se realiza mediante PostgreSQL y la aplicación se conecta a ella a través de Hibernate. Para la implementación de métodos de aprendizaje automático, como el algoritmo K-means o el Análisis de Componentes Principales (PCA), LogExplorer utiliza Weka. Para implementar la autenticación y autorización de usuarios se ha hecho uso de la extensión de Spring, Spring Security. La interfaz web de la aplicación se realizó a través de una plantilla, llamada AdminLTE. Esta plantilla utiliza Bootstrap, un popular framework de HTML, CSS y JavaScript para proyectos web.

Over the last few years, there has been a signi cant increase in the use of information technology and mobile devices. Consequently, the increase in demand for software applications has determined incomplete development processes, in many occassions due to awness in the concretion of security controls. This increase of applications and the mobility of end users have result in a much more complex information ow between the components of modern communication networks. With this huge amount of information, traditional protection mechanisms could be obsolete and thus it is essential to research and develop new methods adequate for the current status of computer security. Most applications record activity in les, the so-called log les. These logs are key components to detect and correct system errors, and in computer security could be used to detect attacks and system audit. Logs can record a large amount of information and may have a variety of formats, because there is not a common format. That is why a tool to centralize and process this information may be of interest. The purpose of this papper is to perform a rst phase of research, design and developing of a project named LogExplorer. This project involves the design and the implementation of a web application to centralize the information extracted from log les with diversity in location and format. It provides methods to collect, store, analyze and visualize log data. This project is based on J2EE and the Spring Framework. One of the most challenging design problems in this project is implement with enough scalability. Because the security needs to change continuously. For the analysis of this tool, it has been studied the challenge VAST Challenge 2012 MC2. This example shows an simulated situation in which the attack of a botnet and its behavior is detected by analyzing the rewall and IDS logs. This tool is based on model-view-controller pattern and it uses Apache Maven to manage dependencies and libraries. The Database is made by PostgreSQL and the application connects to it through Hibernate. For the implementation of data mining methods, like K-means or Principal Components Analysis (PCA), LogExplorer use Weka. To implement user authentication and authorization has made use of Spring extension, Spring Security. The web interface of the application was performed using a template, called AdminLTE. This template uses Bootstrap, a popular HTML, CSS and JavaScript framework for web projects.