DZADÍKOVÁ, S. Vývoj korelačních pravidel pro detekci kybernetických útoků [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Studentka Dzadíková pracovala aktivně a pravidelně konzultovala dosažené výsledky, všechny cíle práce dle zadání diplomové práce splnila. Formální stránka práce je na velmi vysoké úrovni. Odborná úroveň práce je také vysoká (zejména inovativní příztup k parsování logů). S výsledky práce se studentka účastnila soutěže EEICT a obsadila první místo ve své kategorii. Navrhuji hodnotit známkou výborně.
Studentka splnila cíle diplomové práce, provedla analýzu současného stavu problematiky v odvětví vývoje korelačních pravidel pro detekci kybernetických útoků a aplikování technik dynamického parsování logových záznamů pomocí metod umělé inteligence. Studentka realizovala experimentální pracoviště, nakonfigurovala všechny potřebné zdroje logů (Domain Controller, Windows, Linux, Web server), agregovala logové záznamy do platformy Elasticsearch, zajistila parsování surových dat, vytvořila a zpracovala vlastní datovou sadu a aplikovala tři typy modelů hlubokých neuronových sítí (BERT, DistilBERT a XLNet). Tyto modely byly použity k automatickému parsování logových záznamů pomocí techniky zodpovězení na otázky (Question Answering). Aplikování této techniky umožnilo realizovat extrakci informací pro budoucí korelace. Výhodou daného přístupu je odstoupení od klasického procesu parsování pomocí regex-based nebo template-based technik a s tím spojené kompletní nahrazení separátních SIEM konektorů sloužících pro napojení na specifické zdroje logů a parsování generovaných logových záznamů. Následně studentka pomocí Sigma databáze navrhla a implementovala šest korekčních pravidel, která byla směrována na platformu Elasticsearch a mohou být použita v kombinaci s modelem natrénované neuronové sítě. Studentka prokázala schopnost práce s odbornou literaturou a analýzy současného stavu vědy a techniky v oboru umělé inteligence. Celkově je uvedeno 74 referencí, které jsou aktivně používány v textu práce. Všechny grafické a textové vstupy jsou řádně citovány. Z teoretického pohledu je v textu práce popsána problematika bezpečnostního monitoringu v počítačových sítích. Studentka podrobně srovnala existující SIEM řešení, popsala jejich hlavní výhody a nevýhody, případy užití a aplikování technik umělé inteligence. Specifikovala možné zdroje logů pro SIEM řešení a následně se zaměřila na problematiku parsování logů a vytváření korelací. V práci byly zmíněny dva přístupy, a sice top-down a button-up. Studentka technicky srovnala čtyři metody detekce škodlivých aktivit (signatury, anomálie, analýza na základě stavových protokolů, hybridní přístup). V dalších krocích byla pozornost věnována problematice umělé inteligence a strojového učení se zaměřením na hluboké neuronové sítě a problematiku zpracování přirozeného jazyka (NLP) a Question Answering. Na konci teoretické časti studentka srovnala moderní modely hlubokých neuronových sítí (ULMFiT, BERT, RoBERTa, GPT-2, GPT-3, XLNet). V rámci praktické části práce byla v experimentálním pracovišti vytvořena kvalitní datová sada a vygenerované široké spektrum různých typů logů pomocí volně dostupné aplikace SysmonSimulator. Proces zpracování dat zahrnoval jejich agregaci, předzpracování, integraci, výběr a transformaci včetně přípravy řady otázek a namapování jejich odpovědí na konkrétní metaklíče. Studentka podrobně popsala proces učení vybraných modelů, proces tokenizace, metriky vyhodnocení úspěšnosti. Srovnání modelů studentka udělala pomocí výstižných tabulek na str. 60 až 61. V rámci praktické časti věnované vývoji korelačních pravidel se studentka inspirovala moderním frameworkem MITRE ATT&CK a nástrojem Sigma. Otestované útoky jsou řádně okomentovány. Dále oceňuji namapování implementovaných korelačních pravidel na matici MITRE ATT&CK. Vytknout lze pouze nedostatečné okomentování zdrojového kódu, který byl odevzdán v příloze k této práci. Nemusí být pro možného zájemce úplně zřejmý a dostatečně jasný. Práci doporučuji k obhajobě s celkovým hodnocením A (99 bodů).
eVSKP id 141386