Vývoj korelačních pravidel pro detekci kybernetických útoků
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Diplomová práca sa zaoberá problematikou efektívneho spracovávania logových záznamov a ich následnou analýzou pomocou korelačných pravidiel. Cieľom práce bolo implementovať spracovávanie logových záznamov do štruktúrovanej podoby, extrahovať jednotlivé polia záznamu pomocou modelu pre spracovanie prirodzeného jazyka riešením úlohy zodpovedania otázok, a vyvinúť korelačné pravidlá pre detekciu škodlivého správania. Počas riešenia zadania boli vyhotovené dve dátové sády, jedna so záznamami zo zariadení Windows, druhá obsahuje záznamy z firewallu Fortigate. Vytvorené modely na báze predtrénovaných modelov s architektúrou BERT a XLNet, ktoré boli doučené na riešenie problému parsovania logov pomocou vyhotovených datasetov a ich výsledky boli analyzované a porovnané. Druhá čásť diplomovej práce bola venovaná vývoju korelačných pravidiel, kde bol skúmaný koncept obecného zápisu Sigma. Bolo vytvorených a úspešne otestovaných šesť pravidiel, ktoré boli nasadené vo vlastnom experimentálnom pracovisku v systéme Elastic Stack, pričom každé pravidlo je popísané taktikami, technikami a subtechnikami frameworku MITRE ATT&CK.
The diploma thesis deals with the problem of efficient processing of log records and their subsequent analysis using correlation rules. The goal of the thesis was to implement log processing in a structured form, extract individual log fields using a natural language processing model by solving a question answering problem, and develop correlation rules for detecting malicious behavior. Two datasets were produced during the task solution, one with records from Windows devices, and the other containing records from the Fortigate firewall. Pre-trained models based on the BERT and XLNet architecture were created and trained to solve the log parsing problem using the produced datasets, and the results were analyzed and compared. The second part of the thesis was devoted to the development of correlation rules, where the concept of a generic Sigma notation was investigated. It was developed, successfully tested and deployed six correlation rules into own experimental environment in Elastic Stack system. Each rule is also described by tactics, techniques and sub-techniques of the MITRE ATT&CK framework.
The diploma thesis deals with the problem of efficient processing of log records and their subsequent analysis using correlation rules. The goal of the thesis was to implement log processing in a structured form, extract individual log fields using a natural language processing model by solving a question answering problem, and develop correlation rules for detecting malicious behavior. Two datasets were produced during the task solution, one with records from Windows devices, and the other containing records from the Fortigate firewall. Pre-trained models based on the BERT and XLNet architecture were created and trained to solve the log parsing problem using the produced datasets, and the results were analyzed and compared. The second part of the thesis was devoted to the development of correlation rules, where the concept of a generic Sigma notation was investigated. It was developed, successfully tested and deployed six correlation rules into own experimental environment in Elastic Stack system. Each rule is also described by tactics, techniques and sub-techniques of the MITRE ATT&CK framework.
Description
Keywords
Dolaďovanie, extrahovanie metakľúčov, hlboké učenie, korelácie, predtrénované modely, SIEM, Sigma, spracovanie logov, spracovanie prirodzeného jazyka, úloha zodpovedania otázok., Correlation, deep learning, fine-tuning, log processing, metakey extraction, natural language processing, pre-trained model, SIEM, Sigma, question answering.
Citation
DZADÍKOVÁ, S. Vývoj korelačních pravidel pro detekci kybernetických útoků [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
bez specializace
Comittee
prof. Ing. Miroslav Vozňák, Ph.D. (předseda)
doc. Ing. Petr Münster, Ph.D. (místopředseda)
Ing. Rudolf Vohnout, Ph.D. (člen)
Ing. Václav Oujezský, Ph.D. (člen)
Ing. Anna Kubánková, Ph.D. (člen)
Ing. Marek Sikora (člen)
Ing. Petr Jedlička (člen)
Date of acceptance
2022-06-07
Defence
Studentka prezentovala výsledky své práce a komise byla seznámena s posudky.
Otázky oponenta a komise:
1) Prováděla jste vylepšení v tokenizer části vybraných modelů neuronových sítí anebo jejich slovníků? Diskutujte
možné výhody anebo nevýhody takové modifikace.
2) Jaká je propustnost nejúspěšnějšího modelu pro parsování celého logového záznamu (všech metaklíčů pro jeden
log na GPU). Diskutujte možnosti urychlení kódu. Bude možné pro zefektivnění zpracování používat paralelní
zpracování?
Studentka obhájila diplomovou práci a odpověděla na otázky členů komise a oponenta.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení