Simulace kybernetických útoků a tvorba datových sad pro detekci anomálií v logových záznamech

Abstract

Bezpečnostný monitoring patrí medzi kľúčové súčasti informačných systémov dnešnej doby. Jedným z najdôležitejších aspektov bezpečnostného monitoringu je generovanie, zber a analýza logových záznamov. Táto práca sa zaoberá spracovaním dátových súborov s cieľom vytvoriť trénovacie dáta pre modely určené na rozpoznávanie metakľúčov v logových záznamoch. V rámci práce boli analyzované voľne dostupné zdroje logových záznamov, pričom sa kladol dôraz na ich kvalitu a variabilitu. Práca tiež zahŕňa metódy generovania logových záznamov simulovaných útokov pomocou nástroja Caldera v izolovanom prostredí, čím dopĺňa dátové súbory o logové záznamy známych útokov. Nasledovalo predspracovanie dát pomocou operácií filtrácie a deduplikácie, s cieľom zníženia objemu dát pri zachovaní variability. Zadanie bolo rozšírené o časť reverzného inžinierstva syntaktických analyzátorov, ktoré pomohlo efektívne rozšíriť reálne dáta o šablóny logových záznamov. Výsledkom práce je dátový súbor pre tréning neurónových sietí zameraných na identifikáciu metakľúčov, ktorý môže prispieť k efektívnejšej detekcii anomálií z logových záznamov.Security monitoring is one of the key components of modern information systems. One of its most important aspects is the generation, collection, and analysis of log records. This thesis focuses on the processing of log datasets with the aim of creating training datasets for models designed to recognize metakeys in log records. Publicly available sources of log data were analyzed, with emphasis placed on their quality and variability. The work also includes methods for generating log records of simulated attacks using the tool Caldera in an isolated environment, thereby enriching the dataset with logs of known attacks. The data was subsequently preprocessed through filtering and deduplication operations to reduce its volume while preserving its variability. The scope of this thesis was extended by including reverse engineering of log parsers, which helped efficiently expand real data with templates of log records. The resulting dataset is intended for training neural networks focused on the identification of metakeys, contributing to more effective anomaly detection in log data.