Webová aplikace integrující techniky umělé inteligence do procesu tvorby korelačních pravidel

V současné době, kdy se digitalizace stává neodmyslitelnou součástí všech oblastní našich životů, se neustále zvyšuje komplexnost a sofistikovanost kybernetických hrozeb. Klíčovým prvkem v boji proti těmto kybernetickým hrozbám je bezpečnostní monitoring. Důležitým nástrojem bezpečnostního monitoringu jsou systémy SIEM, které umožňují včasnou detekci a reakci na potenciální útoky na základě korelačních pravidel. Hlavním přínosem této práce je návrh a implementace webové aplikace, která integruje techniky umělé inteligence do procesu tvorby a správy korelačních pravidel pro systémy bezpečnostních monitoringů s cílem zefektivnit proces tvorby, úprav a pochopení korelačních pravidel. Práce se nejdříve věnuje teoretickému úvodu do oblasti zpracování přirozeného jazyka a moderních neuronových sítí, zejména architektury transformers, která je základem generativních modelů umělé inteligence (např. ChatGPT, Gemini). Dále jsou představeny principy bezpečnostního monitoringu, systémů pro zpracování záznamů událostí, koncept generalizace korelačních pravidel a v neposlední řadě výzvy spojené se správou a udržováním korelačních pravidel, které integrace umělé inteligence do těchto procesů výrazně odbourává. Praktická část práce popisuje návrh a implementaci webové aplikace, která využívá modely gpt-4 a gpt-3.5-turbo od společnosti OpenAI a model Gemini Ultra 1.0 od společnosti Google pro tvorbu nových korelačních pravidel, úpravu existujících pravidel a jejich vysvětlením a interpretací pro snazší pochopení a rychlejší nasazení. Aplikace je navržena s ohledem na uživatelskou přívětivost a efektivitu. Výsledky práce ukazují, že integrace umělé inteligence do procesu tvorby korelačních pravidel přináší významné zlepšení efektivity. Webová aplikace umožňuje uživatelům snadno vytvářet a upravovat korelační pravidla. Aplikace také umožňuje uživatelům lépe porozumět korelačním pravidlům a umožňuje jim takto rychleji reagovat na potenciální hrozby.
Currently, as digitalization becomes an integral part of all areas of our lives, the complexity and sophistication of cyber threats are constantly increasing. A key element in the fight against these cyber threats is security monitoring. An important tool for security monitoring are SIEM systems, which allow for early detection and response to potential attacks based on correlation rules. The main contribution of this work is the design and implementation of a web application that integrates artificial intelligence techniques into the process of creating and managing correlation rules for security monitoring systems, with the aim of streamlining the process of creating, modifying, and understanding correlation rules. The work first provides a theoretical introduction to the field of natural language processing and modern neural networks, particularly the transformer architecture, which is the basis of generative artificial intelligence models (e.g., ChatGPT, Gemini). It then introduces the principles of security monitoring, log management systems, the concept of correlation rule generalization, and, last but not least, the challenges associated with managing and maintaining correlation rules, which the integration of artificial intelligence into these processes significantly reduces. The practical part of the work describes the design and implementation of a web application that utilizes the gpt-4 and gpt-3.5-turbo models from OpenAI and the Gemini Ultra 1.0 model from Google for creating new correlation rules, modifying existing rules, and explaining and interpreting them for easier understanding and faster deployment. The application is designed with user-friendliness and efficiency in mind. The results of the work show that the integration of artificial intelligence into the correlation rule creation process brings significant efficiency improvements. The web application allows users to easily create and modify correlation rules. The application also allows users to better understand correlation rules, enabling them to respond to potential threats more quickly.

Citation

ŠIBOR, M. Webová aplikace integrující techniky umělé inteligence do procesu tvorby korelačních pravidel [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.

Language of document

cs

Study field

bez specializace

Comittee

prof. Ing. Jan Hajný, Ph.D. (předseda) Mgr. Václav Stupka, Ph.D. (místopředseda) Ing. Radovan Juráň (člen) Ing. Tomáš Gerlich (člen) Ing. Tomáš Mácha, Ph.D. (člen) Ing. František Urban, Ph.D. (člen) Ing. Martin Zukal, Ph.D. (člen)

Date of acceptance

2024-06-10

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci a odpověděl na otázky členů komise a oponenta. Otázky: -Pro vysvětlení korelačních pravidel se využívá odpovědí AI na předpřipravenou sadu otázek. Z podstaty svého fungování bude AI vracet různé odpovědi při opakovaném dotazování. Máte nějakou představu o řešení tohoto jevu?-student dostatečně vysvětlil otázku -Ve své práci v kapitole 6.2 (i ve videu) zmiňujete, že určitá AI se hodí k vysvětlování korelačních pravidel, jiná AI na jejich úpravu či generování. Jsou tyto výsledky založeny pouze na subjektivním dojmu? - student dostatečně vysvětlil otázku

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení