Details
| Title | Применение больших языковых моделей в задачах анализа событий с использованием SIEM-систем: выпускная квалификационная работа бакалавра: направление 10.03.01 «Информационная безопасность» ; образовательная программа 10.03.01_03 «Безопасность компьютерных систем» |
|---|---|
| Creators | Мосин Вячеслав Ильич |
| Scientific adviser | Жуковский Евгений Владимирович |
| Other creators | Штыркина Анна Александровна |
| Organization | Санкт-Петербургский политехнический университет Петра Великого. Институт компьютерных наук и кибербезопасности |
| Imprint | Санкт-Петербург, 2024 |
| Collection | Выпускные квалификационные работы; Общая коллекция |
| Subjects | большие языковые модели; мониторинг событий; правила локализации событий; SIEM; LLM; RAG; large language models; event management; localization rules |
| Document type | Bachelor graduation qualification work |
| File type | |
| Language | Russian |
| Level of education | Bachelor |
| Speciality code (FGOS) | 10.03.01 |
| Speciality group (FGOS) | 100000 - Информационная безопасность |
| DOI | 10.18720/SPBPU/3/2024/vr/vr24-3042 |
| Rights | Доступ по паролю из сети Интернет (чтение, печать, копирование) |
| Additionally | New arrival |
| Record key | ru\spstu\vkr\30413 |
| Record create date | 7/11/2024 |
Allowed Actions
–
Action 'Read' will be available if you login or access site from another network
Action 'Download' will be available if you login or access site from another network
| Group | Anonymous |
|---|---|
| Network | Internet |
Целью работы является автоматизация процессов разработки правил об-работки событий, используемых в MaxPatrol SIEM с применением больших языковых моделей. Задачи, решаемые в ходе исследования: 1. Исследовать устройство больших языковых моделей и подходы к работе с ними. 2. Изучить форматы правил нормализации и локализации, используемые в современных SIEM. 3. Проанализировать возможность применения больших языковых моделей в задачах генерации правил для SIEM. 4. Разработать программное средство, осуществляющее автоматизацию разработки правил обработки событий, используемых в MaxPatrol SIEM с применением больших языковых моделей. В результате была реализована система, способная генерировать локализации событий в определенном стиле. Кроме того, что система из качественно составленного запроса (промпта) к LLM определяет что и как ей нужно выполнить, она, благодаря встроенному поиску по векторному хранилищу событий в связках с локализациями, получает стиль написания правил локализации. Разработанная система построена на механизме генерации с дополнительным поиском (Retrieval-Augmented Generation). Данный механизм не только не требует наличия большого количества вычислительных ресурсов, но еще и позволяет без больших затрат актуализировать базу данных, которая используется для хранения примеров правил локализации. По перечисленным особенностям разработанной системы можно сделать вывод о том, что несмотря на условия ограниченности вычислительных ресурсов, итоговая система показывает достойный результат.
The goal of the work is to automate the process of developing event processing rules used in MaxPatrol SIEM, using LLM. The tasks solved during the research: 1. Explore the structure of large language models and approaches to working with them. 2. Study the formats of normalization and localization rules used in modern SIEM. 3. Identify the subtleties in the tasks of generating rules for SIEM. 4. Develop a software tool that automates the development of event pro-cessing rules used in MaxPatrol SIEM using LLM. In the process of performing the work, it was determined which tasks the LLM models used in the work had difficulties with. These tasks were decomposed into components, and then the system architecture was changed. As a result, a system was implemented that is capable of generating event local-izations in a certain style. In addition to the fact that the system determines from a well-composed prompt to the LLM what and how it needs to perform, it, thanks to the built-in search through the vector storage of events in conjunction with localiza-tions, receives the style of writing localization rules. The developed system is built on the mechanism of generation with additional retrieval. This mechanism not only does not require a large amount of computational resources, but also allows updating the database used to store examples of localization rules without much cost. Based on the listed features of the developed system, it can be concluded that despite the conditions of limited computational resources, the final system shows a decent result.
| Network | User group | Action |
|---|---|---|
| ILC SPbPU Local Network | All |
|
| Internet | Authorized users SPbPU |
|
| Internet | Anonymous |
|
Access count: 0
Last 30 days: 0
