Детальная информация

Целью работы является разработка алгоритма для типизации действий злоумышленника в корпоративной инфраструктуре с использованием больших языковых моделей и сохранения сценария атаки в наглядном и пригодном для распространения виде. Предметом исследования являются является алгоритм создания репозитория сценариев атак на корпоративную инфраструктуру. Задачи, решаемые в ходе исследования: - Исследование существующих способов описания сценариев атак и инцидентов кибербезопасности; - Обзор существующих методов автоматизированного извлечения сценариев атак из данных систем мониторинга; - Разработка и реализация алгоритма автоматического создания сценария атаки на основе сопоставления оповещений систем мониторинга с описанием техник злоумышленника; - Экспериментальные исследования разработанного алгоритма. В ходе работы использовались такие методы исследования, как анализ и моделирование, применявшиеся при разработке алгоритма автоматизации типизации действий злоумышленника в атакуемой сети. По результатам экспериментальных исследований была выполнена оценка эффективности разработанного алгоритма. Полученные результаты могут быть использованы в качестве основы для проектирования систем автоматизации расследований киберинцидентов.

The purpose of the work is to develop an algorithm to typify the actions of an attacker in the corporate infrastructure using large language models and save the attack scenario in a visual and suitable for distribution. The subject of the research is an algorithm for creating a repository of attack scenarios for corporate infrastructure. The tasks to be solved during the research are: - Survey of existing methods for describing attack scenarios and cybersecurity incidents. - Review of existing methods for automated extraction of attack scenarios from monitoring system data. - Development and implementation of an algorithm for automated attack scenario creation based on matching monitoring system alerts with the description of attackers techniques. - Experimental studies of the developed algorithm. In the course of the work, we used such research methods as analysis and modeling used in the development of the algorithm for automating the typing of the attackers actions in the attacked network. Based on the results of experimental research, the effectiveness of the developed algorithm was evaluated. The results obtained can be used as a basis for designing systems for automating cyber incident investigation.