Details

Целью работы является разработка подхода к обнаружению аномального поведения пользователей посредством применения методов машинного обучения. Объект исследования – системы поведенческого анализа пользователей и сущностей. Задачи, решаемые в ходе исследования: 1. Провести анализ архитектуры, а также особенностей существующих программных средств на рынке SIEM-систем и систем поведенческого анализа. 2. Выбрать оптимальную модель машинного обучения для выявления аномального поведения пользователей. 3. Разработать прототип модуля анализа событий в SIEM-системе для выявления аномалий в поведении пользователей целевой инфраструктуры. 4. Оценить способность модуля по детектированию аномалий с помощью метрик машинного обучения, а также возможность его интеграции в SIEM-систему. В ходе работы были рассмотрены принципы работы SIEM и UBA/UEBA систем, изучены особенности существующих решений. Кроме того, был проведён подробный разбор исследований, посвящённых поведенческому анализу и выявлению аномалий в данных. На его основе в качестве алгоритма машинного обучения для собственного модуля был выбран Robust Random Cut Forest. Выполнены анализ архитектуры SIEM системы Wazuh и развёртывание виртуального стенда, а также сформулирована модель аномалий, которые будет выявлять разрабатываемый модуль. По результатам проведённых исследований была предложена архитектура собственного модуля поведенческого анализа, который впоследствии был реализован и успешно внедрён в качестве компонента в Wazuh. Результаты данной выпускной квалификационной работы могут быть применены при разработке систем поведенческого анализа, а также их интеграции с другими средствами обеспечения безопасности информационной инфраструктуры. В процессе выполнения работы использовались следующие информационные технологии: язык программирования Python, инструмент виртуализации VirtualBox, открытая SIEM и XDR платформа Wazuh.

The purpose of the work is to develop an approach to detecting abnormal user behavior with machine learning methods. The object of the research is systems of behavioral analysis of users and entities. Tasks which were solved during the research: 1. To analyze the architecture and features of existing solutions of SIEM and UBA/UEBA systems. 2. Choose the optimal machine learning model to detect abnormal user behavior. 3. To develop a prototype of an event analysis module in a SIEM system to identify anomalies in the behavior of users of the target infrastructure. 4. Evaluate the effectiveness of the developed module with machine learning metrics and the possibility of its integration into the SIEM system. During the work the main principles of SIEM and UBA/UEBA systems and their existing solutions were considered. A detailed analysis of studies on behavioral analysis and the identification of anomalies allowed to choose Robust Random Cut Forest as an algorithm for developing behavioral analysis module. Based on the results of the research of architecture of the Wazuh SIEM, the architecture of its own behavioral analysis module was proposed, which was subsequently implemented and successfully implemented as a component in Wazuh. The results of this work can be applied in the development of behavioral analysis systems and their integration with other information infrastructure security tools.

• РЕФЕРАТ
• ABSTRACT
• Содержание
• Определения, обозначения и сокращения
• введение
• 1 принципы работы siem и uba/ueba систем
  • 1.1 Архитектура SIEM-систем
  • 1.2 Основы работы систем поведенческого анализа
    • 1.2.1 Понятие поведенческого анализа
    • 1.2.2 Принципы работы и архитектура UBA/UEBA систем
    • 1.2.3 Возможность использования поведенческого анализа в SIEM-системах
  • 1.3 Анализ существующих программных средств SIEM-систем и систем поведенческого анализа
    • 1.3.1 MAX Patrol SIEM
    • 1.3.2 Security Vision UEBA
    • 1.3.3 Exabeam Advanced Analytics
  • 1.4 Спектр потенциальных атак и угроз, трудно обнаруживаемых стандартными средствами SIEM-систем
  • 1.5 Выводы по разделу
• 2 Анализ методов машинного обучения, применяемых для поведенческого анализа в SIEM-системах
  • 2.1 Алгоритмы машинного обучения, используемые для поведенческого анализа
  • 2.2 Существующие подходы к обучению моделей поведенческого анализа
  • 2.3 Выбор алгоритма машинного обучения для разрабатываемого модуля
  • 2.4 Выводы по разделу
• 3 Разработка прототипа модуля поведенческого анализА
  • 3.1 Описание SIEM-системы Wazuh
  • 3.2 Архитектура модуля поведенческого анализа
  • 3.3 Условная модель аномалии, детектируемая разрабатываемым модулем
  • 3.4 Реализация модуля поведенческого анализа
  • 3.5 Выводы по разделу
• 4 Интеграция модуля поведенческого анализа в SIEM систему Wazuh и оценка его эффективности
  • 4.1 Интеграция модуля в SIEM систему Wazuh
  • 4.2 Формирование тестового набора данных
  • 4.3 Построение классификатора аномалий
  • 4.4 Результаты тестирования и оценка эффективности модуля поведенческого анализа
  • 4.5 Выводы по разделу
• заключение
• список использованных источников
• ПРИЛОЖЕНИЕ. Формат выходных сообщений модуля поведенческого анализа