Details

Целью работы является выявление атак на информационные системы на основе графового анализа событий безопасности с использованием LLM для автоматического структурирования записей журналов событий. Объектом исследования являются журналы событий распределенных информационных систем. Задачи, решаемые в ходе исследования: 1. Проанализировать существующие методы выявления компьютерных атак. 2. Исследовать способы автоматического извлечения шаблонов и ключевых сущностей из журналов событий с применением больших языковых моделей. 3. Разработать способ выявления атак на основе графового анализа журналов событий. 4. Разработать модуль SIEM-системы Wazuh, реализующий предложенный способ, и провести оценку его эффективности. Методология проведения работы базируется на применении гибридного подхода: использовании LLM для глубокого семантического анализа неструктурированных текстовых данных и временных графовых сетей для моделирования динамических взаимодействий в системе в непрерывном времени. В результате работы был разработан способ семантической типизации системных сущностей на базе модифицированной архитектуры LUNAR, позволяющий классифицировать параметры сообщений без предварительной разметки. Предложен алгоритм выявления ранее неизвестных атак, учитывающий временную динамику и топологию связей. Разработанный программный модуль был успешно интегрирован в SIEM-систему Wazuh. Экспериментально подтверждено, что решение способно обрабатывать до 1000 событий в секунду с минимальными задержками. Сделан вывод, что графовый анализ в сочетании с LLM значительно повышает точность обнаружения сложных угроз в микросервисных инфраструктурах. Полученные результаты могут быть использованы в центрах мониторинга безопасности для автоматизации анализа инцидентов. В процессе работы использовался язык программирования Python, библиотеки глубокого обучения PyTorch и Transformers, среда Docker-контейнеризации, локальные языковые модели, база данных PostgreSQL и SIEM-система Wazuh.

The purpose of the study is to detect computer attacks based on the analysis of event logs using modern machine learning methods. The object of the study is event logs of distributed information systems. The research sets the following objectives: 1. Analysis of existing methods for computer attack detection. 2. Investigation of approaches to automatic extraction of patterns and key entities from logs using large language models. 3. Development of an attack detection method based on graph analysis of event logs. 4. Development of a module for the Wazuh SIEM system implementing the proposed method and evaluation of its effectiveness. The research methodology is based on a hybrid approach combining the use of large language models for deep semantic analysis of unstructured textual data and temporal graph networks for modeling dynamic interactions in a system in continuous time. During the work, approaches to semantic analysis of system logs and graph-based modeling of event relationships were studied. As a result, a method for semantic typing of system entities based on a modified LUNAR architecture was developed, enabling classification of message parameters without prior labeling. An algorithm for detecting previously unknown attacks that considers temporal dynamics and connection topology was proposed. The developed software module was integrated into the Wazuh SIEM system. Experimental evaluation confirmed that the proposed solution is capable of processing up to 1,000 events per second with minimal latency. The study leads to the conclusion that the application of graph analysis in combination with large language models significantly improves the accuracy of detecting complex threats in microservice infrastructures. The obtained results can be used in security operations centers to automate incident analysis. To achieve these results, a software implementation was developed using the Python programming language, PyTorch and Transformers deep learning libraries, Docker containerization environment, local large language models, PostgreSQL database, and the Wazuh SIEM system.