Aplikace strojového učení pro analýzu bezpečnostních auditních záznamů v kontextu GDPR

Abstract

Teoretická časť tejto diplomovej práce je venovaná podrobnému popisu bezpečnostných auditných záznamov, log manažmentu a SIEM systémov, ale aj tomu ako je možné využiť strojové učenie k analýze záznamov a identifikácií podozrivej aktivity. Súčasťou teoretickej časti je aj podrobná analýza nariadenia GDPR vo vzťahu k strojovému učeniu a bezpečnostným auditným záznamom, ale aj popis odporúčaní a nariadení, ktoré sú spojené s týmto nariadením. Praktická časť tejto diplomovej práce navrhuje a implementuje funkčný prototyp (skript) schopný detegovať podozrivú aktivitu (anomálie) pomocou algoritmov strojového učenia zo záznamov vytvorených webovým proxy serverom. Navrhnutý a implementovaný skript je testovaný na reálnych dátach poskytnutých firmou Cisco Systems a je navrhnutý tak, aby mohol byť v budúcnosti (po ďalšom vývoji) súčasťou rôznych SIEM systémov ako programový modul. Výstupom skriptu sú rôzne metriky a grafy, ale hlavne súbor s detegovanými anomáliami, ktorý môže slúžiť bezpečnostným analytikom ako ďalší zdroj informácií a pomôcť im tak pri analýze a riešení rôznych bezpečnostných incidentov. Skript môže plniť aj funkciu "automatizovaného" filtra a to tak, že z veľkého množstva záznamov vyfiltruje hrozby, ktoré sú relevantné (vzbudzujú podozrenie žeby mohli byť škodlivé) a ktoré môžu byť použité ako vstup do ďalších systémov určených k ich detailnejšej analýze.

The theoretical part of this master's thesis consists of a detailed description of security audit records, log management, and SIEM systems, but also how machine learning can be used to analyze records and identify suspicious activity. Moreover, it includes a detailed analysis of GDPR in relation to machine learning and security audit records, as well as a description of the recommendations and regulations associated with this regulation are included. The practical part of this master's thesis designs and implements prototype (script), which is able to detect suspicious activity with the help of machine learning from records created by web proxy servers. Designed and implemented script is tested on real data provided by Cisco System company and is designed to be part of various SIEM systems as a module in the future (after further development). The script outputs include various metrics and charts but mainly a file with detected anomalies. The file can serve as a source of information for security analysts to help them analyze and resolve various security incidents and alerts. The script can also be used as an "automated" filter because the script is able to filter threats from a large number of records that are relevant (might be harmful) and can be used as input to other systems designed to analyze these threats in more detail.