Využití technik strojového učení pro detekci útoků v prostředí Active Directory

Abstract

Active Directory je nástrojem centralizované administrace a správy identit v mnoha organizacích. Zajištění jeho zabezpečení je nezbytné k ochraně přístupových dat uživatelů, podnikových systémů a citlivých dat před neoprávněným přístupem. Bezpečnostní monitorování prostředí Active Directory se obvykle provádí pomocí detekčních pravidel založených na signaturách. Ty však nejsou vždy účinné a dostatečné, zejména pro útoky, které jsou podobné legitimním aktivitám z hlediska auditních dat. Tato práce aplikuje techniky strojového učení pro detekci dvou takových útočných technik - Password Spraying a Kerberoasting. Algoritmy strojového učení jsou aplikovány s využitím příznaků z auditu událostí systému Windows a vyhodnoceny na datech pocházejících ze skutečného Active Directory prostředí. Nejlepší přístupy jsou implementovány jako detekční pravidla pro praktické použití na platformě Splunk. Navrhované řešení dokázalo zlepšit detekční schopnosti a současně snížit počet falešných poplachů ve srovnání s přístupy založenými na signaturách, a to pro obě zkoumané techniky útoků.

Active Directory is a central point of administration and identity management in many organizations. Ensuring its security is indispensable to protect user credentials, enterprise systems, and sensitive data from unauthorized access. Security monitoring of Active Directory environments is typically performed using signature-based detection rules. However, those are not always effective and sufficient, especially for attacks similar to legitimate activity from the auditing perspective. This thesis applies machine learning techniques for detecting two such attack techniques - Password Spraying and Kerberoasting. Several machine learning algorithms are utilized based on features from Windows Event Log and evaluated on data originating from a real Active Directory environment. Best approaches are implemented as detection rules for practical use in the Splunk platform. In experimental comparison with signature-based approaches, the proposed solution was able to improve detection capabilities, and at the same time, reduce the number of false alarms for both considered attack techniques.