ADVANCING CYBERSECURITY DEFENSES: A KILL CHAIN APPROACH TO SIMULATING AND LABELING CYBER ATTACKS
Authors
Ho, Khai Quang ; Bech, Daniel Nørrevang
Term
4. semester
Education
Publication year
2024
Submitted on
2024-06-14
Pages
136
Abstract
Alarmtræthed blandt SOC-analytikere forværres af mange falske positiver og isolerede alarmer, der er svære at sætte i kontekst. Dette speciale lægger grundlaget for en gruppebaseret analyse, hvor relaterede hændelser samles i meta-alarmer, ved at skabe et omfattende, realistisk datasæt til maskinlæring. Ondsindet trafik simuleres i et virtualiseret miljø med egen infrastruktur og scripts samt en kommandokontrol (C2) opsætning via MITRE Caldera, og blandes med legitim (benign) trafik for at afspejle virkelige forhold. Hvert ondsindet datapunkt mærkes systematisk efter Cyber Kill Chain og MITRE ATT&CK for at indfange angrebets livscyklus og relationer, og egenskrevne værktøjer bruges til at kortlægge artefakter fra simuleringerne til datasættet. For at vurdere datasættets anvendelighed trænes og testes flere maskinlæringsmodeller, som opnår nøjagtigheder over 98 %, hvilket indikerer, at datasættet er tilstrækkeligt pålideligt til at understøtte en fremtidig model, der kan gruppere sikkerhedshændelser til mere meningsfulde meta-alarmer og give analytikere bedre kontekst ved intrusion detection.
Alert fatigue in Security Operations Centers is driven by high volumes of false positives and isolated alerts that are hard to contextualize. This thesis lays the groundwork for a group-based analysis approach that assembles related events into meta-alerts by creating a comprehensive, realistic dataset for machine learning. Malicious traffic is simulated in a virtualized environment using custom scripts and infrastructure, including a command-and-control (C2) setup via MITRE Caldera, and is blended with benign traffic to reflect real-world conditions. Each malicious entry is systematically labeled with the Cyber Kill Chain and MITRE ATT&CK to capture the attack lifecycle and relationships, and custom tools map artifacts from the simulations into the dataset. To assess its utility, several machine learning models are trained and evaluated, achieving accuracies exceeding 98%, indicating the dataset is sufficiently reliable to support a future model that groups security events into meaningful meta-alerts and provides richer context at the point of intrusion detection.
[This summary has been generated with the help of AI directly from the project (PDF)]
Documents