Automating detection engineering : from natural language to XML detection rules
| dc.contributor.advisor | Kotzanikolaou, Panagiotis | |
| dc.contributor.advisor | Κοτζανικολάου, Παναγιώτης | |
| dc.contributor.author | Tsigkopoulos, Spiridon | |
| dc.contributor.author | Τσιγκόπουλος, Σπυρίδων | |
| dc.date.accessioned | 2025-10-14T08:52:04Z | |
| dc.date.available | 2025-10-14T08:52:04Z | |
| dc.date.issued | 2025-10 | |
| dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/18226 | |
| dc.description.abstract | Η διαρκής εξέλιξη της τεχνολογίας έχει οδηγήσει στη δημιουργία πολύπλοκων ψηφιακών περιβαλλόντων, τα οποία, ενώ ενισχύουν την καινοτομία και τη συνδεσιμότητα, την ίδια στιγμή εκθέτουν τα συστήματα σε ένα συνεχώς διευρυνόμενο φάσμα εξελιγμένων κυβερνοαπειλών. Οι μέθοδοι ανίχνευσης και αντιμετώπισης περιστατικών που χρησιμοποιούνται μέχρι και σήμερα, βασίζονται σε μεγάλο βαθμό στη χειροκίνητη δημιουργία κανόνων και στην ανθρώπινη παρέμβαση, γεγονός που τις καθιστά συχνά χρονοβόρες και επιρρεπείς σε σφάλματα. Καθώς οι οργανισμοί επιδιώκουν την ενίσχυση της ασφάλειάς τους, η ανάγκη καθίσταται επιτακτική για τη δημιουργία ευφυών συστημάτων, που να μπορούν να αυτοματοποιήσουν τη διαδικασία ανίχνευσης απειλών. Στο πλαίσιο αυτής της διπλωματικής εργασίας, προτείνεται μια ημιαυτοματοποιημένη ροή ανίχνευσης που αξιοποιεί τις δυνατότητες των LLMs για την παραγωγή και βελτιστοποίηση κανόνων ανίχνευσης απειλών σε πλατφόρμες SIEM, με έμφαση στο ανοιχτού κώδικα σύστημα Wazuh. Η βάση της μεθοδολογίας έγκειται στη μετατροπή περιγραφών επιθέσεων από φυσική γλώσσα σε κανόνες ανίχνευσης της μορφής XML, συμβατούς με τον μηχανισμό κανόνων του Wazuh. Η ροή υλοποιείται μέσω ενός Python script, το οποίο διαχειρίζεται την επικοινωνία ανάμεσα στον χρήστη από το τοπικό LLM (μέσω του Ollama), το API του Wazuh και την πλατφόρμα προσομοίωσης επιθέσεων MITRE Caldera. Αφού δημιουργηθεί ο αρχικός κανόνας, εκτελείται μια προσομοιωμένη επίθεση μέσω του Caldera, το Wazuh συλλέγει σχετικά logs και στη συνέχεια αναλύονται από το LLM, προκειμένου να δημιουργηθεί ένας πιο ακριβής κανόνας ανίχνευσης. Ο νέος κανόνας επανεισάγεται στο Wazuh, ολοκληρώνοντας έναν πλήρη κύκλο της ροής. Παρόλο που απαιτούνται ορισμένα χειροκίνητα βήματα κατά την εκτέλεση της επίθεσης λόγω περιορισμών του Caldera, η μεθοδολογία αποδεικνύεται λειτουργική, μειώνει σημαντικά την ανάγκη της ανθρώπινης τεχνογνωσίας, υποστηρίζει τη συνεχή βελτιστοποίηση των κανόνων και θέτει τις βάσεις για την ανάπτυξη πλήρως αυτόνομων συστημάτων ανίχνευσης. | el |
| dc.format.extent | 71 | el |
| dc.language.iso | en | el |
| dc.publisher | Πανεπιστήμιο Πειραιώς | el |
| dc.rights | Αναφορά Δημιουργού 3.0 Ελλάδα | * |
| dc.rights | Αναφορά Δημιουργού 3.0 Ελλάδα | * |
| dc.rights.uri | http://creativecommons.org/licenses/by/3.0/gr/ | * |
| dc.title | Automating detection engineering : from natural language to XML detection rules | el |
| dc.title.alternative | Αυτοματοποίηση μηχανικής ανίχνευσης : μετατροπή κανόνων ανίχνευσης από φυσική γλώσσα σε XML | el |
| dc.type | Master Thesis | el |
| dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικής | el |
| dc.description.abstractEN | Technology’s constant advance has built intricate digital spaces. These spaces boost innovation and connectedness, but they also increase the chance of systems being harmed by different cyberthreats. So far, finding and fixing problems depends on people writing rules by hand, which wastes time and causes mistakes. To better protect themselves, groups must have smart systems that can automatically find threats. This thesis suggests a way to find threats that uses LLMs to create and improve threat detection rules in SIEM platforms, like the open-source Wazuh system. The method changes natural language attack descriptions into XML detection rules that work with the Wazuh rule engine. A Python script runs the process, handling communication between the user, the local LLM (using Ollama), the Wazuh API, and the MITRE Caldera attack simulation platform. Once the first rule is written, Caldera runs a simulated attack. Wazuh gathers logs, which the LLM then looks at to make a more exact detection rule. The improved rule goes back into Wazuh, finishing the cycle. While some manual steps are needed during the attack because of Caldera limits, the method is useful. It cuts down on the need for human skills, helps keep the rules up-to-date, and lays the groundwork for building fully automatic detection systems. | el |
| dc.contributor.master | Κυβερνοασφάλεια και Επιστήμη Δεδομένων | el |
| dc.subject.keyword | Cybersecurity | el |
| dc.subject.keyword | SIEM | el |
| dc.subject.keyword | Automation | el |
| dc.subject.keyword | Wazuh | el |
| dc.subject.keyword | Caldera | el |
| dc.subject.keyword | Detection rules | el |
| dc.subject.keyword | Pipeline | el |
| dc.subject.keyword | Natural language | el |
| dc.date.defense | 2025-10-02 |
Αρχεία σε αυτό το τεκμήριο
Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές
-
Τμήμα Πληροφορικής
Department of Informatics
Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού 3.0 Ελλάδα
Αναφορά Δημιουργού 3.0 Ελλάδα