CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts

Este artículo presenta CAM-LDS, un nuevo conjunto de datos de registros de ciberataques generado en un entorno de código abierto que cubre múltiples tácticas y técnicas, diseñado para superar la escasez de datos etiquetados y facilitar la interpretación automática de registros y alertas de seguridad mediante el uso de Modelos de Lenguaje Grande (LLM).

Lo esencial

¡Claro que sí! Imagina que este artículo es como una receta de cocina para detectar espías digitales, pero en lugar de ingredientes, usamos "huellas" que dejan los hackers en las computadoras.

Aquí tienes la explicación de la investigación CAM-LDS en un lenguaje sencillo, con analogías para que cualquiera lo entienda:

1. El Problema: El Ruido de la Ciudad

Imagina que tu empresa es una ciudad gigante. Cada vez que alguien abre una puerta, enciende una luz o usa el teléfono, se genera un "ruido" (un registro o log).

• El desafío: Los hackers entran a la ciudad y hacen cosas malas. Pero el problema es que hay demasiado ruido. Hay millones de registros diarios (como si todos los ciudadanos hablaran a la vez).
• La vieja forma de trabajar: Los expertos en seguridad (los detectives) tienen que leer estos millones de papeles uno por uno para encontrar al criminal. Es aburrido, lento y a veces se les escapan cosas.
• Las herramientas antiguas: Antes, usábamos "listas de deseos" (reglas predefinidas). Si el hacker hacía exactamente lo que la lista decía, lo atrapábamos. Pero si el hacker hacía algo nuevo o diferente, la lista no funcionaba y el criminal se escapaba.

2. La Solución: Un "Detective Inteligente" (IA)

Los autores de este paper proponen usar una Inteligencia Artificial muy avanzada (llamada Modelo de Lenguaje Grande o LLM, como un ChatGPT muy listo) para leer estos registros.

• La analogía: En lugar de que un humano lea mil páginas, le das un resumen de lo que pasó a un detective con una memoria increíble que entiende el contexto. Le dices: "Aquí hay una lista de acciones extrañas, ¿qué crees que pasó?" y la IA te responde: "Parece que alguien intentó robar las llaves de la casa".

3. El Gran Obstáculo: ¡No teníamos "Casos de Prueba"!

Para entrenar a este detective de IA, necesitas mostrarle miles de ejemplos de crímenes reales.

• El problema: En el mundo de la ciberseguridad, los datos reales de ataques son secretos (como los expedientes policiales confidenciales). No se pueden compartir públicamente. Sin ejemplos, la IA no puede aprender.
• La innovación de este paper: Los autores crearon su propio "Zoológico de Crímenes".
  • Construyeron un laboratorio virtual (una ciudad de juguete) donde simularon 7 tipos de ataques diferentes.
  • Estos ataques cubrieron 81 técnicas distintas (como robar contraseñas, esconderse, saltar de una computadora a otra, etc.).
  • Lo mejor: Lo hicieron todo con código abierto y gratis, para que cualquier investigador en el mundo pueda usarlo y repetir el experimento. A esto lo llamaron CAM-LDS.

4. ¿Qué descubrieron? (La Magia y los Límites)

Pusieron a prueba a la IA con estos datos simulados y descubrieron cosas interesantes:

• La IA es un genio (a veces): En aproximadamente un tercio de los casos, la IA adivinó perfectamente qué técnica usó el hacker, solo leyendo los registros. ¡Es como si el detective leyera una huella dactilar y supiera exactamente qué arma usó el criminal!
• La IA es buena (a veces): En otro tercio de los casos, la IA dio una respuesta correcta, pero no fue la primera en su lista de opciones.
• El problema del "Disfraz": A veces, la IA se confunde. ¿Por qué? Porque los hackers son astutos.
  • Analogía: Si un hacker usa una herramienta que también usa el administrador de la casa (como cambiar una luz), la IA puede pensar que es una tarea normal y no un crimen.
  • Otro problema: A veces el hacker deja muy pocas huellas (como un fantasma que no hace ruido), y la IA no tiene suficiente información para adivinar.

5. La Conclusión: Un Nuevo Camino

Este paper nos dice dos cosas importantes:

1. Tenemos un nuevo mapa: Ahora tenemos un conjunto de datos público y gratuito (CAM-LDS) que sirve como "gimnasio" para entrenar a futuras IAs de seguridad.
2. La IA es una gran ayudante, no un reemplazo: La IA puede leer millones de registros en segundos y encontrar patrones que un humano tardaría días en ver. Sin embargo, todavía necesita ayuda humana para los casos más difíciles y confusos.

En resumen:
Los autores construyeron una pista de entrenamiento virtual donde los hackers (simulados) dejan huellas claras. Usaron esta pista para enseñarle a una Inteligencia Artificial a leer esas huellas. La IA aprendió muy rápido y ahora puede ayudar a los detectives humanos a encontrar a los criminales digitales mucho más rápido, aunque todavía hay que tener cuidado con los casos donde el criminal se disfraza muy bien.

¡Es un paso gigante hacia una ciberseguridad más automática y rápida!

Resumen técnico

Resumen Técnico: CAM-LDS

1. El Problema

La análisis de registros (logs) es fundamental para la detección de intrusiones y las investigaciones forenses. Sin embargo, el análisis manual es tedioso debido al alto volumen de datos, la heterogeneidad de formatos y la naturaleza no estructurada de los mensajes.
Aunque existen métodos automatizados, su aplicabilidad práctica es limitada porque:

• Dependen de configuraciones específicas del dominio (reglas definidas por expertos, parsers manuales).
• Carecen de capacidad para comprender semánticamente los logs y explicar las causas subyacentes.
• Sufren de altas tasas de falsos positivos y dificultad para adaptarse a patrones de ataque evolutivos.

La emergencia de los Modelos de Lenguaje Grande (LLM) ofrece la promesa de una interpretación agnóstica al dominio y al formato. No obstante, la investigación en este ámbito se ve obstaculizada por la escasez de conjuntos de datos públicos, etiquetados y reproducibles que cubran una amplia gama de técnicas de ataque y sus manifestaciones en logs del sistema. La mayoría de los conjuntos de datos existentes se centran en tráfico de red, están limitados a entornos Windows, o carecen de contexto de seguridad real.

2. Metodología

Los autores introducen CAM-LDS (Cyber Attack Manifestation Log Data Set), un conjunto de datos diseñado para llenar este vacío. La metodología de generación se basa en un entorno de prueba totalmente abierto, reproducible y automatizado:

• Diseño de Escenarios: Se seleccionaron 81 técnicas de ataque distintas del marco MITRE ATT&CK (versión 18.1), cubriendo 13 tácticas. Se diseñaron 7 escenarios de ataque coherentes que simulan cadenas de kill chain realistas.
• Criterios de Selección: Las técnicas se eligieron basándose en su observabilidad (generan artefactos en logs), factibilidad (ejecutables en un entorno Linux) y automatización (ejecución mediante scripts sin intervención manual).
• Entorno de Prueba (AttackBed): Se utilizó una infraestructura como código (OpenTofu, Terragrunt, Ansible) para desplegar una topología de red de pequeña empresa (5 zonas de seguridad: Internet, DMZ, LAN, Red de Usuarios, Red de Administración).
• Ejecución del Ataque: Se empleó AttackMate, un framework de emulación adversaria de código abierto, para ejecutar los ataques de manera determinista y repetible. Esto permite generar trazas de logs consistentes y evitar el ruido de fondo mediante periodos de estabilización y filtrado de eventos de inicio.
• Recopilación de Datos: Se recopilaron datos de 18 fuentes distintas, incluyendo:
  • Logs del sistema (syslog, audit, autenticación, cron, paquetes).
  • Logs de aplicaciones (Zoneminder, FTP, Docker, Nextcloud, correo).
  • Alertas de IDS (Host-based: Wazuh; Network-based: Suricata).
  • Métricas de rendimiento del sistema (CPU, carga, disco, red).
  • Capturas de paquetes (PCAP) y flujos de red.

3. Contribuciones Clave

1. CAM-LDS (Conjunto de Datos): El primer conjunto de datos público diseñado específicamente para la investigación de interpretación de logs y alertas de seguridad basada en LLM. Contiene 34 simulaciones y 243 pasos de ataque etiquetados.
2. Análisis de Manifestaciones: Una categorización sistemática de cómo se manifiestan los ataques en los logs, identificando cuatro tipos principales:
   • Sin manifestación observable.
   • Manifestaciones directas (comandos ejecutados visibles).
   • Manifestaciones indirectas (consecuencias de acciones maliciosas sin el comando explícito).
   • Cambios en métricas de rendimiento.
3. Infraestructura Abierta: Liberación del código fuente de la infraestructura de prueba (AttackBed), los scripts de automatización de ataques y los artefactos necesarios para reproducir el estudio de caso con LLM.
4. Evaluación Ilustrativa: Un estudio de caso demostrando la capacidad de un LLM (ChatGPT) para interpretar logs en un entorno zero-shot (sin entrenamiento previo específico).

4. Resultados

El estudio presenta un análisis exhaustivo de los datos y una evaluación del LLM:

• Observabilidad de Comandos:

  • El 47.3% de los pasos de ataque dejaron indicadores explícitos de comandos ejecutados en los logs de auditoría (audit logs).
  • Sin embargo, el método de ejecución (SSH, reverse-shell, VNC, implantes) afecta significativamente la granularidad y visibilidad de estos comandos. Algunos métodos ocultan el comando pero dejan huellas en otros logs (ej. logs de autenticación).
  • El 32.1% de los pasos no generaron referencias directas a los comandos, y el 18.5% no generaron ningún evento de log filtrado.

• Frecuencia y Alertas:

  • Los logs de auditoría generaron el mayor volumen de eventos.
  • Las actividades de escaneo y fuerza bruta produjeron picos significativos en la frecuencia de eventos.
  • Limitación de IDS: De los 198 pasos de ataque que generaron logs, solo 43 (21.7%) dispararon alertas de severidad media-alta en los IDS (Wazuh o Suricata) con sus reglas por defecto. Esto subraya la limitación de la detección basada en firmas.

• Evaluación con LLM (Zero-Shot):

  • Se utilizó ChatGPT para clasificar los logs en técnicas de MITRE ATT&CK y estimar la malicia.
  • Precisión:
    • Aproximadamente 1/3 de los pasos de ataque fueron clasificados perfectamente (la técnica correcta en la posición #1 o #2).
    • Otro 1/3 fue clasificado adecuadamente (la técnica correcta dentro del top 10).
    • El tercio restante tuvo dificultades para identificar la técnica correcta.
  • Factores de Éxito: La precisión del LLM fue mayor cuando:
    1. Los comandos de ataque eran visibles en los logs.
    2. Había un alto volumen de eventos de log (frecuencia).
    3. Existían alertas de IDS asociadas.

5. Significado e Implicaciones

• Potencial de los LLM: Los resultados demuestran que los LLMs tienen la capacidad semántica para interpretar logs de seguridad complejos y correlacionar eventos de múltiples fuentes sin necesidad de entrenamiento específico, actuando como un asistente valioso para analistas humanos.
• Necesidad de Complementariedad: Dado que los IDS tradicionales fallan en detectar una gran fracción de las actividades de ataque, los enfoques basados en LLM ofrecen un método complementario crucial para la detección y el análisis de causa raíz.
• Reproducibilidad: CAM-LDS establece un nuevo estándar para la investigación reproducible en ciberseguridad, permitiendo comparaciones justas entre diferentes herramientas de análisis de logs.
• Direcciones Futuras: El trabajo sugiere que la integración de contexto adicional (configuraciones del sistema, inteligencia de amenazas externa) y el análisis de secuencias completas de ataque (en lugar de pasos aislados) podrían mejorar aún más la precisión de los LLMs. Además, se recomienda explorar modelos más pequeños y locales para abordar preocupaciones de privacidad y costos.

En conclusión, el artículo presenta una solución integral (datos + metodología + evaluación) que avanza significativamente el estado del arte en la automatización del análisis de logs de seguridad mediante Inteligencia Artificial.