CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts

Cet article présente le jeu de données CAM-LDS, un ensemble de logs d'attaques cybernétiques étiqueté et reproductible conçu pour combler le manque de données publiques et permettre l'interprétation automatisée et sémantique des journaux système et des alertes de sécurité par des modèles de langage de grande taille (LLM).

L'essentiel

Imaginez que votre entreprise est une grande maison remplie de pièces, de couloirs et de coffres-forts. Chaque fois que quelqu'un entre, ouvre une porte ou touche un objet, cela laisse une trace : un bruit de pas, une porte qui grince, ou une poussière déplacée. Dans le monde numérique, ces traces sont appelées logs (journaux d'événements).

Le problème, c'est que dans une vraie cyberattaque, il y a des millions de ces traces, écrites dans un langage cryptique et mélangées avec le bruit de fond quotidien (comme le ronronnement du réfrigérateur ou le passage d'un chat). Pour un humain, analyser tout cela manuellement, c'est comme essayer de trouver une aiguille dans une botte de foin... alors que la botte de foy est en train de brûler !

Voici ce que les auteurs de ce papier ont fait, expliqué simplement :

1. Le Problème : Le "Mur du Silence"

Les experts en sécurité utilisent souvent des règles fixes pour détecter les attaques (comme un gardien qui ne laisse passer que les gens avec un badge spécifique). Mais les hackers sont malins : ils changent de méthode, utilisent des techniques inconnues ou imitent des actions normales. Les règles fixes ne voient pas ces nouveaux dangers. De plus, les humains sont fatigués par la quantité de données.

2. La Solution : Un Nouvel Outil de Traduction (L'IA)

Les chercheurs ont décidé d'utiliser une Intelligence Artificielle avancée (un "Grand Modèle de Langage", ou LLM, comme une version très intelligente de ChatGPT). Imaginez que cette IA est un super-détective capable de lire des millions de pages de journaux en une seconde et de dire : "Attends, ce bruit de porte n'est pas normal, c'est un cambrioleur qui essaie de forcer la serrure !".

Mais pour entraîner ce détective, il faut des exemples. Et c'est là que le problème se pose : il n'y avait pas assez de "fausses" attaques réelles et étiquetées pour apprendre à l'IA.

3. La Création : Le "CAM-LDS" (Le Terrain de Jeu)

Pour résoudre ce manque, les auteurs ont créé un nouveau jeu de données appelé CAM-LDS.

• L'analogie : Imaginez qu'ils ont construit une maison de poupée ultra-réaliste (un environnement informatique virtuel) et qu'ils ont invité 7 équipes de "méchants" (des scripts automatisés) à essayer de la cambrioler de toutes les façons possibles.
• Le résultat : Ils ont filmé chaque tentative, chaque mouvement, chaque porte forcée. Ils ont créé 7 scénarios d'attaque différents (comme un film d'espionnage) qui couvrent 81 techniques différentes de vol de données, de piratage et de sabotage.
• La particularité : Tout est enregistré dans les journaux (logs) du système, comme si on avait posé des caméras et des micros partout dans la maison.

4. L'Expérience : Le Détective IA à l'œuvre

Ensuite, ils ont donné ces journaux à l'IA pour voir si elle pouvait comprendre ce qui s'était passé.

• Le test : Ils ont montré à l'IA des extraits de journaux et lui ont demandé : "Qu'est-ce qui s'est passé ici ? Est-ce un vol ? Quelle technique a été utilisée ?"
• Le résultat : L'IA a été bluffante !
  • Pour un tiers des attaques, elle a deviné exactement la bonne technique (comme un détective qui voit le coupable dès la première seconde).
  • Pour un autre tiers, elle a trouvé la bonne réponse parmi ses 10 meilleures suppositions.
  • Cela signifie que l'IA comprend le "sens" des logs, pas juste les mots-clés. Elle peut dire : "Ce n'est pas juste une commande informatique, c'est un hacker qui essaie de voler des mots de passe !".

5. Les Découvertes Intéressantes

En regardant les traces laissées par les hackers, les chercheurs ont remarqué trois choses :

1. Les traces directes : Parfois, le hacker laisse son nom sur la porte (la commande est visible dans les logs). C'est facile à voir.
2. Les traces indirectes : Parfois, le hacker est discret, mais il fait beaucoup de bruit ailleurs (comme un vol de données qui fait augmenter la consommation électrique du serveur). L'IA peut repérer ces anomalies.
3. Les trous dans la raquette : Les systèmes de sécurité traditionnels (les gardiens) ont raté beaucoup d'attaques. L'IA, elle, a vu ce qu'ils avaient manqué.

En Résumé

Ce papier nous dit : "Arrêtons de compter uniquement sur les gardiens rigides. Utilisons un super-détective IA pour lire les journaux de notre maison numérique."

Ils ont fourni le terrain de jeu (les données d'attaque) et ont prouvé que l'IA peut être un allié précieux pour comprendre les attaques complexes, même sans avoir été entraînée spécifiquement sur ces cas précis. C'est une étape majeure pour rendre la cybersécurité plus intelligente et moins dépendante de la fatigue humaine.

Résumé technique

Voici un résumé technique détaillé du papier de recherche « CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts » en français.

1. Problématique et Contexte

L'analyse des journaux d'événements (logs) est fondamentale pour la détection d'intrusions et les enquêtes forensiques. Cependant, cette tâche se heurte à plusieurs défis majeurs :

• Volume et Hétérogénéité : Les données sont massives, proviennent de formats variés et contiennent souvent des messages non structurés.
• Limites des méthodes automatisées actuelles : Les approches traditionnelles reposent sur des règles de détection manuelles (difficiles à maintenir), des analyseurs de logs sur mesure ou un feature engineering manuel. Elles manquent souvent de compréhension sémantique et ne peuvent pas expliquer les causes profondes des événements.
• Opportunité des LLM : Les Grands Modèles de Langage (LLM) offrent une capacité prometteuse à interpréter sémantiquement les logs sans dépendre de formats spécifiques, agissant comme des analystes humains automatisés.
• Manque de données de référence : La recherche sur l'interprétation des logs par LLM est entravée par l'absence de jeux de données publics, étiquetés et couvrant un large éventail de techniques d'attaque réelles. Les jeux de données existants se concentrent souvent uniquement sur le trafic réseau, sont limités à Windows, ou proviennent d'environnements bruyants où l'isolement des traces d'attaque est difficile.

2. Méthodologie : Génération du Jeu de Données CAM-LDS

Pour combler ce vide, les auteurs ont créé le CAM-LDS (Cyber Attack Manifestation Log Data Set). La méthodologie de génération repose sur une approche systématique et reproductible :

• Conception des Scénarios :
  • Sélection de techniques d'attaque basées sur le cadre MITRE ATT&CK (version 18.1).
  • Critères de sélection : Observabilité (doit générer des artefacts dans les logs), Faisabilité (émulable sur Linux), et Automatisation (exécution scriptée).
  • Création de 7 scénarios d'attaque cohérents (kill chains) couvrant 81 techniques distinctes réparties sur 13 tactiques.
• Environnement d'Expérimentation (AttackBed) :
  • Infrastructure entièrement open-source et reproductible utilisant OpenTofu, Terragrunt et Ansible.
  • Topologie réseau simulant une petite entreprise avec segmentation (Internet, DMZ, LAN, Réseau Utilisateur, Réseau Admin).
  • Environnement Linux (choix délibéré pour compléter les jeux de données existants centrés sur Windows).
• Exécution des Attaques :
  • Utilisation du framework AttackMate pour orchestrer les attaques de manière scriptée mais réaliste (simulant des sessions interactives et des frappes au clavier pour éviter les artefacts de scripts simples).
  • Exécution sur des systèmes inactifs (sans utilisateurs réels) avec une période de stabilisation pour minimiser le bruit de fond.
• Collecte de Données :
  • Capture de logs provenant de 18 sources distinctes (logs d'audit, syslog, authentification, logs d'applications comme ZoneMinder/Docker, métriques de performance).
  • Collecte de paquets réseau et d'alertes provenant de deux IDS : Wazuh (HIDS) et Suricata (NIDS).
  • Filtrage automatique et manuel pour isoler les événements directement liés aux attaques.

3. Contributions Clés

1. CAM-LDS : Un jeu de données public et étiqueté contenant des logs système et des alertes de sécurité résultant directement d'attaques cybernétiques. C'est le premier jeu de données spécifiquement conçu pour la recherche sur l'interprétation des logs par LLM.
2. Infrastructure Reproductible : Publication du code source de l'infrastructure de test (AttackBed) et des scripts d'automatisation des attaques.
3. Analyse des Manifestations d'Attaque : Une étude approfondie de la façon dont les attaques se manifestent dans les logs (observabilité des commandes, fréquences d'événements, métriques de performance).
4. Évaluation Illustrative : Une étude de cas utilisant un LLM (ChatGPT) pour interpréter les logs du CAM-LDS en mode zero-shot (sans entraînement préalable).

4. Résultats et Analyse

A. Caractéristiques des Manifestations d'Attaque

L'analyse des logs révèle quatre types de manifestations :

• Absence de traces : Certaines étapes n' génèrent aucun log observable.
• Manifestations directes : Les commandes exécutées apparaissent explicitement dans les logs (notamment dans les logs d'audit).
• Manifestations indirectes : Changements de configuration, fréquences anormales d'événements (ex: scans de ports générant des milliers de logs), ou modifications de métriques système (CPU, charge).
• Limites des IDS : Sur les 198 étapes d'attaque générant des logs, seuls 43 ont déclenché des alertes de sévérité "Low" à "High" sur les IDS par défaut. La majorité des étapes (155) sont restées indétectées par signature, soulignant les limites des approches purement basées sur des règles.

B. Évaluation de l'Interprétation par LLM

Les auteurs ont soumis des extraits de logs (échantillonnés aléatoirement) à ChatGPT pour qu'il classe les attaques selon MITRE ATT&CK.

• Performance :
  • Environ 1/3 des étapes d'attaque ont été classées avec une précision parfaite (la technique correcte en première position).
  • Un autre tiers a été classé de manière adéquate (la technique correcte dans le top 10).
  • Le dernier tiers a échoué, souvent en raison de l'absence de commandes explicites dans les logs ou d'un manque de contexte.
• Facteurs d'Influence :
  • La précision est nettement supérieure lorsque les commandes d'attaque sont visibles dans les logs (audit + autres sources).
  • Les étapes générant un volume élevé d'événements (ex: scans) sont mieux interprétées.
  • La présence d'alertes IDS améliore significativement la classification.
• Capacité Sémantique : Le LLM a démontré une capacité à corréler des événements de sources multiples (ex: requêtes web + logs d'exécution + alertes d'applications) pour déduire l'intention de l'attaquant, imitant le raisonnement d'un analyste humain.

5. Signification et Implications

• Potentiel des LLM : Les résultats confirment que les LLM peuvent extraire des modèles sémantiques significatifs des logs bruts et interpréter des attaques complexes sans entraînement spécifique, offrant un potentiel majeur pour l'automatisation des centres d'opérations de sécurité (SOC).
• Complémentarité : L'interprétation par LLM ne remplace pas les IDS mais les complète, capable de détecter des menaces que les signatures manquent et d'expliquer le "pourquoi" d'une alerte.
• Reproductibilité : La disponibilité du CAM-LDS et de l'infrastructure permet à la communauté scientifique de comparer objectivement les méthodes d'analyse de logs.
• Limites et Perspectives :
  • Le jeu de données est limité à Linux ; des travaux futurs sont nécessaires pour Windows.
  • L'évaluation actuelle est en zero-shot ; le fine-tuning pourrait améliorer les performances.
  • L'intégration de données contextuelles (configurations système, inventaire d'actifs) et de l'historique des étapes d'attaque (chaîne de kill) pourrait renforcer la précision des LLM.

En conclusion, ce papier établit une nouvelle base pour la recherche sur la sécurité automatisée, démontrant que l'interprétation sémantique des logs par l'IA est une voie viable pour surmonter les limites des méthodes traditionnelles face à la complexité croissante des cybermenaces.