CAM-LDS: Cyber Attack Manifestations for Automatic Interpretation of System Logs and Security Alerts

Este artigo apresenta o CAM-LDS, um novo conjunto de dados de logs de ataques cibernéticos gerado em um ambiente de teste reprodutível para superar a escassez de dados rotulados e demonstrar a eficácia de Modelos de Linguagem Grandes (LLMs) na interpretação automática e semântica de logs de segurança e alertas de intrusão.

O essencial

🕵️‍♂️ O Grande Detetive de Logs: Apresentando o CAM-LDS

Imagine que você é o segurança de um grande prédio de escritórios. Todos os dias, centenas de pessoas entram e saem, usam as escadas, ligam o ar-condicionado e abrem portas. O prédio gera um diário de bordo gigante (os "logs") registrando cada movimento: quem entrou, que hora foi, qual porta foi aberta.

O problema? Esse diário é enorme, bagunçado e difícil de ler. Se um ladrão entrar, ele pode deixar rastros que parecem perfeitamente normais (como um funcionário abrindo uma porta às 3 da manhã). Analisar isso manualmente para encontrar o ladrão é como tentar achar uma agulha em um palheiro, mas o palheiro está cheio de palhas que se parecem com agulhas.

É aqui que entra este artigo e a sua nova ferramenta: o CAM-LDS.

1. O Que é o CAM-LDS? (O "Campo de Treino" Perfeito)

Os pesquisadores criaram um cenário de treinamento digital (um "simulador" de rede de computadores) onde eles simularam 7 tipos diferentes de ataques cibernéticos.

• A Analogia: Pense nisso como um campo de tiro para detetives. Em vez de esperar que um ladrão real entre no prédio, eles criaram 7 cenários diferentes onde "atores" (robôs programados) tentam invadir o sistema de formas específicas.
• O Resultado: Eles coletaram todos os diários de bordo (logs) gerados durante esses ataques. O diferencial é que eles sabem exatamente o que cada "ator" fez e quando. É um banco de dados rótulado (com respostas certas) de como os ataques se parecem nos registros.

2. Por que isso é difícil? (O Problema do Ruído)

Antes, os pesquisadores tinham dois problemas:

1. Dados Privados: As empresas não querem compartilhar seus logs reais porque contém segredos.
2. Dados Falsos ou Ruídos: Muitos dados públicos são apenas "barulho" (tráfego normal) ou focam apenas em redes, ignorando o que acontece dentro do computador.

O CAM-LDS resolve isso criando um ambiente aberto, limpo e totalmente controlado. Eles garantiram que os logs mostrassem apenas o que o "ladrão" fez, removendo o ruído de fundo.

3. A Estrela do Show: A Inteligência Artificial (LLMs)

A parte mais legal do artigo é testar se uma Inteligência Artificial (IA) consegue ler esses diários e dizer: "Ei, isso aqui não é um funcionário abrindo a porta, é um ladrão tentando quebrar o cadeado!".

• A Analogia: Imagine que você pega um pedaço do diário de bordo e joga para um detetive superinteligente (a IA, chamada de LLM) que nunca viu esse prédio antes. Você pergunta: "O que está acontecendo aqui?".
• O Teste: Eles deram para a IA pedaços dos logs gerados pelos ataques e pediram para ela identificar qual técnica de ataque foi usada (baseado em uma lista de 200 técnicas conhecidas, como o "MITRE ATT&CK").

4. O Que Eles Descobriram? (Os Resultados)

Os resultados foram promissores, mas com ressalvas:

• Sucesso Parcial: A IA acertou a técnica de ataque perfeitamente em cerca de 1/3 dos casos. Em outros 1/3, ela acertou a ideia geral, mas não o detalhe exato.
• O Fator "Visibilidade": A IA funciona melhor quando o "ladrão" deixa rastros óbvios.
  • Se o ladrão digitou um comando estranho no teclado (que aparece no log), a IA entende fácil.
  • Se o ladrão usou uma técnica que não deixa rastro de comando, mas apenas deixa o computador lento (mudança de performance), a IA tem mais dificuldade.
• A Limitação dos Alarmes Tradicionais: Eles também viram que os alarmes de segurança tradicionais (como câmeras de segurança que só detectam rostos conhecidos) perderam a maioria dos ataques. A IA, por outro lado, conseguiu "ler" o contexto e entender o que estava acontecendo, mesmo sem ter visto aquele ladrão antes.

5. Por que isso importa para você?

Hoje, as empresas são bombardeadas por milhões de alertas de segurança. Analistas humanos ficam exaustos tentando ler esses logs.

Este trabalho mostra que:

1. Precisamos de mais dados como o CAM-LDS para treinar nossas IAs.
2. As IAs podem ser grandes ajudantes para ler esses logs e explicar por que algo é perigoso, não apenas gritar "ALERTA!".
3. Elas podem entender a "história" do ataque, conectando pontos que um humano poderia perder por cansaço.

🎯 Resumo em uma frase

Os pesquisadores criaram um simulador de crimes digitais perfeito para treinar uma Inteligência Artificial, provando que ela consegue ler os diários de bordo dos computadores e identificar ladrões digitais com bastante precisão, especialmente quando os ladrões deixam rastros óbvios.

É um passo importante para transformar a segurança cibernética de "ler mil páginas de texto" para "ter um assistente inteligente que resume o crime e aponta o culpado".

Resumo técnico

Título: CAM-LDS: Manifestações de Ataques Cibernéticos para Interpretação Automática de Logs de Sistema e Alertas de Segurança

1. Problema e Motivação

A análise de logs de sistema é fundamental para a detecção de intrusões e investigações forenses. No entanto, a análise manual é inviável devido ao volume massivo de dados, à heterogeneidade dos formatos de eventos e à natureza não estruturada das mensagens.

• Limitações das Abordagens Atuais: Métodos automatizados convencionais dependem de configurações específicas de domínio, como regras de detecção definidas por especialistas, parsers de logs manuais ou engenharia de características (feature engineering) manual. Eles falham em compreender semanticamente os logs e explicar as causas subjacentes, limitando sua eficácia contra ataques novos ou desconhecidos.
• Oportunidade dos LLMs: Os Modelos de Linguagem Grandes (LLMs) oferecem a capacidade de interpretar logs de forma agnóstica a domínio e formato, analisando semanticamente os dados de forma análoga à linguagem natural.
• O Gap de Pesquisa: A principal barreira para avançar a pesquisa baseada em LLMs na segurança é a escassez de conjuntos de dados públicos, rotulados e abrangentes que cubram uma ampla gama de técnicas de ataque. Conjuntos existentes focam frequentemente apenas em tráfego de rede, são restritos a ambientes Windows ou carecem de contexto de segurança realista.

2. Metodologia

Os autores introduzem o CAM-LDS (Cyber Attack Manifestation Log Data Set), criado para preencher essa lacuna. A metodologia de geração do conjunto de dados segue um processo rigoroso de nove etapas (Figura 2 do artigo):

1. Seleção de Técnicas: Foram selecionadas 122 técnicas do framework MITRE ATT&CK baseadas em critérios de observabilidade (geração de artefatos em logs), viabilidade (ambiente Linux) e automação.
2. Design de Cenários: As técnicas foram agrupadas em 7 cenários de ataque coerentes (kill chains) que simulam ataques realistas em uma infraestrutura de rede de pequena empresa.
3. Implementação e Automação: Utilizou-se o framework de emulação adversária AttackMate para executar os ataques de forma totalmente automatizada e repetível, garantindo consistência nos artefatos de log.
4. Ambiente de Teste: O ambiente é totalmente de código aberto, baseado em Linux, utilizando infraestrutura como código (OpenTofu, Terragrunt, Ansible). A topologia de rede inclui zonas de DMZ, LAN, Rede de Usuários e Rede de Administradores.
5. Execução e Coleta: Os ataques foram executados em um ambiente "ocioso" (sem interação de usuários reais) para minimizar ruído de fundo. Foram coletados dados de 18 fontes distintas, incluindo:
   • Logs de sistema (syslog, audit, autenticação, CRON).
   • Logs de aplicações específicas (ZoneMinder, Docker, Nextcloud, etc.).
   • Métricas de desempenho do sistema (CPU, I/O, memória).
   • Alertas de IDS (Wazuh para host-based e Suricata para network-based).
   • Capturas de pacotes de rede (PCAP).
6. Filtragem de Dados: Foi aplicada uma filtragem automatizada para remover eventos de fundo normais (comparando com uma linha de base de 10 minutos antes do ataque), mantendo apenas os eventos que são consequências diretas das ações do atacante.

Os 7 Cenários de Ataque incluem:

1. Exploração de Servidor de Vídeo: Reconhecimento, escaneamento de vulnerabilidades (ZoneMinder) e exploração para elevação de privilégios (várias variantes: Autostart, CRON, PwnKit, Race Condition, Sudo Weakness).
2. Malware Linux: Instalação de implantes e rootkits via CRON ou systemd.
3. Movimentação Lateral: Brute-force via SSH/VNC, sniffing de credenciais e injeção de código malicioso via Puppet ou pacotes APT.
4. Ataque à Rede: Uso de "port knocking" para contornar firewalls e modificar regras.
5. Sniffing de Rede: Captura de tokens de autenticação via ARP spoofing.
6. Ataque ao Cliente: Engenharia social (plugins maliciosos, macros, compartilhamento de tela) para obter acesso inicial e persistência.
7. Ataque Docker: Brute-force de e-mail, exploração de Nextcloud e escape de container para obter acesso root no host.

3. Contribuições Principais

1. Conjunto de Dados CAM-LDS: O primeiro conjunto de dados público projetado especificamente para apoiar a pesquisa sobre interpretação de logs e alertas de segurança baseada em LLMs. Contém 81 técnicas distintas cobrindo 13 táticas do MITRE ATT&CK, executadas em um ambiente Linux totalmente reproduzível.
2. Análise Sistemática de Manifestações: Uma categorização detalhada de como os ataques se manifestam nos logs, incluindo observabilidade de comandos, frequências de eventos e métricas de desempenho.
3. Infraestrutura Reproduzível: Disponibilização do código aberto do ambiente de teste (AttackBed), scripts de automação e os dados brutos e filtrados.
4. Estudo de Caso com LLM: Uma avaliação ilustrativa utilizando um LLM (ChatGPT) para interpretar os logs do CAM-LDS em um cenário zero-shot.

4. Resultados e Análise

Análise das Manifestações de Ataque (Seção 4):

• Observabilidade: Apenas 47,3% dos passos de ataque deixaram indicadores explícitos de comandos executados nos logs de auditoria (audit logs). Outros passos geraram apenas eventos indiretos (como mudanças de configuração ou frequências anômalas) ou nenhum evento observável.
• Frequência de Eventos: Ataques de escaneamento e força bruta geram picos significativos de volume de logs, servindo como indicadores de anomalia.
• Limitações do IDS: Dos 198 passos de ataque que geraram logs, apenas 43 dispararam alertas com severidade baixa a alta em pelo menos um dos IDS (Wazuh ou Suricata). Isso destaca a ineficácia de abordagens baseadas apenas em assinaturas para detectar uma ampla gama de atividades adversárias.

Avaliação Baseada em LLM (Seção 5):

• Configuração: O modelo ChatGPT foi testado em zero-shot (sem treinamento prévio nos dados) para classificar os logs nas técnicas do MITRE ATT&CK.
• Desempenho:
  • Terço Superior: Para aproximadamente 33% dos passos de ataque, o LLM previu a técnica correta perfeitamente (geralmente na 1ª ou 2ª posição da lista).
  • Terço Médio: Para outros 33%, a técnica correta estava presente entre as 10 previsões principais.
  • Terço Inferior: Os restantes tiveram baixa precisão.
• Fatores de Influência: A precisão da classificação foi positivamente correlacionada com:
  1. A presença de comandos de ataque visíveis nos logs (especialmente em audit logs e outras fontes).
  2. O volume de eventos de log (ataques com alta frequência foram mais fáceis de classificar).
  3. A presença de alertas de IDS.
• Qualidade da Explicação: O LLM foi capaz de fornecer explicações semânticas coerentes, conectando eventos de múltiplas fontes (ex: correlacionando requisições web com execução de comandos no sistema) de forma semelhante a um analista humano.

5. Significado e Conclusão

O artigo demonstra que:

1. Viabilidade dos LLMs: Os LLMs têm potencial real para auxiliar analistas de segurança na interpretação automática de logs, superando a necessidade de parsers manuais e regras específicas de domínio. Eles conseguem inferir intenções e técnicas de ataque a partir de dados brutos.
2. Importância do CAM-LDS: A falta de dados padronizados e rotulados era um obstáculo crítico. O CAM-LDS fornece a base necessária para o desenvolvimento e avaliação de futuras ferramentas de IA em segurança.
3. Limitações e Futuro: Embora promissor, o desempenho varia dependendo da "visibilidade" do ataque nos logs. O trabalho sugere que futuras pesquisas devem incorporar contexto adicional (como configurações de sistema e inteligência de ameaças externa) e correlacionar múltiplos passos de ataque para melhorar a precisão e reduzir falsos positivos.

Em resumo, o CAM-LDS é um marco para a pesquisa em segurança cibernética baseada em dados, validando a utilidade dos LLMs para a interpretação semântica de logs e fornecendo um recurso essencial para a comunidade acadêmica e profissional.