An Attribution Method for Alerts in an Educational Cyber Range based on Graph Database

Wang, Yang

January 2023

Finding the source of events in a network is a critical problem in network security, and this process is called network attribution. This thesis develops a system to attribute alerts from the cyber range of the Ethical Hacking Course at KTH to students. The cyber range is an essential component of the Ethical Hacking course. It provides a platform for students to practice their hacking knowledge and skills while recording their actions for research or course purposes. To use the alerts generated by the cyber range to study student behavior, it is necessary to find which student triggered the alert. In this thesis, the system uses a method based on a graph database to attribute alerts to students. The system designed in this thesis use the log data recorded by the cyber range to create nodes and relationships and use the data related to the traffic between hosts to attribute the traffic. After the attribution is complete, the system uses the attributed student traffic to reconstruct the path from the student to the host that captured the alert. If the path from the student to the host is successfully constructed, the attribution of the alert is considered successful. In the end, the system was able to attribute 94% of the student traffic. Using the student traffic that is successfully attributed, the system can attribute 79.75% of the bad-samba alerts to students and build the path from the student to the host. The system designed in this thesis is helpful for understanding and managing the students’ hacking behavior in the cyber range of the Ethical Hacking course. / Att hitta källan till händelser i ett nätverk är ett kritiskt problem inom nätverkssäkerhet och denna process kallas för nätverksattribuering. Denna avhandling utvecklar ett system för att attribuera varningar från cyberrummet i kursen Etisk Hacking på KTH till studenter. Cyberrummet är en viktig komponent i Etisk Hacking-kursen och det ger en plattform för studenter att öva på sina hackningskunskaper och färdigheter samtidigt som deras handlingar spelas in för forsknings- eller kursändamål. För att använda de varningar som genereras av cyberrummet för att studera studenters beteende är det nödvändigt att hitta vilken student som utlöste varningen. I denna avhandling använder systemet en metod baserad på en grafisk databas för att attribuera varningar till studenter. Vi använder loggdata som registreras av cyberrummet för att skapa noder och relationer och använder data relaterade till trafiken mellan värdar för att attribuera trafiken. Efter att attribueringen är klar använder systemet den attribuerade studenttrafiken för att återkonstruera vägen från studenten till värdet som fångade varningen. Om vägen från studenten till värdet framgångsrikt konstrueras anses attribueringen av varningen vara lyckad. I slutändan kunde systemet attribuera 94% av studenttrafiken. Genom att använda den studenttrafik som framgångsrikt attribueras kan systemet attribuera 79,75% av de dåliga-samba varningarna till studenter och bygga vägen från studenten till värdet. Systemet som designats i denna avhandling är till hjälp för att förstå och hantera studenters hackningsbeteende i cyberrummet i kursen Etisk Hacking.

Network Attribution. Cyber Range

Ethical Hacking Course. Graph Database.

Nätverksattribuering

Cyberområde

Etisk Hackningskurs

Grafisk Databas

Elektroteknik och elektronik