Generating historical network logs for cyber range exercises

Abstract

Cyberangrep blir stadig mer vanlige, og studier viser at trusler fra Advanced Persistance Threats (APT'er), øker eksponentielt. Trening av cybersikkerhetsprofesjonelle i realistiske miljøer er avgjørende for å være forberedt på å håndtere en virkelig hendelse. Disse treningsmiljøene kan kalles Cyber Ranger (CR); hvor deres hensikt er å tilby et trygt og isolert miljø der cybersikkerhetspersonell kan øve uten fare for å påvirke relaterte produksjonssystemer.

En CR består av en infrastruktur av klienter og servere som etterligner en virksomhet eller organisasjon. En del av å gjøre scenariet realistisk er å ha realistiske nettverkslogger for cybersikkerts-personellet å analysere under øvelser i Cyber Rangen. Forskningen i denne oppgaven omfatter metoder og teknikker for å generere historiske nettverkslogger, da dette emnet ikke er omfattet i tidligere publisert forskning. Denne prosjektet presenterer en løsning til generering av nettverkslogger for cyberøvelser, med evnen til å produsere logger som spenner over en lang periode, generert på betydelig kortere tid.

Ved å følge forskningsmetodikken Design Science Research (DSR), definerer prosjektet kravene til en nettverkslogggenerator. Til slutt presenterer den en utviklet generator for nettverkslogger som genererer logger med nevnte funksjonalitet. Det utviklede generatoren manipulerer systemklokken til å gå raskere enn normalt og simulerer brukeratferd ved hjelp av nettleseremulering på systemet for å generere trafikk, alt mens generatoren fanger all trafikken på nettverksadapteren. Artifakten er testet i et lukket nettverksmiljø med et gitt antall andre klienter på nettet, og resultatene fra loggene er analysert og sammenliknet med normaltrafikk generert på normalt vis. Nettverkslogg-generatoren, som er den ferdige artifakten etter dette prosjektet, kan generere nettverkslogger som PCAP-filer for cyberøvelser med tilpassbare start- og stopptider, forskjellige arbeidsplaner for trafikkdistribusjoner, og en hastighet på generering som varierer fra 10 til 30 ganger raskere enn sanntid.

Cyber attacks are increasingly more common, and studies show that threats from Advanced Persistence Threats (APTs), are increasing exponentially. Training cybersecurity professionals in realistic environments is crucial to be prepared for handling a real incident. These training environments can go by the name Cyber Range (CR); whose intention is to provide a safe and isolated environment where cyber security personnel can exercise without risk of affecting any related production systems.

A CR consists of an infrastructure of clients and servers emulating a business or organization in a realistic manner. A part of making the scenario realistic is to have realistic network logs for a blue team to analyze. The research contributions of this thesis include investigating methods and techniques for generating historical network data, as this topic is highly lacking in current literature. This thesis presents an approach to a generator for creating network logs for cyber exercises, with the capability of producing logs spanning over a long period of time, generated in a significantly shorter time.

Following the Design Science Research (DSR) methodology, the thesis defines the requirements for a network log generator and presents a developed artifact that successfully generates logs with said functionality. The developed artifact utilizes system clock manipulation and simulates user behavior using browser emulation on the system to generate traffic, all while the generator captures all the traffic on the network interface. The proposed artifact was tested in a closed environment with several other clients, with its results analyzed and compared to a baseline of normally generated traffic. The artifact can successfully generate network logs as PCAP files for cyber exercises with customizable start and stop times, different work schedules for traffic distributions, and a speed ranging from 10 to 30 times faster than in real time.