Process-aware insider threat detection using Windows event logs

Abstract

Η παρούσα διπλωματική προτείνει μια process-aware μεθοδολογία για την ανίχνευση ύποπτης δραστηριότητας σε εταιρικά συστήματα μέσω ανάλυσης αρχείων καταγραφής συμβάντων (event logs) των Windows. Στόχος είναι ο εντοπισμός εσωτερικών απειλών, μοντελοποιώντας και αναλύοντας τη συμπεριφορά των χρηστών χρησιμοποιόντας τεχνικές process mining. Για τον σκοπό αυτό, τα αρχεία καταγραφής των Windows συλλέγονται από όλους τους χρήστες και Windows συστήματα ενος οργανισμού και μετατρέπονται σε μορφή συμβατή για τις τεχνικές process mining που θα πραγματοποιηθούν. Τα μοντέλα διαδικασιών (process models) παράγονται με εργαλεία όπως το ProM ή με την προγραμματιστική γλώσσα Python και τις αντίστοιχες βοηθητικές βιβλιοθήκες που αφορούν το process mining (PM4PY). Τα μοντέλα αυτά βοηθούν στην οπτικοποίηση και ανάλυση της συχνότητας, του χρόνου και της ακολουθίας συμβάντων που σχετίζονται με συγκεκριμένους χρήστες ή συστήματα. Λιγότερο συχνές διαδικασίες επισημαίνονται για περαιτέρω ανάλυση, βάσει της υπόθεσης ότι οι κακόβουλες ή μη εξουσιοδοτημένες ενέργειες εμφανίζονται σπανιότερα από ενέργειες ρουτίνας που εκτελούνται καθημερινά σε έναν οργανισμό. Οι χρονικές στιγμές (timestamps) θεωρούνται χρήσιμες μόνο όταν αποκαλύπτουν ενέργειες εκτός εργασιακού ωραρίου, οι οποίες αντιμετωπίζονται ως δυνητικά ύποπτες. Επαναλαμβανόμενες δραστηριότητες όπως η εκτέλεση μιας ενέργειας πολλαπλές φορές σε ένα συγκεκριμένο χρονικό διάστημα (L1 loops), βοηθούν στον εντοπισμό επιθέσεων brute-force ή γενικότερα αυτοματοποιημένων επιθέσεων. Απομονωμένες ακολουθίες συμβάντων χωρίς λογική σύνδεση με άλλα συμβάντα μπορεί επίσης να υποδεικνύει προσπάθειες μη εξουσιοδοτημένης πρόσβασης ή κακή χρήση του συστήματος. Τα αποτελέσματα δείχνουν ότι η μέθοδος μπορεί να αναδείξει αποτελεσματικά ανωμαλίες που συνδέονται με μια ύποπτη δραστηριότητα. Με την συλλογή των συμβάντων σε ένα κεντρικό σημείο και την αυτοματοποιημένη επεξεργασία τους, η προσέγγιση αυτή προσφέρει μια πρακτική πορεία προς την παρακολούθηση ύποπτων δραστηριοτήτων και απειλών μέσα σε ένα εταιρικό περιβάλλον σε πραγματικό χρόνο. Μετέπειτα έρευνες, πέρα από το scope της παρούσας εργασίας, μπορούν στη συνέχεια να ξεκινούν κατά περίπτωση.This paper proposes a process-aware methodology to detect suspicious activity in enterprise systems through the analysis of Windows event logs. The goal is to identify insider threats by modeling and analyzing user behavior using process mining techniques. To achieve this, Windows event logs are collected from all users within an organization and transformed into a process mining-compatible format. The process models are generated using ProM tools or custom Python scripts. These models help visualize and analyze the frequency, timing, and sequence of events tied to specific users or systems. Less frequent processes are flagged for further analysis, under the assumption that malicious or unauthorized actions are less common than routine activity. Timestamps are only considered useful when identifying actions that are for example outside of working hours, which are treated as potentially suspicious. Repetitive patterns, such as L1 loops, help detect brute-force or automated attacks. Isolated event sequences with no logical connection to other events may also indicate unauthorized access attempts or system misuse. The results demonstrate that this method can effectively highlight anomalies that may be linked to suspicious activity. With centralized log collection and automated processing, this approach offers a practical path toward real-time monitoring of enterprise environments. Follow-up investigations, beyond the scope of this work, can then be initiated as needed.