Bài báo:
EvoSIEM: Detecting and Generating SIEM Rule Evasion Behaviors in Network Systems
Nhóm tác giả:
• Trần Thị Thúy Vy – ATTT 2022.2 – Tác giả chính
• Lê Thị Bích Tuyền – ATTT 2022.2 – Tác giả chính
Giảng viên hướng dẫn:
• TS. Phan Thế Duy
Tóm tắt:
In recent years, Security Information and Event Management (SIEM) systems have been widely deployed to detect malicious activities in enterprise networks. Platforms such as Splunk, enhanced with Sigma rules, enable the identification of suspicious behaviors through log pattern analysis. Nonetheless, as detection capabilities advance, adversaries increasingly adopt sophisticated evasion techniques, including command encoding, syntax manipulation, and noise injection, which often succeed in bypassing detection without raising alerts.
These evasions highlight that current defenses are not only vulnerable but also difficult to evaluate systematically, as few automated systems exist to both test rule robustness and generate datasets for improving future detection models. In this paper, we propose EvoSIEM, an automated framework that generates, evaluates, and logs evasive command samples against SIEM rules, enabling the creation of high-quality datasets for downstream Large Language Model (LLM) fine-tuning in detection-related tasks.
EvoSIEM operates in two phases: the first transforms Sigma rules into executable queries, derives attack commands, and generates evasive variants that are tested in a SIEM environment; the second leverages the resulting detection outcomes to fine-tune LLMs that produce enhanced detection rules and novel adversarial commands. Experimental results demonstrate that EvoSIEM generates 85% syntactically valid Sigma rules and 82% functional evasive commands, effectively exposing rule weaknesses and producing diverse, execution-ready datasets for research and defense applications. The approach lays the groundwork for more resilient, self-improving SIEM systems capable of adapting to evolving adversarial tactics.
"Chúng em xin chân thành cảm ơn TS. Phan Thế Duy vì sự tận tâm hướng dẫn và đồng hành trong suốt quá trình nghiên cứu. Những góp ý chuyên môn của Thầy là nền tảng quan trọng giúp nhóm hoàn thiện công trình. Nhóm cũng xin cảm ơn các thầy cô Khoa Mạng máy tính và Truyền thông cùng Phòng thí nghiệm An toàn thông tin đã tạo điều kiện thuận lợi về môi trường và cơ sở vật chất trong quá trình thực hiện"
RIVF (Research, Innovation and Vision for the Future) là hội nghị khoa học quốc tế uy tín, được tổ chức thường niên từ năm 2003, được IEEE bảo trợ kỹ thuật; các bài báo được xuất bản trên IEEE Xplore và lập chỉ mục Scopus.
Thông tin chi tiết: https://www.facebook.com/share/p/1XPYoKo6Yi/
