Chúc mừng nhóm sinh viên Trần Thị Thúy Vy, Lê Thị Bích Tuyền ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông cùng nhóm nghiên cứu UIT InSecLab đã có bài báo nghiên cứu về Phát hiện và Tạo sinh hành vi né tránh quy tắc SIEM được chấp nhận đăng tại Hội nghị Khoa học Quốc tế “2025 RIVF International Conference on Computing and Communication Technologies (RIVF 2025)”.
Thông tin về bài báo khoa học:
- Tên bài báo: “EvoSIEM: Detecting and Generating SIEM Rule Evasion Behaviors in Network Systems”
- Sinh viên thực hiện:
+ Trần Thị Thúy Vy – An toàn thông tin (Chính quy 2022)
+ Lê Thị Bích Tuyền – An toàn thông tin (Chính quy 2022)
- Chủ đề nghiên cứu: Tự động hóa giám sát an toàn thông tin (SIEM) ứng dụng Mô hình ngôn ngữ lớn (LLMs)
- Giảng viên hướng dẫn: TS. Phan Thế Duy
Bài báo khoa học là kết quả đề tài nghiên cứu được các bạn sinh viên thực hiện với nhóm nghiên cứu InSecLab trong thời gian tham gia thực hiện nghiên cứu khoa học về Kỹ thuật né tránh phát hiện (Evasion techniques) trên hệ thống SIEM kết hợp Mô hình ngôn ngữ lớn (LLMs) tại Phòng thí nghiệm An toàn thông tin (InSecLab).
Abstract:
In recent years, Security Information and Event Management (SIEM) systems have been widely deployed to detect malicious activities in enterprise networks. Platforms such as Splunk, enhanced with Sigma rules, enable the identification of suspicious behaviors through log pattern analysis. Nonetheless, as detection capabilities advance, adversaries increasingly adopt sophisticated evasion techniques, including command encoding, syntax manipulation, and noise injection, which often succeed in bypassing detection without raising alerts. These evasions highlight that current defenses are not only vulnerable but also difficult to evaluate systematically, as few automated systems exist to both test rule robustness and generate datasets for improving future detection models. In this paper, we propose EvoSIEM, an automated framework that generates, evaluates, and logs evasive command samples against SIEM rules, enabling the creation of high-quality datasets for downstream Large Language Model (LLM) fine-tuning in detection-related tasks. EvoSIEM operates in two phases: the first transforms Sigma rules into executable queries, derives attack commands, and generates evasive variants that are tested in a SIEM environment; the second leverages the resulting detection outcomes to fine-tune LLMs that produce enhanced detection rules and novel adversarial commands. Our experiments demonstrate that EvoSIEM generates 85% syntactically valid Sigma rules and 82% functional evasive commands, effectively exposing rule weaknesses and producing diverse, execution-ready datasets for research and defense applications. Our approach lays the groundwork for more resilient, self-improving SIEM systems capable of adapting to evolving adversarial tactics.
Thông tin hội nghị:
Bắt đầu từ năm 2003, hội nghị Nghiên cứu, Đổi mới và Tầm nhìn cho Tương lai (RIVF) đã trở thành một sự kiện khoa học lớn dành cho các nhà nghiên cứu, chuyên gia và sinh viên trong lĩnh vực Công nghệ Máy tính và Truyền thông, không chỉ ở Việt Nam mà còn trên toàn thế giới. Trong hai thập kỷ qua, RIVF đã được tổ chức 18 lần trên khắp các thành phố lớn ở Việt Nam, đánh dấu sự hiện diện mạnh mẽ trong nước và quốc tế. Cụ thể, hội nghị đã được tổ chức tại Hà Nội (2003, 2004, 2007, 2010, 2013, 2016, 2021, 2023), Đà Nẵng (2009, 2019, 2024), TP.HCM: (2006, 2008, 2012, 2020, 2022) và Cần Thơ: (2005, 2015).
Chuỗi hội thảo RIVF đã khẳng định mình là diễn đàn khoa học hàng đầu dành cho các học giả, chuyên gia và sinh viên về Công nghệ Máy tính và Truyền thông – cả ở Việt Nam và quốc tế. Năm nay, RIVF lần thứ 19 hay còn gọi là RIVF 2025 được tổ chức sôi động bởi Đại học Văn Lang tại thành phố Hồ Chí Minh.
Trang chủ hội nghị: https://rivf2025.org/
Thông tin chi tiết tại: https://www.facebook.com/share/p/1ZjmT6JPxJ/
Đông Xanh - Cộng tác viên truyền thông Trường Đại học Công nghệ Thông tin
