Aggregation of Cybersecurity Alerts Through Graphs and Visualizations
Vertainen, Vesa (2026)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202604166706
https://urn.fi/URN:NBN:fi:amk-202604166706
Tiivistelmä
Kehittyvä informaatio- ja viestintäteknologia sekä tehokkuuden kasvu luovat uudenlaisia mahdollisuuksia sekä hyvässä että pahassa. Viime vuosina erityisesti tekoälyn käyttö on vaikuttanut uhkatoimijoiden käyttämiin keinoihin. Ja vaikka samalla myös puolustavien tahojen osalta on löydetty uusia keinoja, jatkuva kilpavarustelu vaatii ajantasaisuutta muun muassa kyberturvallisuuden tilannetietoisuuden, haavoittuvuuksien analysoinnin, uhkien havainnoinnin ja tapahtumiin reagoinnin osalta.
Tietoturvavalvomoissa erilaisten havainnointijärjestelmien tuottamien hälytysten – ja erityisesti väärien hälytysten – suuri määrä on jatkuva haaste. Hälytysten takia lähes ylivoimaisen suureksi muodostuva työmäärä voi aiheuttaa niin kutsuttua hälytysväsymystä. Tarkempaa tutkintaa vaativien hälytysten määrän vähentämiseksi on kehitetty erilaisia tapoja yhdistää hälytyksiä ja havaita niiden välisiä korrelaatioita. Graafien käyttö hälytysten yhdistämiseen ja korrelointiin on ajankohtainen tutkimusalue. Graafien avulla kyberturvallisuuden tilannekuvaa voidaan lisäksi esittää visuaalisesti.
Tutkimuksessa pyrittiin selvittämään, kuinka graafit ja visualisoinnit voivat tehostaa kyberturvallisuuden tilannekuvan muodostamista ja erityisesti hälytysten vähentämistä. Myös erilaisia graafityyppejä ja graafien erilaisia käyttötapauksia tutkittiin. Tutkimus toteutettiin kuvailevana kirjallisuuskatsauksena, jonka aineistoksi valikoitiin laajasti konferenssijulkaisuja ja vertaisarvioituja artikkeleita pääasiassa 2020-luvulta. Aineisto, joka koostui tutkimuksista, joissa graafeja oli käytetty kyberturvallisuuden kontekstissa, luokiteltiin varta vasten luotua taksonomiaa käyttäen kyberturvallisuuden käyttötapausten mukaan.
Tutkimuksen perusteella graafeja ja visualisointia hyödyntämällä saavutettiin nopeampaa hälytysten prosessointia, hälytysten vakavuustasoon perustuvaa luokittelua ja väärien positiivisten havaintojen vähentämistä. Lisäksi käyttämällä graafeja kyberuhkatietoraporttien käsittelyyn sekä mahdollisten hyökkäysten ja haavoittuvuuksien analysointiin, voitiin tehokkaammin saavuttaa parempi tilannetietoisuus. Tutkintaa vaativien hälytysten määrää pystyttiin vähentämään graafien avulla, usein lisäksi koneoppimista hyödyntäen. Joissakin tapauksissa myös hyökkäysten tulevia vaiheita kyettiin ennakoimaan. Kirjallisuuskatsauksen perusteella graafit ja visualisointi tehostavat monin tavoin kyberturvallisuuden tilannetietoisuutta. The constantly developing information and communication technology and increased processing power create new opportunities for both benign and malicious purposes. In recent years the use of artificial intelligence has had a major role in stepping up the actions of threat actors. At the same time, also the defending side has developed new techniques, but this continuous race requires staying up to date considering for example the cybersecurity situational awareness, vulnerability analysis, threat detection and incident response.
The large number of alerts, and especially false positives that the security operations centers get from various threat detection software and devices, is a continuous challenge. This overwhelming workload is the cause of so-called alert fatigue. To reduce the number of alerts requiring investigation, many kinds of ways to aggregate alerts and to find correlation between their relationships have been developed. One current area of research is the aggregation and correlation of alerts using graphs, which also have the advantage of visually illustrating cybersecurity situational awareness.
The goal of the study was to conclude how graphs and visualizations can enhance cybersecurity situational awareness, and especially the reduction of alerts. The different use cases and possibilities for graphs, and different forms of graphs were also researched. The research was conducted as a narrative literature review, selecting a wide variety of conference proceedings and peer-reviewed articles mainly from the 2020s. The data included studies concerning cybersecurity and the use of graphs, and it was categorized into cybersecurity use cases using a specially created taxonomy.
Based on the conducted research, graphs and visualizations could be used to achieve faster processing of alerts, severity-based prioritization of alerts and reduction of false positives. In addition, using graphs the situational awareness could be improved by more efficient processing of cyber threat intelligence reports, attack investigation and vulnerability analysis, for example. Using graphs, and often also in combination with machine learning, the number of alerts requiring investigation was reduced. In some cases, also the followings steps of attacks could be predicted. Based on the narrative literature review, graphs and visualizations strongly improved the cybersecurity situational awareness in various forms.
Tietoturvavalvomoissa erilaisten havainnointijärjestelmien tuottamien hälytysten – ja erityisesti väärien hälytysten – suuri määrä on jatkuva haaste. Hälytysten takia lähes ylivoimaisen suureksi muodostuva työmäärä voi aiheuttaa niin kutsuttua hälytysväsymystä. Tarkempaa tutkintaa vaativien hälytysten määrän vähentämiseksi on kehitetty erilaisia tapoja yhdistää hälytyksiä ja havaita niiden välisiä korrelaatioita. Graafien käyttö hälytysten yhdistämiseen ja korrelointiin on ajankohtainen tutkimusalue. Graafien avulla kyberturvallisuuden tilannekuvaa voidaan lisäksi esittää visuaalisesti.
Tutkimuksessa pyrittiin selvittämään, kuinka graafit ja visualisoinnit voivat tehostaa kyberturvallisuuden tilannekuvan muodostamista ja erityisesti hälytysten vähentämistä. Myös erilaisia graafityyppejä ja graafien erilaisia käyttötapauksia tutkittiin. Tutkimus toteutettiin kuvailevana kirjallisuuskatsauksena, jonka aineistoksi valikoitiin laajasti konferenssijulkaisuja ja vertaisarvioituja artikkeleita pääasiassa 2020-luvulta. Aineisto, joka koostui tutkimuksista, joissa graafeja oli käytetty kyberturvallisuuden kontekstissa, luokiteltiin varta vasten luotua taksonomiaa käyttäen kyberturvallisuuden käyttötapausten mukaan.
Tutkimuksen perusteella graafeja ja visualisointia hyödyntämällä saavutettiin nopeampaa hälytysten prosessointia, hälytysten vakavuustasoon perustuvaa luokittelua ja väärien positiivisten havaintojen vähentämistä. Lisäksi käyttämällä graafeja kyberuhkatietoraporttien käsittelyyn sekä mahdollisten hyökkäysten ja haavoittuvuuksien analysointiin, voitiin tehokkaammin saavuttaa parempi tilannetietoisuus. Tutkintaa vaativien hälytysten määrää pystyttiin vähentämään graafien avulla, usein lisäksi koneoppimista hyödyntäen. Joissakin tapauksissa myös hyökkäysten tulevia vaiheita kyettiin ennakoimaan. Kirjallisuuskatsauksen perusteella graafit ja visualisointi tehostavat monin tavoin kyberturvallisuuden tilannetietoisuutta.
The large number of alerts, and especially false positives that the security operations centers get from various threat detection software and devices, is a continuous challenge. This overwhelming workload is the cause of so-called alert fatigue. To reduce the number of alerts requiring investigation, many kinds of ways to aggregate alerts and to find correlation between their relationships have been developed. One current area of research is the aggregation and correlation of alerts using graphs, which also have the advantage of visually illustrating cybersecurity situational awareness.
The goal of the study was to conclude how graphs and visualizations can enhance cybersecurity situational awareness, and especially the reduction of alerts. The different use cases and possibilities for graphs, and different forms of graphs were also researched. The research was conducted as a narrative literature review, selecting a wide variety of conference proceedings and peer-reviewed articles mainly from the 2020s. The data included studies concerning cybersecurity and the use of graphs, and it was categorized into cybersecurity use cases using a specially created taxonomy.
Based on the conducted research, graphs and visualizations could be used to achieve faster processing of alerts, severity-based prioritization of alerts and reduction of false positives. In addition, using graphs the situational awareness could be improved by more efficient processing of cyber threat intelligence reports, attack investigation and vulnerability analysis, for example. Using graphs, and often also in combination with machine learning, the number of alerts requiring investigation was reduced. In some cases, also the followings steps of attacks could be predicted. Based on the narrative literature review, graphs and visualizations strongly improved the cybersecurity situational awareness in various forms.