Создание программы-эмулятора от кибератаки

Добрый день. В общем задача следующая. Необходимо создать своего рода программу эмулятор, в котором происходит внедрение в журнал событий безопасности под видом Постороннего вмешательства. Как это должно работать и как это вижу я, может ошибаюсь.
1) Программа считывает Журнал событий безопасности и где-то их хранит у себя, поскольку врятли можно будет напрямую работать из приложения с Журналом событий безопасности.
2) Затем она записывает в Журнал событий безопасности (копию считанную в приложение) постороннюю запись или записи (которая как бы является вредоносной).
3) Затем нужно написать какой-то защитник, который все эти журналы проверяет и ищет в них подозрительные записи, которые потенциально являются вредоносными или фальшивыми. Предположу, что скорее всего это нужно делать с помощью машинного обучения.

Так вот вопрос в следующем, подскажите как наиболее эффективно все это можно реализовать и на каком языке проще всего это реализовать. Или вдруг кто-то может более ясно и логичнее. расписать шаги, чтобы добиться желаемого результата. Или кто-то сможет дать свои советы или вообще другой вариант концепции данной программы эмуляторы. И возможно ли вообще реализовать то, что я написал?

Добавлено через 4 часа 23 минуты
Python https://stackoverflow.com/ques... ith-python

0

Актуально

0

Если вы хотя бы назовёте ОС и что такое "Журнал событий безопасности", то будет проще ответить.

В линуксе сделано забавно, любое приложение может открыть псевдо-файл /dev/log (доступно только на запись) и слать туда данные. В зависимости от настроек, записи лога/журнала будут доступны в /var/log/syslog (а писать/читать в него может только рут).

Добавлено через 1 минуту
Короче, винда: https://en.wikipedia.org/wiki/Windows_Security_Log

Добавлено через 49 секунд

Writing false events to the log It is theoretically possible to write false events to the log. Microsoft notes, "To be able to write to the Security log, SeAuditPrivilege is required. By default, only Local System and Network Service accounts have such privilege".[14] Microsoft Windows Internals states, "Processes that call audit system services . . . must have the SeAuditPrivilege privilege to successfully generate an audit record".[15] The Winzapper FAQ notes that it is "possible to add your own 'made up' event records to the log" but this feature was not added because it was considered "too nasty," a reference to the fact that someone with Administrator access could use such functionality to shift the blame for unauthorized activity to an innocent party.[8] Server 2003 added some API calls so that applications could register with the security event logs and write security audit entries. Specifically, the AuthzInstallSecurityEventSource function installs the specified source as a security event source.[16]

...

Добавлено через 41 секунду

Сообщение от danhiroman и на каком языке проще всего это реализовать.

На Сишечке, где проще обращаться к winAPI.

0

Рыжий Лис, А по поводу обнаружения. Возможно ли с помощью машинного обучения без учителя как то обучить модель, чтобы она могла вычислять эти вредоносные внесения в систему?

0