More

    Kreiranje AI Honeypot za sofisticiranu interakciju s napadačima

    U sajber sigurnosti, honeypot je sistem mamaca posebno dizajniran za privlačenje i analizu sajber napada, koji funkcioniše kao zamka za potencijalne uljeze. 

    Imitirajući legitimne mete, honeypots odvraćaju hakere od stvarne imovine dok prikupljaju obavještajne podatke o njihovim metodama i ponašanju.

    Analitičari kibernetičke sigurnosti Hakan T. Otal i M. Abdullah Canbaz sa Odsjeka za informatičku nauku i tehnologiju Fakulteta za pripravnost u vanrednim situacijama, domovinsku sigurnost i Univerzitet za kibernetičku sigurnost u Albanyju nedavno su razvili AI honeypot za interakciju sa sofisticiranim akterima prijetnji.

    AI Honeypot & Attackers

    Honeypots se kreću od honeypota niske interakcije , koji simuliraju osnovne mrežne usluge, do honeypota visoke interakcije koji oponašaju cijelu mrežnu infrastrukturu. 

    U nastavku smo spomenuli sve glavne vrste njih: –

    • Server honeypots (Otkrivanje mrežnih usluga)
    • Klijentski honeypots (Dizajnirani da budu napadnuti od strane zlonamjernih servera)
    • Malware honeypots (hvatanje i analiziranje zlonamjernog softvera)
    • Honeypots baze podataka (zaštita skladišta osjetljivih podataka)

    Iako su efikasni, tradicionalni honeypots suočavaju se s ograničenjima kao što su ranjivost na otiske prstiju honeypot i ograničene mogućnosti angažmana.

    Da bi se stvorili sofisticiraniji honeypots, LLM-ovi poput “Llama3”, “Phi 3”, “CodeLlama” i “Codestral” su aktivno integrirani kroz nedavna unapređenja. 

    Međutim, da bi poboljšali performanse uz istovremeno smanjenje računarskog opterećenja, svi ovi medovini zasnovani na LLM-u prvenstveno koriste tehnike kao što su „Nadzirano fino podešavanje (SFT)“, „prompt inženjering“, „Low-Rank Adaptation (LoRA)“ i „Quantized Low -Rank adapteri (QLoRA).” 

    Prikupljanje podataka i model za obuku (izvor – Arxiv)

    Takođe koriste NEFTune šum za regularizaciju i Flash Attention 2 za efikasnu obradu dugih sekvenci. 

    Obično se postavljaju na platforme u oblaku kao što su AWS, Google Cloud i Azure, a osim toga, svi ovi honeypotovi su kombinovani sa prilagođenim SSH serverima koristeći biblioteke kao što je Paramiko, navodi se u istraživanju .

    LLM obrađuje komande napadača na IP (Sloj 3) nivou što pomaže u generisanju kontekstualno odgovarajućih odgovora koji oponašaju ponašanje stvarnog sistema. 

    Evaluacijske metrike uključuju ‘kosinus sličnost’, ‘Jaro-Winklerovu sličnost’ i ‘Levenshtein distance’ za procjenu rezultata modela u odnosu na očekivane odgovore.

    Interaktivni LLM-Honeypot Server Framework (Izvor – Arxiv)

    Ovaj pristup značajno poboljšava sposobnost honeypot-a što mu omogućava da uvjerljivo angažuje napadače, poboljšava otkrivanje prijetnji, a također omogućava prikupljanje obavještajnih podataka. 

    Ali, ovdje ostaju izazovi u balansiranju računalne efikasnosti, izbjegavanju otkrivanja od strane sofisticiranih hakera i održavanju realnog ponašanja. 

    Za fino podešavanje ovih modela koriste se okviri poput LlamaFactory, koji mogu biti javno dostupni putem platformi kao što je Hugging Face. 

    Integracija LLM-a u honeypot tehnologiju predstavlja značajan napredak u sajber sigurnosti koja nudi dinamičniju i prilagodljiviju odbranu od evoluirajućih sajber prijetnji.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories