Site icon Kiber.ba

Kreiranje AI Honeypot za sofisticiranu interakciju s napadačima

Kreiranje AI Honeypot za sofisticiranu interakciju s napadačima-Kiber.ba

Kreiranje AI Honeypot za sofisticiranu interakciju s napadačima-Kiber.ba

U sajber sigurnosti, honeypot je sistem mamaca posebno dizajniran za privlačenje i analizu sajber napada, koji funkcioniše kao zamka za potencijalne uljeze. 

Imitirajući legitimne mete, honeypots odvraćaju hakere od stvarne imovine dok prikupljaju obavještajne podatke o njihovim metodama i ponašanju.

Analitičari kibernetičke sigurnosti Hakan T. Otal i M. Abdullah Canbaz sa Odsjeka za informatičku nauku i tehnologiju Fakulteta za pripravnost u vanrednim situacijama, domovinsku sigurnost i Univerzitet za kibernetičku sigurnost u Albanyju nedavno su razvili AI honeypot za interakciju sa sofisticiranim akterima prijetnji.

AI Honeypot & Attackers

Honeypots se kreću od honeypota niske interakcije , koji simuliraju osnovne mrežne usluge, do honeypota visoke interakcije koji oponašaju cijelu mrežnu infrastrukturu. 

U nastavku smo spomenuli sve glavne vrste njih: –

Iako su efikasni, tradicionalni honeypots suočavaju se s ograničenjima kao što su ranjivost na otiske prstiju honeypot i ograničene mogućnosti angažmana.

Da bi se stvorili sofisticiraniji honeypots, LLM-ovi poput “Llama3”, “Phi 3”, “CodeLlama” i “Codestral” su aktivno integrirani kroz nedavna unapređenja. 

Međutim, da bi poboljšali performanse uz istovremeno smanjenje računarskog opterećenja, svi ovi medovini zasnovani na LLM-u prvenstveno koriste tehnike kao što su „Nadzirano fino podešavanje (SFT)“, „prompt inženjering“, „Low-Rank Adaptation (LoRA)“ i „Quantized Low -Rank adapteri (QLoRA).” 

Prikupljanje podataka i model za obuku (izvor – Arxiv)

Takođe koriste NEFTune šum za regularizaciju i Flash Attention 2 za efikasnu obradu dugih sekvenci. 

Obično se postavljaju na platforme u oblaku kao što su AWS, Google Cloud i Azure, a osim toga, svi ovi honeypotovi su kombinovani sa prilagođenim SSH serverima koristeći biblioteke kao što je Paramiko, navodi se u istraživanju .

LLM obrađuje komande napadača na IP (Sloj 3) nivou što pomaže u generisanju kontekstualno odgovarajućih odgovora koji oponašaju ponašanje stvarnog sistema. 

Evaluacijske metrike uključuju ‘kosinus sličnost’, ‘Jaro-Winklerovu sličnost’ i ‘Levenshtein distance’ za procjenu rezultata modela u odnosu na očekivane odgovore.

Interaktivni LLM-Honeypot Server Framework (Izvor – Arxiv)

Ovaj pristup značajno poboljšava sposobnost honeypot-a što mu omogućava da uvjerljivo angažuje napadače, poboljšava otkrivanje prijetnji, a također omogućava prikupljanje obavještajnih podataka. 

Ali, ovdje ostaju izazovi u balansiranju računalne efikasnosti, izbjegavanju otkrivanja od strane sofisticiranih hakera i održavanju realnog ponašanja. 

Za fino podešavanje ovih modela koriste se okviri poput LlamaFactory, koji mogu biti javno dostupni putem platformi kao što je Hugging Face. 

Integracija LLM-a u honeypot tehnologiju predstavlja značajan napredak u sajber sigurnosti koja nudi dinamičniju i prilagodljiviju odbranu od evoluirajućih sajber prijetnji.

Izvor: CyberSecurityNews

Exit mobile version