ChatGPT识别恶意域名的回答,我差点破防!

描述

 

 

华为

专家介绍

华为

 

在前面的文章中,我们从“攻防”视角探讨了ChatGPT对网络安全攻击领域的影响。今天,我们来看看ChatGPT有没有不擅长的事情。

     

 

ChatGPT可以通过基于自然语言处理技术的模型、情景模型和语言模型来识别恶意代码,那么ChatGPT能否识别恶意域名呢?

 什么是恶意域名  

恶意域名是指黑客利用域名注册服务商来注册的域名,这些域名可能用于攻击用户的网络安全或者可能用于传播恶意程序。

恶意域名的识别是一项非常重要的网络安全技术,用来检测和防止可能存在的攻击行为。当用户访问一个域名时,可以使用域名黑名单服务来检查这个域名是否是恶意域名。这些域名黑名单服务会定期更新,可以检测出最新注册的恶意域名。

 让ChatGPT识别恶意域名    识别finalshell.nl域名

首先,我们选择finalshell.nl域名,该域名被用于Sysrv-hello僵尸网络,Sysry-hello是一个Windows和Linux双平台挖矿木马。

下图是华为情报平台给出的域名识别结果,将其判定为恶意域名。

华为

接下来,我们让ChatGPT识别。

华为

继续追问理由,ChatGPT给出的理由是:根据VirusTotal的报告,该域名未被任何安全引擎标记为恶意。

然后,我们查询了VirusTotal的域名识别结果:

华为

VirusTotal给出的结果是部分恶意,但是ChatGPT直接判定为非恶意。是不是过于武断了?

 识别DGA域名

接下来我们看看ChatGPT识别DGA域名。

DGA域名是一种由僵尸网络恶意软件生成的随机域名,用于控制僵尸网络的恶意活动。它们的特点是每次生成的域名都不一样,这样恶意软件就可以持续运行,而不会被防火墙或其他安全解决方案检测到。

下图是华为情报平台给出的域名识别结果,将其判定为恶意DGA域名。

华为

将该域名交给ChatGPT判定:

华为

它的回答让我很吃惊。看来ChatGPT给出的不都是“非黑即白”的回答,也有“无法判断”的未知类型的回答。这个回答就涉及到AI领域的难题——开集识别。

 AI领域的难题——开集识别

开集识别简单定义是,一个在训练集上训练好的模型,当利用一个测试集进行测试时,如果输入已知类别数据,输出具体的类别,如果输入的是未知类别的数据,则进行合适的处理(识别为Unknown)。

在网络安全领域,发现未知威胁并及时阻断是当前安全用户面临的重要挑战。传统基于签名的检测很难发现未知威胁,而随着人工智能技术的迅速发展,越来越多的安全厂商开始将AI应用于威胁检测中。其中,开集识别是AI领域的一个难题,安全攻击识别问题大多是基于有监督的传统AI分类模型,以下图恶意文件检测为例,这种模型只能给出“非黑即白”的回答,没有“我不知道”这个结果。

华为

而ChatGPT在识别DGA恶意域名的时候,却给出了“无法判断”这个表明是未知类型的回答,这就超出了传统AI分类模型的认知。

 结论

综上,ChatGPT识别恶意域名的能力为★☆☆☆☆,但是其开集识别能力在未知威胁检测中将会发挥很大的潜力。

 ChatGPT能力总结和未来展望  

最后,结合前面两篇文章的分析,我们回顾总结下ChatGPT的能力:

华为

综合以上能力,ChatGPT在网络安全产品领域可以发挥作用的方面有:

1  恶意文件分析

当前业界还没有用可解释的AI分类模型来识别恶意文件,因此如何利用大型模型结合“二进制汇编语言”上下文,获得更具可解释性和准确性的恶意文件分类结果,以及如何将开集识别技术用于未知文件的识别,是当前AI技术面临的两大挑战。

2  恶意文件逆向分析

前恶意文件的逆向分析严重依赖人工,需要安全从业人员长期累积知识经验,而ChatGPT擅长于结合代码上下文的分析任务,使用大模型进行逆向分析是一个很理想的选择。

3  恶意域名识别

由于域名类数据非常丰富,容易生成精准率更高的大模型。例如,在DGA域名识别领域,单词拼接组成的DGA域名很难识别,但由于大模型拥有更多类型的数据,因此采用大模型之后,可能可以解决这一难题。

4  智能运营

智能运营能够解决SOC类产品面临的巨量事件和难以运营两个难题。它能够自动研判安全告警,并为安全运营提出处置建议,自动化生成运营报告,这也是大模型值得探索的一个方向。

 


打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分