专家介绍
在前面的文章中,我们从“攻防”视角探讨了ChatGPT对网络安全攻击领域的影响。今天,我们来看看ChatGPT有没有不擅长的事情。
ChatGPT可以通过基于自然语言处理技术的模型、情景模型和语言模型来识别恶意代码,那么ChatGPT能否识别恶意域名呢?
什么是恶意域名恶意域名是指黑客利用域名注册服务商来注册的域名,这些域名可能用于攻击用户的网络安全或者可能用于传播恶意程序。
恶意域名的识别是一项非常重要的网络安全技术,用来检测和防止可能存在的攻击行为。当用户访问一个域名时,可以使用域名黑名单服务来检查这个域名是否是恶意域名。这些域名黑名单服务会定期更新,可以检测出最新注册的恶意域名。
让ChatGPT识别恶意域名 识别finalshell.nl域名首先,我们选择finalshell.nl域名,该域名被用于Sysrv-hello僵尸网络,Sysry-hello是一个Windows和Linux双平台挖矿木马。
下图是华为情报平台给出的域名识别结果,将其判定为恶意域名。
接下来,我们让ChatGPT识别。
继续追问理由,ChatGPT给出的理由是:根据VirusTotal的报告,该域名未被任何安全引擎标记为恶意。
然后,我们查询了VirusTotal的域名识别结果:
VirusTotal给出的结果是部分恶意,但是ChatGPT直接判定为非恶意。是不是过于武断了?
识别DGA域名接下来我们看看ChatGPT识别DGA域名。
DGA域名是一种由僵尸网络恶意软件生成的随机域名,用于控制僵尸网络的恶意活动。它们的特点是每次生成的域名都不一样,这样恶意软件就可以持续运行,而不会被防火墙或其他安全解决方案检测到。
下图是华为情报平台给出的域名识别结果,将其判定为恶意DGA域名。
将该域名交给ChatGPT判定:
它的回答让我很吃惊。看来ChatGPT给出的不都是“非黑即白”的回答,也有“无法判断”的未知类型的回答。这个回答就涉及到AI领域的难题——开集识别。
AI领域的难题——开集识别开集识别简单定义是,一个在训练集上训练好的模型,当利用一个测试集进行测试时,如果输入已知类别数据,输出具体的类别,如果输入的是未知类别的数据,则进行合适的处理(识别为Unknown)。
在网络安全领域,发现未知威胁并及时阻断是当前安全用户面临的重要挑战。传统基于签名的检测很难发现未知威胁,而随着人工智能技术的迅速发展,越来越多的安全厂商开始将AI应用于威胁检测中。其中,开集识别是AI领域的一个难题,安全攻击识别问题大多是基于有监督的传统AI分类模型,以下图恶意文件检测为例,这种模型只能给出“非黑即白”的回答,没有“我不知道”这个结果。
而ChatGPT在识别DGA恶意域名的时候,却给出了“无法判断”这个表明是未知类型的回答,这就超出了传统AI分类模型的认知。
结论综上,ChatGPT识别恶意域名的能力为★☆☆☆☆,但是其开集识别能力在未知威胁检测中将会发挥很大的潜力。
ChatGPT能力总结和未来展望最后,结合前面两篇文章的分析,我们回顾总结下ChatGPT的能力:
综合以上能力,ChatGPT在网络安全产品领域可以发挥作用的方面有:
1 恶意文件分析当前业界还没有用可解释的AI分类模型来识别恶意文件,因此如何利用大型模型结合“二进制汇编语言”上下文,获得更具可解释性和准确性的恶意文件分类结果,以及如何将开集识别技术用于未知文件的识别,是当前AI技术面临的两大挑战。
2 恶意文件逆向分析当前恶意文件的逆向分析严重依赖人工,需要安全从业人员长期累积知识经验,而ChatGPT擅长于结合代码上下文的分析任务,使用大模型进行逆向分析是一个很理想的选择。
3 恶意域名识别由于域名类数据非常丰富,容易生成精准率更高的大模型。例如,在DGA域名识别领域,单词拼接组成的DGA域名很难识别,但由于大模型拥有更多类型的数据,因此采用大模型之后,可能可以解决这一难题。
4 智能运营智能运营能够解决SOC类产品面临的巨量事件和难以运营两个难题。它能够自动研判安全告警,并为安全运营提出处置建议,自动化生成运营报告,这也是大模型值得探索的一个方向。
全部0条评论
快来发表一下你的评论吧 !