U sajber sigurnosti, honeypot je sistem mamaca posebno dizajniran za privlačenje i analizu sajber napada, koji funkcioniše kao zamka za potencijalne uljeze.
Imitirajući legitimne mete, honeypots odvraćaju hakere od stvarne imovine dok prikupljaju obavještajne podatke o njihovim metodama i ponašanju.
Analitičari kibernetičke sigurnosti Hakan T. Otal i M. Abdullah Canbaz sa Odsjeka za informatičku nauku i tehnologiju Fakulteta za pripravnost u vanrednim situacijama, domovinsku sigurnost i Univerzitet za kibernetičku sigurnost u Albanyju nedavno su razvili AI honeypot za interakciju sa sofisticiranim akterima prijetnji.
AI Honeypot & Attackers
Honeypots se kreću od honeypota niske interakcije , koji simuliraju osnovne mrežne usluge, do honeypota visoke interakcije koji oponašaju cijelu mrežnu infrastrukturu.
U nastavku smo spomenuli sve glavne vrste njih: –
- Server honeypots (Otkrivanje mrežnih usluga)
- Klijentski honeypots (Dizajnirani da budu napadnuti od strane zlonamjernih servera)
- Malware honeypots (hvatanje i analiziranje zlonamjernog softvera)
- Honeypots baze podataka (zaštita skladišta osjetljivih podataka)
Iako su efikasni, tradicionalni honeypots suočavaju se s ograničenjima kao što su ranjivost na otiske prstiju honeypot i ograničene mogućnosti angažmana.
Da bi se stvorili sofisticiraniji honeypots, LLM-ovi poput “Llama3”, “Phi 3”, “CodeLlama” i “Codestral” su aktivno integrirani kroz nedavna unapređenja.
Međutim, da bi poboljšali performanse uz istovremeno smanjenje računarskog opterećenja, svi ovi medovini zasnovani na LLM-u prvenstveno koriste tehnike kao što su „Nadzirano fino podešavanje (SFT)“, „prompt inženjering“, „Low-Rank Adaptation (LoRA)“ i „Quantized Low -Rank adapteri (QLoRA).”
Takođe koriste NEFTune šum za regularizaciju i Flash Attention 2 za efikasnu obradu dugih sekvenci.
Obično se postavljaju na platforme u oblaku kao što su AWS, Google Cloud i Azure, a osim toga, svi ovi honeypotovi su kombinovani sa prilagođenim SSH serverima koristeći biblioteke kao što je Paramiko, navodi se u istraživanju .
LLM obrađuje komande napadača na IP (Sloj 3) nivou što pomaže u generisanju kontekstualno odgovarajućih odgovora koji oponašaju ponašanje stvarnog sistema.
Evaluacijske metrike uključuju ‘kosinus sličnost’, ‘Jaro-Winklerovu sličnost’ i ‘Levenshtein distance’ za procjenu rezultata modela u odnosu na očekivane odgovore.
Ovaj pristup značajno poboljšava sposobnost honeypot-a što mu omogućava da uvjerljivo angažuje napadače, poboljšava otkrivanje prijetnji, a također omogućava prikupljanje obavještajnih podataka.
Ali, ovdje ostaju izazovi u balansiranju računalne efikasnosti, izbjegavanju otkrivanja od strane sofisticiranih hakera i održavanju realnog ponašanja.
Za fino podešavanje ovih modela koriste se okviri poput LlamaFactory, koji mogu biti javno dostupni putem platformi kao što je Hugging Face.
Integracija LLM-a u honeypot tehnologiju predstavlja značajan napredak u sajber sigurnosti koja nudi dinamičniju i prilagodljiviju odbranu od evoluirajućih sajber prijetnji.
Izvor: CyberSecurityNews