Bal tuzakları, sahte sistemler, çeşitli biçimlerde ortaya çıkan kötü amaçlı faaliyetleri tespit edip analiz ederek saldırgan davranışları hakkında bilgi sağlamak ve güvenliği artırmak için bulut platformlarına dağıtılabilir.
Çalışma, Linux sunucu davranışını taklit etmek için Büyük Dil Modeli (LLM) kullanan etkileşimli bir bal tuzağı sistemi oluşturmayı önermektedir.
LLM’yi saldırgan tarafından oluşturulan komutlardan oluşan bir veri kümesiyle ince ayarlayarak amaç, kötü amaçlı faaliyetleri tespit etme ve analiz etmede bal tuzağının etkinliğini artırmaktır.
Yazarlar, gerçek dünya saldırgan verileri, genel komutlar ve komut açıklamaları da dahil olmak üzere üç Linux komut veri kümesini birleştirdi ve komut yürütmeyi simüle ederek ve metni ön işleyerek bu verileri işledi ve böylece dil modellerini bir bal tuzağını taklit edecek şekilde eğitmek için sağlam bir veri kümesi oluşturdu.
Hızlı mühendislik, araştırma hedefleriyle uyumlu hale getirmek ve modelin veri kümesiyle etkileşimini artırmak için hızlı mühendislik istemlerini iyileştirmeyi içeriyordu ve bu da daha etkili bir bal tuzağı sistemine yol açtı.
Llama3 8B modeli, dilsel yeterlilik ve hesaplama verimliliği arasındaki denge nedeniyle honeypot LLM için seçildi.
Daha büyük modeller çok yavaştı, kod merkezli modeller ise honeypot simülasyonu için daha az etkiliydi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
LlamaFactory kullanarak önceden eğitilmiş bir dil modelini ince ayarladılar, eğitim verimliliğini ve performansını artırmak için LoRA, QLoRA, NEFTune gürültüsü ve Flash Attention 2’yi kullandılar ve sonuçta bir honeypot sunucusu benzeri bir model ortaya çıktı.
Doğal dilde saldırganlarla etkileşime girmek, gerçekçi simülasyon ve saldırgan davranış analizi sağlamak için SSH sunucusu ve ince ayarlı bir LLM kullanan bir LLM-Honeypot çerçevesi önermektedir.
Python’un Paramiko kütüphanesi kullanılarak oluşturulan özel SSH sunucusu, kullanıcı komutlarına gerçekçi yanıtlar üretmek için ince ayarlı bir dil modeli kullanıyor.
SSH bağlantılarını, kullanıcı kimlik bilgilerini ve komut etkileşimlerini kaydederek siber güvenlik analizleri için değerli veriler sağlar.
İnce ayarlı modelin eğitim kayıpları istikrarlı bir şekilde azaldı ve bu da veri setinden etkili bir şekilde öğrenildiğini gösterdi.
36 eğitim adımı için 5×10−4’lük bir öğrenme oranı kullanıldı ve bu, tutarlı bir performans iyileştirmesi ve gerçekçi ve bağlamsal olarak uygun yanıtlar üretme yeteneğinin artmasıyla sonuçlandı.
Tüm örneklerde tutarlı olarak daha yüksek benzerlik puanları ve daha düşük mesafe ölçümleri ile kanıtlandığı üzere, taban modele kıyasla terminal çıktıları üretmede üstün bir performans göstermiştir; bu da modelin bir Cowrie honeypot sunucusundan beklenen yanıtlarla yakın hizalanan çıktılar üretmedeki etkinliğini göstermektedir.
Makale, LLM’leri kullanarak etkileşimli ve gerçekçi bal tuzağı sistemleri oluşturmak için yeni bir yöntem önermektedir. Saldırgan verileri üzerinde bir LLM’yi ince ayarlayarak, sistem yanıt kalitesini artırır, tehdit tespitini iyileştirir ve saldırgan davranışına dair daha derin içgörüler sağlar.
Eğitim veri kümelerini genişletmeyi, alternatif ince ayarları keşfetmeyi ve saldırgan stratejilerini analiz etmek için saldırı kayıtlarını toplamak ve bilgi grafikleri oluşturmak üzere sistemi herkese açık bir şekilde dağıtarak davranış analizini dahil etmeyi planlıyorlar.
Ayrıca, modeli geliştirmek ve siber tehditlerin daha iyi tespiti ve analizi için bal tuzaklarını geliştirmek amacıyla doğruluk ve etkileşim kalitesi gibi ölçütleri kullanarak performansı değerlendirecekler.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial