專家介紹

ChatGPT的核心優(yōu)勢是通過基于自然語言處理技術(shù)模型、情景模型和語言模型來自動生成文章和代碼。在前面的文章中，我們從攻擊視角探討了ChatGPT對網(wǎng)絡(luò)安全的影響，本文將從防御視角來探討ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的作用，并進(jìn)行能力評估。

ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用主要有以下幾個(gè)方面：1.威脅檢測：（1）提取簽名規(guī)則（2）識別惡意代碼2.代碼審計(jì)：分析代碼漏洞3.威脅情報(bào)：從文本中提取情報(bào)4.安全運(yùn)營：生成安全運(yùn)營報(bào)告

威脅檢測：提取簽名規(guī)則

能力指數(shù)：★★★☆☆

眾所周知，GitHub上有大量開源的簽名規(guī)則，例如Yara、Sigma、ES等，可以用于威脅檢測。由于ChatGPT訓(xùn)練數(shù)據(jù)包含GitHub內(nèi)容，因此我們可以測試ChatGPT的規(guī)則提取能力。我們首先要求ChatGPT輸出檢測挖礦木馬的Sigma規(guī)則。作為一位專注于威脅檢測的從業(yè)者，我認(rèn)為上述答案缺乏細(xì)節(jié)，遠(yuǎn)沒有涵蓋全面，尤其是沒有提及數(shù)據(jù)采集的類型。于是我追加了問題中的要求。這次給出的答案十分全面，但是檢測規(guī)則仍然不夠完善，經(jīng)過多次詢問后，最終得出的檢測規(guī)則如下：這些規(guī)則雖然不能直接應(yīng)用于產(chǎn)品，但是對于威脅分析而言，能夠迅速掌握檢測規(guī)則的概貌，也算是一種很不錯(cuò)的幫助。 結(jié)論：

ChatGPT威脅檢測提取簽名規(guī)則的能力指數(shù)評分為★★★☆☆，勉強(qiáng)及格。

威脅檢測：識別惡意代碼

能力指數(shù)：★★★★☆

ChatGPT有能力理解和分析代碼，我們讓ChatGPT來分析下前一篇文章所生成的webshell后門。第一步，識別一句話木馬。可以看到ChatGPT給出了正確回答，同時(shí)給出了非常不錯(cuò)的判定理由。我們繼續(xù)使用base64解碼的webshell，讓ChatGPT進(jìn)行識別，ChatGPT依然應(yīng)對自如。第二步，識別變種的webshell。接下來試試免殺的webshell。下面是一個(gè)利用在高版本php語法不換行，來執(zhí)行命令繞過常規(guī)檢測的webshell，我們讓ChatGPT來檢測。 ChatGPT給出的判定結(jié)果完全正確，并且其反引號可以用來執(zhí)行命令的理由也非常充分。前方高能?。?！下面是一個(gè)難度極高的檢測示例，使用字符串替換和函數(shù)方式運(yùn)行webshell命令。可以看到，ChatGPT給出的答案完全正確，其解釋更是令人驚嘆。要知道，人看這段代碼可能沒什么，要交給機(jī)器自動化判定，必須要通過對PHP腳本的詞法分析和語義分析才能獲得，但在ChatGPT看來，這似乎不算什么難事。 結(jié)論：綜上所述，ChatGPT 在惡意腳本類代碼識別方面表現(xiàn)出色，能力指數(shù)評分為★★★★☆。其 AI 所給出的結(jié)果令人驚嘆，這歸功于它出色的代碼分析能力。ChatGPT為何擅長代碼分析呢？●使用的文本生成模型GPT（Generative Pre-trained Transformer）能夠?qū)Υa進(jìn)行分析，以確定其意圖。●訓(xùn)練所使用的數(shù)據(jù)量巨大，ChatGPT從Stack Overflow、github等大量的語料里訓(xùn)練模型。●ChatGPT可以學(xué)習(xí)特定的編程語言的語義，生成更加準(zhǔn)確的語義分析結(jié)果。

代碼審計(jì)：分析代碼漏洞

能力指數(shù)：★★☆☆☆

前面提到ChatGPT擅長代碼分析，接下來我們看看它在代碼審計(jì)方面的能力，是否可以幫助我們發(fā)現(xiàn)代碼中存在的問題。首先，我們以比較簡單的存在SQL注入的代碼審計(jì)為例：ChatGPT的回答還算讓人滿意。不過，當(dāng)我們嘗試一個(gè)不存在SQL注入的代碼時(shí)，ChatGPT就開始“一本正經(jīng)的胡說八道”了：實(shí)際上，上面的代碼可以有效地防止SQL注入，原因如下：1.采用了預(yù)編譯，避免了拼接SQL語句，清晰地劃分了代碼與數(shù)據(jù)。2.檢測了數(shù)據(jù)類型是否僅為數(shù)字。3.判定結(jié)果是否僅為一條，有效防止“拖庫”攻擊。ChatGPT回答錯(cuò)誤，進(jìn)一步追問ChatGPT，讓其給出poc代碼。果然，它給出的答案是錯(cuò)的。 結(jié)論：ChatGPT 的代碼審計(jì)能力指數(shù)為★★☆☆☆?？傮w而言，ChatGPT 對代碼審計(jì)有一定的幫助，但是需要人工核實(shí)它回答的結(jié)果是否正確。

威脅情報(bào)：從文本提取情報(bào)

能力指數(shù)：★★☆☆☆

從公開報(bào)道中摘取有關(guān)情報(bào)，是安全領(lǐng)域最為常見的自然語言處理應(yīng)用場景之一。我們讓ChatGPT從CrowdStrike的“麻辣香鍋”惡意軟件公開報(bào)道中，提取出一份中文摘要。

看起來還不錯(cuò)！我們再讓ChatGPT提取響尾蛇組織使用的TTP。

上述回答給出的鏈接已經(jīng)失效，無法證實(shí)其答案的正確性。

結(jié)論：ChatGPT從文本提取情報(bào)的能力指數(shù)為★★☆☆☆。綜合來看，ChatGPT 對于提取情報(bào)有一定的幫助，但還需要人工核實(shí)。

安全運(yùn)營：生成安全運(yùn)營報(bào)告

能力指數(shù)：★★☆☆☆

ChatGPT可以提升安全運(yùn)營效率，已有公開報(bào)道稱它可以解析安全日志，針對可能存在的威脅事件，提供詳細(xì)的處置建議，并發(fā)布相應(yīng)的事件通告；還可以生成用戶報(bào)告，支持組織有效地管理安全風(fēng)險(xiǎn)。安全運(yùn)營的最終目標(biāo)是實(shí)現(xiàn)智能運(yùn)營，而最具挑戰(zhàn)性的工作是在海量告警中發(fā)現(xiàn)有效攻擊。ChatGPT目前無法實(shí)現(xiàn)海量告警研判分析，仍然需要安全運(yùn)營專家的參與，才能達(dá)到最佳效果。 結(jié)論：ChatGPT生成安全運(yùn)營報(bào)告的能力指數(shù)為★★☆☆☆。

基于ChatGPT構(gòu)建安全大模型

看到ChatGPT在網(wǎng)絡(luò)安全防御方面的諸多優(yōu)點(diǎn)，很多安全企業(yè)可能蠢蠢欲動，希望做自己的安全大模型。如何讓大模型適配安全場景呢？很多人可能都會想到在ChatGPT這樣的大模型基礎(chǔ)上，針對安全領(lǐng)域重新訓(xùn)練一個(gè)增量模型。但是有幾個(gè)關(guān)鍵問題需要考慮：1.訓(xùn)練成本：大模型訓(xùn)練成本取決于訓(xùn)練數(shù)據(jù)的大小和模型復(fù)雜性。當(dāng)訓(xùn)練數(shù)據(jù)更大和模型更復(fù)雜時(shí)，訓(xùn)練成本會更高，因?yàn)樾枰嗟挠?jì)算資源來處理更多的數(shù)據(jù)。2.模型調(diào)整：針對安全運(yùn)營場景，需要調(diào)整大模型的數(shù)據(jù)輸入，用于海量安全事件的研判分析，這需要安全運(yùn)營和AI專家投入。3.最終效果：由于安全事件本質(zhì)上是低概率事件，大規(guī)模對于少見的，甚至是新型的安全攻擊類型，當(dāng)前還無法有效處理。

結(jié)語

ChatGPT使AI在網(wǎng)絡(luò)安全防御中的應(yīng)用更為廣泛，它是一種基于深度學(xué)習(xí)的自然語言生成技術(shù)，可以幫助網(wǎng)絡(luò)安全防御人員提取簽名規(guī)則，識別惡意代碼，提升代碼審計(jì)和情報(bào)提取的效率；幫助安全運(yùn)營人員分析日志，生成安全運(yùn)營報(bào)告，給出有效的防護(hù)措施建議。鑒于這些益處，許多企業(yè)希望構(gòu)建適配安全場景的大模型，這就必須考慮訓(xùn)練成本、模型調(diào)整這些因素，并且大模型對于少見的、甚至是新型的安全攻擊類型，當(dāng)前還無法有效處理。即便如此，我們?nèi)匀幌嘈?，ChatGPT等大模型的出現(xiàn)一定會對網(wǎng)絡(luò)安全領(lǐng)域帶來很大改變，實(shí)現(xiàn)智能分析和運(yùn)營，只是一個(gè)時(shí)間問題。

下期預(yù)告

下期我們將看看ChatGPT是不是無所不能，有沒有干不了的事情呢？敬請期待。

往期精彩推薦

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！