專家介紹

在前面的文章中，我們從“攻防”視角探討了ChatGPT對(duì)網(wǎng)絡(luò)安全攻擊領(lǐng)域的影響。今天，我們來看看ChatGPT有沒有不擅長的事情。

ChatGPT可以通過基于自然語言處理技術(shù)的模型、情景模型和語言模型來識(shí)別惡意代碼，那么ChatGPT能否識(shí)別惡意域名呢？

什么是惡意域名

惡意域名是指黑客利用域名注冊(cè)服務(wù)商來注冊(cè)的域名，這些域名可能用于攻擊用戶的網(wǎng)絡(luò)安全或者可能用于傳播惡意程序。

惡意域名的識(shí)別是一項(xiàng)非常重要的網(wǎng)絡(luò)安全技術(shù)，用來檢測(cè)和防止可能存在的攻擊行為。當(dāng)用戶訪問一個(gè)域名時(shí)，可以使用域名黑名單服務(wù)來檢查這個(gè)域名是否是惡意域名。這些域名黑名單服務(wù)會(huì)定期更新，可以檢測(cè)出最新注冊(cè)的惡意域名。

讓ChatGPT識(shí)別惡意域名 識(shí)別finalshell.nl域名

首先，我們選擇finalshell.nl域名，該域名被用于Sysrv-hello僵尸網(wǎng)絡(luò)，Sysry-hello是一個(gè)Windows和Linux雙平臺(tái)挖礦木馬。

下圖是華為情報(bào)平臺(tái)給出的域名識(shí)別結(jié)果，將其判定為惡意域名。

接下來，我們讓ChatGPT識(shí)別。

繼續(xù)追問理由，ChatGPT給出的理由是：根據(jù)VirusTotal的報(bào)告，該域名未被任何安全引擎標(biāo)記為惡意。

然后，我們查詢了VirusTotal的域名識(shí)別結(jié)果：

VirusTotal給出的結(jié)果是部分惡意，但是ChatGPT直接判定為非惡意。是不是過于武斷了？

識(shí)別DGA域名

接下來我們看看ChatGPT識(shí)別DGA域名。

DGA域名是一種由僵尸網(wǎng)絡(luò)惡意軟件生成的隨機(jī)域名，用于控制僵尸網(wǎng)絡(luò)的惡意活動(dòng)。它們的特點(diǎn)是每次生成的域名都不一樣，這樣惡意軟件就可以持續(xù)運(yùn)行，而不會(huì)被防火墻或其他安全解決方案檢測(cè)到。

下圖是華為情報(bào)平臺(tái)給出的域名識(shí)別結(jié)果，將其判定為惡意DGA域名。

將該域名交給ChatGPT判定：

它的回答讓我很吃驚?？磥鞢hatGPT給出的不都是“非黑即白”的回答，也有“無法判斷”的未知類型的回答。這個(gè)回答就涉及到AI領(lǐng)域的難題——開集識(shí)別。

AI領(lǐng)域的難題——開集識(shí)別

開集識(shí)別簡(jiǎn)單定義是，一個(gè)在訓(xùn)練集上訓(xùn)練好的模型，當(dāng)利用一個(gè)測(cè)試集進(jìn)行測(cè)試時(shí)，如果輸入已知類別數(shù)據(jù)，輸出具體的類別，如果輸入的是未知類別的數(shù)據(jù)，則進(jìn)行合適的處理（識(shí)別為Unknown）。

在網(wǎng)絡(luò)安全領(lǐng)域，發(fā)現(xiàn)未知威脅并及時(shí)阻斷是當(dāng)前安全用戶面臨的重要挑戰(zhàn)。傳統(tǒng)基于簽名的檢測(cè)很難發(fā)現(xiàn)未知威脅，而隨著人工智能技術(shù)的迅速發(fā)展，越來越多的安全廠商開始將AI應(yīng)用于威脅檢測(cè)中。其中，開集識(shí)別是AI領(lǐng)域的一個(gè)難題，安全攻擊識(shí)別問題大多是基于有監(jiān)督的傳統(tǒng)AI分類模型，以下圖惡意文件檢測(cè)為例，這種模型只能給出“非黑即白”的回答，沒有“我不知道”這個(gè)結(jié)果。

而ChatGPT在識(shí)別DGA惡意域名的時(shí)候，卻給出了“無法判斷”這個(gè)表明是未知類型的回答，這就超出了傳統(tǒng)AI分類模型的認(rèn)知。

結(jié)論

綜上，ChatGPT識(shí)別惡意域名的能力為★☆☆☆☆，但是其開集識(shí)別能力在未知威脅檢測(cè)中將會(huì)發(fā)揮很大的潛力。

ChatGPT能力總結(jié)和未來展望

最后，結(jié)合前面兩篇文章的分析，我們回顧總結(jié)下ChatGPT的能力：

綜合以上能力，ChatGPT在網(wǎng)絡(luò)安全產(chǎn)品領(lǐng)域可以發(fā)揮作用的方面有：

1 惡意文件分析

當(dāng)前業(yè)界還沒有用可解釋的AI分類模型來識(shí)別惡意文件，因此如何利用大型模型結(jié)合“二進(jìn)制匯編語言”上下文，獲得更具可解釋性和準(zhǔn)確性的惡意文件分類結(jié)果，以及如何將開集識(shí)別技術(shù)用于未知文件的識(shí)別，是當(dāng)前AI技術(shù)面臨的兩大挑戰(zhàn)。

2 惡意文件逆向分析

當(dāng)前惡意文件的逆向分析嚴(yán)重依賴人工，需要安全從業(yè)人員長期累積知識(shí)經(jīng)驗(yàn)，而ChatGPT擅長于結(jié)合代碼上下文的分析任務(wù)，使用大模型進(jìn)行逆向分析是一個(gè)很理想的選擇。

3 惡意域名識(shí)別

由于域名類數(shù)據(jù)非常豐富，容易生成精準(zhǔn)率更高的大模型。例如，在DGA域名識(shí)別領(lǐng)域，單詞拼接組成的DGA域名很難識(shí)別，但由于大模型擁有更多類型的數(shù)據(jù)，因此采用大模型之后，可能可以解決這一難題。

4 智能運(yùn)營

智能運(yùn)營能夠解決SOC類產(chǎn)品面臨的巨量事件和難以運(yùn)營兩個(gè)難題。它能夠自動(dòng)研判安全告警，并為安全運(yùn)營提出處置建議，自動(dòng)化生成運(yùn)營報(bào)告，這也是大模型值得探索的一個(gè)方向。