專家介紹

在前面的文章中，我們從“攻防”視角探討了ChatGPT對(duì)網(wǎng)絡(luò)安全攻擊領(lǐng)域的影響。今天，我們來(lái)看看ChatGPT有沒(méi)有不擅長(zhǎng)的事情。

ChatGPT可以通過(guò)基于自然語(yǔ)言處理技術(shù)的模型、情景模型和語(yǔ)言模型來(lái)識(shí)別惡意代碼，那么ChatGPT能否識(shí)別惡意域名呢？

惡意域名是指黑客利用域名注冊(cè)服務(wù)商來(lái)注冊(cè)的域名，這些域名可能用于攻擊用戶的網(wǎng)絡(luò)安全或者可能用于傳播惡意程序。

惡意域名的識(shí)別是一項(xiàng)非常重要的網(wǎng)絡(luò)安全技術(shù)，用來(lái)檢測(cè)和防止可能存在的攻擊行為。當(dāng)用戶訪問(wèn)一個(gè)域名時(shí)，可以使用域名黑名單服務(wù)來(lái)檢查這個(gè)域名是否是惡意域名。這些域名黑名單服務(wù)會(huì)定期更新，可以檢測(cè)出最新注冊(cè)的惡意域名。

首先，我們選擇finalshell.nl域名，該域名被用于Sysrv-hello僵尸網(wǎng)絡(luò)，Sysry-hello是一個(gè)Windows和Linux雙平臺(tái)挖礦木馬。

下圖是華為情報(bào)平臺(tái)給出的域名識(shí)別結(jié)果，將其判定為惡意域名。

接下來(lái)，我們讓ChatGPT識(shí)別。

繼續(xù)追問(wèn)理由，ChatGPT給出的理由是：根據(jù)VirusTotal的報(bào)告，該域名未被任何安全引擎標(biāo)記為惡意。

然后，我們查詢了VirusTotal的域名識(shí)別結(jié)果：

VirusTotal給出的結(jié)果是部分惡意，但是ChatGPT直接判定為非惡意。是不是過(guò)于武斷了？

接下來(lái)我們看看ChatGPT識(shí)別DGA域名。

DGA域名是一種由僵尸網(wǎng)絡(luò)惡意軟件生成的隨機(jī)域名，用于控制僵尸網(wǎng)絡(luò)的惡意活動(dòng)。它們的特點(diǎn)是每次生成的域名都不一樣，這樣惡意軟件就可以持續(xù)運(yùn)行，而不會(huì)被防火墻或其他安全解決方案檢測(cè)到。

下圖是華為情報(bào)平臺(tái)給出的域名識(shí)別結(jié)果，將其判定為惡意DGA域名。

將該域名交給ChatGPT判定：

它的回答讓我很吃驚?？磥?lái)ChatGPT給出的不都是“非黑即白”的回答，也有“無(wú)法判斷”的未知類型的回答。這個(gè)回答就涉及到AI領(lǐng)域的難題——開(kāi)集識(shí)別。

開(kāi)集識(shí)別簡(jiǎn)單定義是，一個(gè)在訓(xùn)練集上訓(xùn)練好的模型，當(dāng)利用一個(gè)測(cè)試集進(jìn)行測(cè)試時(shí)，如果輸入已知類別數(shù)據(jù)，輸出具體的類別，如果輸入的是未知類別的數(shù)據(jù)，則進(jìn)行合適的處理（識(shí)別為Unknown）。

在網(wǎng)絡(luò)安全領(lǐng)域，發(fā)現(xiàn)未知威脅并及時(shí)阻斷是當(dāng)前安全用戶面臨的重要挑戰(zhàn)。傳統(tǒng)基于簽名的檢測(cè)很難發(fā)現(xiàn)未知威脅，而隨著人工智能技術(shù)的迅速發(fā)展，越來(lái)越多的安全廠商開(kāi)始將AI應(yīng)用于威脅檢測(cè)中。其中，開(kāi)集識(shí)別是AI領(lǐng)域的一個(gè)難題，安全攻擊識(shí)別問(wèn)題大多是基于有監(jiān)督的傳統(tǒng)AI分類模型，以下圖惡意文件檢測(cè)為例，這種模型只能給出“非黑即白”的回答，沒(méi)有“我不知道”這個(gè)結(jié)果。

而ChatGPT在識(shí)別DGA惡意域名的時(shí)候，卻給出了“無(wú)法判斷”這個(gè)表明是未知類型的回答，這就超出了傳統(tǒng)AI分類模型的認(rèn)知。

綜上，ChatGPT識(shí)別惡意域名的能力為★☆☆☆☆，但是其開(kāi)集識(shí)別能力在未知威脅檢測(cè)中將會(huì)發(fā)揮很大的潛力。

最后，結(jié)合前面兩篇文章的分析，我們回顧總結(jié)下ChatGPT的能力：

綜合以上能力，ChatGPT在網(wǎng)絡(luò)安全產(chǎn)品領(lǐng)域可以發(fā)揮作用的方面有：

當(dāng)前業(yè)界還沒(méi)有用可解釋的AI分類模型來(lái)識(shí)別惡意文件，因此如何利用大型模型結(jié)合“二進(jìn)制匯編語(yǔ)言”上下文，獲得更具可解釋性和準(zhǔn)確性的惡意文件分類結(jié)果，以及如何將開(kāi)集識(shí)別技術(shù)用于未知文件的識(shí)別，是當(dāng)前AI技術(shù)面臨的兩大挑戰(zhàn)。

當(dāng)前惡意文件的逆向分析嚴(yán)重依賴人工，需要安全從業(yè)人員長(zhǎng)期累積知識(shí)經(jīng)驗(yàn)，而ChatGPT擅長(zhǎng)于結(jié)合代碼上下文的分析任務(wù)，使用大模型進(jìn)行逆向分析是一個(gè)很理想的選擇。

由于域名類數(shù)據(jù)非常豐富，容易生成精準(zhǔn)率更高的大模型。例如，在DGA域名識(shí)別領(lǐng)域，單詞拼接組成的DGA域名很難識(shí)別，但由于大模型擁有更多類型的數(shù)據(jù)，因此采用大模型之后，可能可以解決這一難題。

智能運(yùn)營(yíng)能夠解決SOC類產(chǎn)品面臨的巨量事件和難以運(yùn)營(yíng)兩個(gè)難題。它能夠自動(dòng)研判安全告警，并為安全運(yùn)營(yíng)提出處置建議，自動(dòng)化生成運(yùn)營(yíng)報(bào)告，這也是大模型值得探索的一個(gè)方向。