概要
连续的网络攻击对构造的数据、应用步伐和其他宝贵资产构成庞大威胁。恶意shell下令通常充当攻击者远程控制受害者计算机的跳板。为了阻止此类尝试,入侵检测系统(IDS)通常会捕捉并提示可疑的shell下令,以便人类分析师举行进一步调查。对发出警报的shell下令举行手动考核是安全操作的关键部分。安全分析师应该完全明白这些下令,从字面语义到高级意图。然而,恶意下令的复杂语法和隐蔽性使得低级技术人员甚至安全专家都难以明白。
大型语言模型(LLM)的最新突破为步伐员和非步伐员释放了代码解释的潜力。人们发现,商业LLM(如ChatGPT)可以通过用户提示为常用下令生成可明白且相称准确的解释。然而,劈面临复杂或看不见的下令时,通用LLM会提供错误甚至幻觉的解释。对于使用包含私有实用步伐或敏感参数的特别shell下令的公司来说,这种环境可能会更糟。例如,在敏感的内部源代码意外泄露后,三星禁止使用ChatGPT和其他人工智能谈天机器人。
本文中,我们开发了一个基于LLM的shell下令解释器,名为RACONTEUR,它对shell下令,特别是恶意下令提供了知识广博、看法深刻的解释。RACONTEUR还可以移植到其练习数据集中不存在的私有shell下令。
如作甚通用LLM提供shell下令解释方面的专业知识?
现有的通用LLM在shell下令解释方面的性能并不令人满足,特别是对于恶意下令。微调通用LLM是一种有远景且经济实惠的解决方案,但缺乏用于shell下令解释任务的域数据。为相识决这个问题,我们构建了一个由“提示、相应”对组成的微调数据集。为了考虑用户提示的多样性,我们筹划了基于规则和基于模型的方法来生成各种各样的提示。这些复兴是由著名代码库的专业知识组成的。颠末微调后,RACONTEUR可以或许解释shell下令中每个步调的操作,并总结shell下令的团体行为。
怎样对shell下令的意图提供有见地的解释?
对下令的深入明白不仅包括对语义的徐徐形貌,还包括对意图的抽象,即明白攻击者想要通过什么手段(技术)实现什么(策略)。将基于天然语言的形貌转化为MITRE ATT&CK框架定义的技术和策略,有助于分析师快速寻求相应的缓解步伐。例如,下令rundll32.exe.keymgr,KRShowKeyMgr的语义解释可能是“该下令使用rundll38.exe实行位于keymgr.dll中的导出函数KRShowKeyMgr。”如果分析师也相识此下令背后的技术,即将存储的Windows凭据从凭据管理器导出到属于“T1003-OS凭据转储”技术的文件,则会更有帮助。这一举措的终极目标是MITRE ATT&CK框架中的“TA0006-凭证访问”策略。通过确定技术和策略,可以利用丰富的先验知识来应对这一威胁。不幸的是,基于天然语言的解释与MITRE ATT&CK文档给出的标准形貌之间存在差距。为相识决这一差距,我们建立了一个嵌入模型,将RACONTEUR和MITRE ATT&CK的形貌映射到同一个嵌入空间中,在此底子上,我们将下令与形貌最相似的技术和战术相匹配。
怎样提供在练习阶段看不到的私有shell下令的准确信息?
在构造中实行的大部分下令都是专有的,涉及构造内开发的仅供内部使用的实用步伐、参数和文件。当出现不公开的看不见的下令时,LLM可能会提供禁绝确和虚构的信息。为了使RACONTEUR可以或许移植到私有shell下令中,我们筹划了一个文档检索器,以收集增补文档中的相关上下文(例如,公司的先验文档),以帮忙RACONT EUR的解释过程。通过这种方式,RACONTEUR可以根据提供的文档分析下令并提供老实的解释。
贡献
我们发起使用RACONTEUR,这是一种基于LLM的shell下令解释器,可以提供有关shell下令(尤其是恶意下令)的知识广博且富有洞察力的形貌,以帮忙安全分析师辨认潜在的网络攻击。
我们为RACONTEUR配备了一个全面的工具包,包括行为解释器、意图标识符和文档检索器,使RACONTEUR可以或许对公共和私有shell下令提供全面和老实的解释。
我们举行了广泛的实验,以验证RACONTEUR可以或许提供高质量的解释和对指挥意图的深入洞察。我们策划的数据集是开源的,以促进LLM辅助代码解释的进一步研究。
配景与动机
SHELL下令指令
技术与战术。要分析shell下令,特别是恶意下令,必须相识技术和策略。该技术是下令的具体操作,即“怎样”徐徐实行下令。战术是下令的终极目标。,
“为什么
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
