ChatGPT可以通过基于自然语言处理技术的模型、情景模型和语言模型来识别恶意代码,那么ChatGPT能否识别恶意域名呢?
恶意域名是指黑客利用域名注册服务商来注册的域名,这些域名可能用于攻击用户的网络安全或者可能用于传播恶意程序。
恶意域名的识别是一项非常重要的网络安全技术,用来检测和防止可能存在的攻击行为。当用户访问一个域名时,可以使用域名黑名单服务来检查这个域名是否是恶意域名。这些域名黑名单服务会定期更新,可以检测出最新注册的恶意域名。
首先,我们选择finalshell.nl域名,该域名被用于Sysrv-hello僵尸网络,Sysry-hello是一个Windows和Linux双平台挖矿木马。
下图是华为情报平台给出的域名识别结果,将其判定为恶意域名。
接下来,我们让ChatGPT识别。
继续追问理由,ChatGPT给出的理由是:根据VirusTotal的报告,该域名未被任何安全引擎标记为恶意。
然后,我们查询了VirusTotal的域名识别结果:
VirusTotal给出的结果是部分恶意,但是ChatGPT直接判定为非恶意。是不是过于武断了?
接下来我们看看ChatGPT识别DGA域名。
DGA域名是一种由僵尸网络恶意软件生成的随机域名,用于控制僵尸网络的恶意活动。它们的特点是每次生成的域名都不一样,这样恶意软件就可以持续运行,而不会被防火墙或其他安全解决方案检测到。
下图是华为情报平台给出的域名识别结果,将其判定为恶意DGA域名。
将该域名交给ChatGPT判定:
它的回答让我很吃惊。看来ChatGPT给出的不都是“非黑即白”的回答,也有“无法判断”的未知类型的回答。这个回答就涉及到AI领域的难题——开集识别。
开集识别简单定义是,一个在训练集上训练好的模型,当利用一个测试集进行测试时,如果输入已知类别数据,输出具体的类别,如果输入的是未知类别的数据,则进行合适的处理(识别为Unknown)。
在网络安全领域,发现未知威胁并及时阻断是当前安全用户面临的重要挑战。传统基于签名的检测很难发现未知威胁,而随着人工智能技术的迅速发展,越来越多的安全厂商开始将AI应用于威胁检测中。其中,开集识别是AI领域的一个难题,安全攻击识别问题大多是基于有监督的传统AI分类模型,以下图恶意文件检测为例,这种模型只能给出“非黑即白”的回答,没有“我不知道”这个结果。
而ChatGPT在识别DGA恶意域名的时候,却给出了“无法判断”这个表明是未知类型的回答,这就超出了传统AI分类模型的认知。
综上,ChatGPT识别恶意域名的能力为★☆☆☆☆,但是其开集识别能力在未知威胁检测中将会发挥很大的潜力。
最后,结合前面两篇文章的分析,我们回顾总结下ChatGPT的能力:
综合以上能力,ChatGPT在网络安全产品领域可以发挥作用的方面有:
当前业界还没有用可解释的AI分类模型来识别恶意文件,因此如何利用大型模型结合“二进制汇编语言”上下文,获得更具可解释性和准确性的恶意文件分类结果,以及如何将开集识别技术用于未知文件的识别,是当前AI技术面临的两大挑战。
当前恶意文件的逆向分析严重依赖人工,需要安全从业人员长期累积知识经验,而ChatGPT擅长于结合代码上下文的分析任务,使用大模型进行逆向分析是一个很理想的选择。
由于域名类数据非常丰富,容易生成精准率更高的大模型。例如,在DGA域名识别领域,单词拼接组成的DGA域名很难识别,但由于大模型拥有更多类型的数据,因此采用大模型之后,可能可以解决这一难题。
智能运营能够解决SOC类产品面临的巨量事件和难以运营两个难题。它能够自动研判安全告警,并为安全运营提出处置建议,自动化生成运营报告,这也是大模型值得探索的一个方向。
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):ChatGPT识别恶意域名的回答!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论