创建一个 AI 蜜罐来与攻击者进行复杂的互动

在网络安全中，蜜罐是专门设计用于吸引和分析网络攻击的诱饵系统，充当潜在入侵者的陷阱。

通过模仿合法目标，蜜罐将攻击者从真实资产中转移出来，同时收集有关其方法和行为的情报。

来自奥尔巴尼应急准备、国土安全学院和网络安全大学信息科学与技术系的网络安全分析师 Hakan T. Otal 和 M. Abdullah Canbaz 最近开发了一个 AI 蜜罐，用于与老练的黑客互动。

传统蜜罐的范围通常有从模拟基本网络服务的低交互蜜罐到模拟整个网络基础设施的高交互蜜罐。下面是它们的所有主要类型：

• 服务器蜜罐
• 客户端蜜罐
• 恶意软件蜜罐
• 数据库蜜罐

尽管它们很有效，但传统的蜜罐面临局限性，例如容易受到蜜罐指纹识别以及交互能力有限。

为了创建更复杂的蜜罐，“Llama3”、“Phi 3”、“CodeLlama”和“Codestral”等 LLM 在最近被大量的应用于蜜罐之中。

然而，为了提高性能，同时减少计算负载，所有这些基于 LLM 的蜜罐主要采用“监督微调 （SFT）”、“提示工程”、“LoRA” 和 “QLoRA” 等技术。

他们还利用 NEFTune 噪声进行正则化，并使用 Flash Attention 2 高效处理长序列。

研究报告称，这些通常部署在 AWS、Google Cloud 和 Azure 等云平台上，而除此之外，所有这些蜜罐都使用 Paramiko 等库与自定义 SSH 服务器相结合。

LLM 在 IP（第 3 层）级别处理攻击者命令，这有助于生成模拟真实系统行为的响应。

评估指标包括“余弦相似度”、“Jaro-Winkler 相似度”和“Levenshtein 距离”，以根据预期响应评估模型的输出。

这种方法显著增强了蜜罐的能力，使其能够令人信服地与攻击者交互，从而改进威胁检测，并可以收集情报。

但是，这里的挑战仍然存在，如何平衡计算效率、避免老练的黑客的检测以及保持真实交互行为依然是不小的问题。

无论如何，将 LLM 集成到蜜罐技术代表了网络安全的重大进步，它为不断变化的网络威胁提供了更加动态和适应性的防御。

来源：cybersecuritynews