Erkennung von Hands-on-Keyboard-Angriffen mit Sprachmodellen
Die Verbesserung der Bedrohungserkennung durch den Einsatz von LLMs zur Analyse von Endpunktaktivitäten.
― 6 min Lesedauer
Inhaltsverzeichnis
Cybersecurity ist heute ein grosses Thema in der digitalen Welt. Je mehr Leute und Unternehmen Technologie nutzen, desto mehr Cyberbedrohungen müssen sie sich stellen. Eine der kniffligsten Arten von Angriffen wird als "Hands-on-Keyboard" (HOK) Angriffe bezeichnet. Bei diesen Angriffen interagieren Hacker direkt mit den Computersystemen ihres Ziels. Das macht es für Sicherheitsprofis schwer, diese Angriffe zu erkennen und zu stoppen, weil sie oft eine sorgfältige Planung und clevere Techniken erfordern.
Traditionelle Erkennungsmethoden
Früher basierten die Cybersecurity-Methoden hauptsächlich darauf, bekannte Muster von schädlichen Aktivitäten zu erkennen. Wenn ein System etwas sieht, das zu einem schlechten Muster passt, wird ein Alarm ausgelöst. HOK-Angriffe sind jedoch knifflig, weil sie oft neue Techniken verwenden, die nicht in diese bekannten Muster passen. Eine andere Methode ist die Anomalieerkennung, die nach ungewöhnlichem Verhalten sucht. Trotzdem hat diese Methode auch Schwierigkeiten mit HOK-Angriffen, da sie subtil sein können und viele Fehlalarme verursachen.
Aufgrund der Grenzen dieser traditionellen Methoden gibt es ein wachsendes Interesse an fortschrittlicheren Technologien. Maschinelles Lernen (ML) und künstliche Intelligenz (AI) bieten neue Möglichkeiten, diese Bedrohungen zu erkennen. ML kann aus vergangenen Daten lernen, um Muster zu erkennen und zukünftige Aktionen vorherzusagen, wodurch es besser darin wird, HOK-Angriffe zu entdecken.
Die Rolle von grossen Sprachmodellen
Grosse Sprachmodelle (LLMs) haben grosses Potenzial für Cybersecurity-Aufgaben gezeigt. Diese Modelle, wie die GPT-Serie von OpenAI, werden auf einer riesigen Menge an Textdaten trainiert und können menschliche Sprache verstehen und generieren. Diese Fähigkeit könnte in der Cybersecurity nützlich sein, da LLMs die grossen Mengen an unstrukturierten Textdaten, die von Sicherheitssystemen generiert werden, wie Protokolle und Alarme, verarbeiten und verstehen können.
Durch die Verwendung von LLMs können Sicherheitsprofis Muster und Geschichten innerhalb der Daten besser identifizieren, die auf einen HOK-Angriff hinweisen könnten. Das kann zu einer verbesserten Erkennung im Vergleich zu traditionellen Systemen führen.
Unser Ansatz zur Cybersecurity
In dieser Studie haben wir uns angesehen, wie wir LLMs in Endpoint Detection and Response (EDR) Systeme integrieren können, um die Erkennung von HOK-Angriffen zu verbessern. Wir haben eine neue Methode entwickelt, die die Aktivitäten der Endpunkte in strukturierte Erzählungen umwandelt, die wir "Endpoint-Geschichten" nennen. Diese Geschichten fassen Sicherheitsereignisse klar zusammen, was es LLMs erleichtert, sie zu analysieren und zwischen normalen Aktivitäten und potenziellen Bedrohungen zu unterscheiden.
Allerdings ist der Umgang mit der Komplexität und dem Volumen der Endpunktdaten herausfordernd. Wir brauchen auch LLMs, die technische Sprache genau interpretieren und eine hohe Genauigkeit aufrechterhalten, um Fehlalarme zu vermeiden. Ausserdem ist Echtzeitanalyse in der Cybersecurity entscheidend, was bedeutet, dass wir auch berücksichtigen müssen, wie schnell LLMs reagieren können.
Datenvorbereitung und -sammlung
Der erste Schritt in unserem Ansatz besteht darin, die Sicherheitsdaten der Endpunkte sorgfältig vorzubereiten und zu sammeln. Wir haben einen grossen Datensatz von Endpunktprotokollen zusammengestellt, der detaillierte Aufzeichnungen verschiedener Arten von Sicherheitsereignissen umfasst. Diese Protokolle bestehen aus Rohereignissen, Sicherheitsbeobachtungen von Experten und Bewertungen von ML-Modellen, die mögliche bösartige Aktivitäten erkennen.
Nachdem wir die Daten gesammelt hatten, haben wir darauf geachtet, dass sie keine persönlichen Informationen enthalten, während wir wichtige Details für die Analyse behalten haben. Dann haben wir die Protokolle in strukturierte Endpoint-Geschichten umgewandelt, die klar die Abfolge und den Kontext der Ereignisse veranschaulichen.
Der Transformationsprozess umfasst mehrere Schritte:
- Beweisaggregation: Wir sammeln und sortieren Ereignisse basierend darauf, wann sie aufgetreten sind.
- Filterung: Wir entfernen Ereignisse, die nicht helfen, HOK-Angriffe zu identifizieren.
- Umdichtung: Wir formatieren die Beweise einheitlich für die Klarheit.
- Deduplication: Wir gruppieren ähnliche Ereignisse, um die Geschichten kürzer zu machen.
- Normalisierung: Wir vereinfachen Verweise auf lange Entitäten, wie Dateinamen.
Für das Training unseres Modells haben wir Beispiele sowohl für bösartige als auch für harmlose Endpunktgeschichten gesammelt. Wir haben Daten aus Vorfällen verwendet, die von Sicherheitsexperten auf bösartige Fälle überprüft wurden, und weniger verdächtige Fälle basierend auf Systemalarmen für harmlose Beispiele. Wir haben die Daten in Trainings- und Testdatensätze unterteilt, um die Leistung unseres Modells zu bewerten.
Modellarchitektur und Training
Nachdem wir die Endpoint-Geschichten fertig hatten, sind wir zum Training unseres Modells übergegangen. Wir haben ein hochmodernes LLM verwendet und es so angepasst, dass es sich auf Cybersecurity-Themen konzentriert. Das Modell hat gelernt, ob eine Endpoint-Geschichte harmlos oder ein potenzieller HOK-Angriff ist.
Um mit langen Endpoint-Geschichten umzugehen, haben wir den Text in kleinere Abschnitte, sogenannte Fenster, unterteilt. Wir haben für jedes Fenster Embeddings mit einem vorab trainierten LLM erstellt und diese durch ein Klassifikationsmodell geleitet. Wir haben zwei Trainingsmethoden ausprobiert:
- Training des Fenster-Modells und der Klassifikation zusammen.
- Training des Embedding-Modells separat und dann Klassifizierung der Informationen.
Bei der ersten Methode haben wir ein kleineres Modell verwendet, das das gesamte Sicherheitsprotokoll als Batch verarbeiten konnte. Bei der zweiten Methode haben wir ein anderes LLM verwendet, um Embeddings für die Fenster zu erstellen, und diese dann zur Klassifizierung zusammengefügt.
Leistungsmetriken des Modells
Wir haben unsere Modelle mit realen Daten aus Produktions-EDR-Systemen bewertet. Unser Hauptmetriker zur Beurteilung, wie gut das Modell HOK-Angriffe erkennt, ist die True-Positive-Rate (TPR) bei einer niedrigen False-Positive-Rate (FPR). Das ist wichtig, weil Fehlalarme den Betrieb stören und die Nutzer frustrieren können. Wir haben uns auch die Fläche unter der Receiver Operating Characteristic Curve (AUC) angesehen, die einen Gesamtüberblick über die Modellleistung gibt.
Wir haben unsere Modelle mit einem beliebten Klassifikationsmodell namens LightGBM verglichen. Während LightGBM einen guten AUC-Wert hatte, schnitt es bei der Erkennung von HOK-Angriffen mit hoher Präzision nicht so gut ab. Unsere LLM-Ansätze, insbesondere das Modell mit der Transformer-Architektur, zeigten eine bessere Eigenleistung und boten verbesserte Genauigkeit und niedrigere Fehlalarmraten.
Fazit
Diese Forschung stellt einen signifikanten Fortschritt bei der Erkennung von HOK-Cyberangriffen dar. Durch den Einsatz von LLMs zur Analyse strukturierter Endpoint-Geschichten haben wir gezeigt, dass es möglich ist, zwischen harmlosen Aktionen und potenziellen Bedrohungen effektiv zu unterscheiden. Unsere Experimente haben verdeutlicht, dass LLMs traditionelle Methoden übertreffen können, indem sie eine bessere Genauigkeit bieten und die Fehlalarbeit niedrig halten.
Im Laufe dieser Studie haben wir mehrere Herausforderungen angepackt, wie die Umwandlung komplexer Endpunktdaten in ein geeignetes Format und die Etablierung eines Trainingsprozesses, der längere Kontextdaten berücksichtigt. Unsere Arbeit zeigt, wie fortschrittliche maschinelle Lernwerkzeuge die Cybersecurity-Abwehr erheblich verbessern können.
Zukünftige Arbeiten
Es gibt viele potenzielle zukünftige Forschungsrichtungen. Die Verbesserung der Entscheidungsfindung von LLMs, die Reduzierung der Ressourcen, die für Training und Nutzung benötigt werden, und die kontinuierliche Verfeinerung der Modelle, um mit sich ändernden Taktiken der Cyberkriminellen Schritt zu halten, sind alles wichtige Bereiche für eine fortlaufende Erforschung. Das Experimentieren mit verschiedenen Techniken zur Erkennung langer Kontexte könnte ebenfalls zu weiteren Verbesserungen in den Cybersecurity-Strategien führen.
Titel: Towards Automatic Hands-on-Keyboard Attack Detection Using LLMs in EDR Solutions
Zusammenfassung: Endpoint Detection and Remediation (EDR) platforms are essential for identifying and responding to cyber threats. This study presents a novel approach using Large Language Models (LLMs) to detect Hands-on-Keyboard (HOK) cyberattacks. Our method involves converting endpoint activity data into narrative forms that LLMs can analyze to distinguish between normal operations and potential HOK attacks. We address the challenges of interpreting endpoint data by segmenting narratives into windows and employing a dual training strategy. The results demonstrate that LLM-based models have the potential to outperform traditional machine learning methods, offering a promising direction for enhancing EDR capabilities and apply LLMs in cybersecurity.
Autoren: Amit Portnoy, Ehud Azikri, Shay Kels
Letzte Aktualisierung: 2024-08-04 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2408.01993
Quell-PDF: https://arxiv.org/pdf/2408.01993
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.