Simple Science

Ciencia de vanguardia explicada de forma sencilla

# Informática# Criptografía y seguridad# Aprendizaje automático

Detectando Ataques de Manos en el Teclado con Modelos de Lenguaje

Mejorando la detección de amenazas usando LLMs para analizar la actividad de los endpoints.

― 7 minilectura

Nuevo enfoque paraNuevo enfoque paradetectar ciberataques.en la detección de ataques HOK.Usando LLMs para mejorar la precisión
Tabla de contenidos

La ciberseguridad es una gran preocupación en la era digital actual. A medida que más personas y organizaciones usan tecnología, se enfrentan a más amenazas cibernéticas. Uno de los tipos de ataques más complicados se llama ataques "Hands-on-Keyboard" (HOK). En estos ataques, los hackers interactúan directamente con los sistemas informáticos de su objetivo. Esto puede hacer que sea difícil para los profesionales de seguridad detectar y detener estos ataques, ya que a menudo implican una planificación cuidadosa y técnicas ingeniosas.

Métodos de Detección Tradicionales

En el pasado, los métodos de ciberseguridad se basaban principalmente en reconocer patrones conocidos de actividad maliciosa. Cuando un sistema ve algo que coincide con un patrón malo, genera una alerta. Sin embargo, los ataques HOK son complicados porque a menudo utilizan nuevas técnicas que no encajan en estos patrones conocidos. Otro enfoque se llama detección de anomalías, que busca comportamientos inusuales. Sin embargo, este método también tiene problemas con los ataques HOK, ya que pueden ser sutiles, lo que provoca muchas falsas alarmas.

Debido a las limitaciones de estos métodos tradicionales, ha habido un creciente interés en el uso de tecnologías más avanzadas. El Aprendizaje automático (ML) y la inteligencia artificial (IA) ofrecen nuevas formas de detectar estas amenazas. ML puede aprender de datos pasados para reconocer patrones y predecir acciones futuras, lo que lo hace mejor para detectar ataques HOK.

El Papel de los Modelos de Lenguaje Grande

Los Modelos de Lenguaje Grande (LLMs) han mostrado un gran potencial para tareas de ciberseguridad. Estos modelos, como la serie GPT de OpenAI, están entrenados en un montón de datos textuales y pueden entender y generar un lenguaje similar al humano. Esta habilidad podría ser útil en ciberseguridad, ya que los LLMs pueden procesar y dar sentido a las enormes cantidades de datos textuales no estructurados generados por los sistemas de seguridad, como registros y alertas.

Al usar LLMs, los profesionales de seguridad pueden identificar mejor patrones e historias dentro de los datos que pueden indicar un ataque HOK. Esto puede llevar a una mejor detección en comparación con los sistemas tradicionales.

Nuestro Enfoque en Ciberseguridad

En este estudio, analizamos cómo integrar LLMs en sistemas de Detección y Respuesta en el Endpoint (EDR) para mejorar la detección de ataques HOK. Desarrollamos un nuevo método que convierte los datos de actividad del endpoint en narrativas estructuradas, que llamamos "historias del endpoint". Estas historias resumen eventos de seguridad de manera clara, facilitando el análisis por parte de los LLMs y ayudando a diferenciar entre actividades normales y amenazas potenciales.

Sin embargo, lidiar con la complejidad y el volumen de los datos del endpoint es un desafío. También necesitamos que los LLMs interpreten el lenguaje técnico con precisión y mantengan una alta exactitud para evitar falsos positivos. Además, el análisis en tiempo real es crucial en ciberseguridad, lo que significa que debemos considerar cuán rápido pueden responder los LLMs.

Preparación y Recolección de Datos

El primer paso en nuestro enfoque es preparar y recolectar cuidadosamente los datos de seguridad del endpoint. Reunimos un gran conjunto de datos de registros del endpoint, que incluyen registros detallados de varios tipos de eventos de seguridad. Estos registros consisten en eventos en bruto, observaciones de seguridad de expertos y puntuaciones de modelos de ML que detectan posibles actividades maliciosas.

Después de reunir los datos, nos aseguramos de que no contuvieran información personal, mientras manteníamos detalles importantes para el análisis. Luego transformamos los registros en historias estructuradas del endpoint que ilustran claramente la secuencia y el contexto de los eventos.

El proceso de transformación implica varios pasos:

  1. Agregación de Evidencias: Recolectamos y organizamos eventos basados en cuándo ocurrieron.
  2. Filtrado: Eliminamos eventos que no ayudan a identificar ataques HOK.
  3. Reformulación: Formateamos la evidencia de manera consistente para mayor claridad.
  4. Eliminación de Duplicados: Agrupamos eventos similares para acortar las historias.
  5. Normalización: Simplificamos las referencias a entidades largas, como nombres de archivos.

Para entrenar nuestro modelo, recolectamos ejemplos de historias del endpoint tanto maliciosas como benignas. Usamos datos de incidentes que habían sido revisados por expertos en seguridad para casos maliciosos y casos menos sospechosos basados en alertas del sistema para ejemplos benignos. Dividimos los datos en conjuntos de entrenamiento y prueba para evaluar el rendimiento de nuestro modelo.

Arquitectura y Entrenamiento del Modelo

Una vez que tuvimos listas las historias del endpoint, pasamos a entrenar nuestro modelo. Utilizamos un LLM de última generación, afinándolo para centrarnos en problemas de ciberseguridad. El modelo aprendió a identificar si una historia del endpoint era benigna o un posible ataque HOK.

Para manejar historias largas del endpoint, dividimos el texto en secciones más pequeñas, llamadas ventanas. Creamos embeddings para cada ventana usando un LLM preentrenado y los pasamos a través de un modelo de clasificación. Probamos dos técnicas de entrenamiento:

  1. Entrenar tanto el modelo de ventana como la clasificación juntos.
  2. Entrenar el modelo de embeddings por separado y luego clasificar la información.

Para el primer método, utilizamos un modelo más pequeño que pudiera manejar todo el registro de seguridad como un lote. En el segundo método, aprovechamos un LLM diferente para crear embeddings para las ventanas y luego concatenamos estos para la clasificación.

Métricas de Rendimiento del Modelo

Evaluamos nuestros modelos usando datos del mundo real de sistemas EDR en producción. Nuestra métrica principal para evaluar qué tan bien el modelo detecta ataques HOK es la Tasa de verdaderos positivos (TPR) a una baja Tasa de Falsos Positivos (FPR). Esto es importante porque las falsas alarmas pueden interrumpir las operaciones y frustrar a los usuarios. También observamos el puntaje del Área Bajo la Curva de Características Operativas del Receptor (AUC), que da una idea general del rendimiento del modelo.

Comparásemos nuestros modelos con un modelo de clasificación popular llamado LightGBM. Si bien LightGBM tuvo un buen puntaje AUC, no funcionó tan bien en la detección de ataques HOK con alta precisión. Nuestros enfoques LLM, especialmente el modelo con arquitectura de transformador, mostraron un mejor rendimiento independiente, ofreciendo una mayor precisión y menores tasas de falsos positivos.

Conclusión

Esta investigación marca un avance significativo en la detección de ciberataques HOK. Al usar LLMs para analizar historias estructuradas del endpoint, hemos demostrado que es posible diferenciar de manera efectiva entre acciones benigna y amenazas potenciales. Nuestros experimentos ilustraron que los LLMs pueden superar los métodos tradicionales, proporcionando mejor precisión mientras mantienen bajos los falsos positivos.

A lo largo de este estudio, enfrentamos varios desafíos, como transformar datos complejos del endpoint en un formato adecuado y establecer un proceso de entrenamiento que acomode entradas de contexto más largas. Nuestro trabajo muestra cómo las herramientas avanzadas de aprendizaje automático pueden mejorar enormemente las defensas de ciberseguridad.

Trabajo Futuro

Hay muchos caminos de investigación futura potenciales. Mejorar cómo los LLMs toman decisiones, reducir los recursos necesarios para el entrenamiento y uso, y refinar continuamente los modelos para mantenerse al día con las tácticas cambiantes de los cibercriminales son áreas esenciales para una exploración continua. Experimentar con diferentes técnicas para detectar contextos largos también podría llevar a más mejoras en las estrategias de ciberseguridad.

Fuente original

Título: Towards Automatic Hands-on-Keyboard Attack Detection Using LLMs in EDR Solutions

Resumen: Endpoint Detection and Remediation (EDR) platforms are essential for identifying and responding to cyber threats. This study presents a novel approach using Large Language Models (LLMs) to detect Hands-on-Keyboard (HOK) cyberattacks. Our method involves converting endpoint activity data into narrative forms that LLMs can analyze to distinguish between normal operations and potential HOK attacks. We address the challenges of interpreting endpoint data by segmenting narratives into windows and employing a dual training strategy. The results demonstrate that LLM-based models have the potential to outperform traditional machine learning methods, offering a promising direction for enhancing EDR capabilities and apply LLMs in cybersecurity.

Autores: Amit Portnoy, Ehud Azikri, Shay Kels

Última actualización: 2024-08-04 00:00:00

Idioma: English

Fuente URL: https://arxiv.org/abs/2408.01993

Fuente PDF: https://arxiv.org/pdf/2408.01993

Licencia: https://creativecommons.org/licenses/by/4.0/

Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.

Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.

Enlaces de referencia
Temas referenciados

Artículos similares