Détecter les attaques au clavier avec des modèles de langage
Améliorer la détection des menaces en utilisant des LLM pour analyser l'activité des points de terminaison.
― 8 min lire
Table des matières
La cybersécurité est un gros sujet de préoccupation à l'ère numérique d'aujourd'hui. Avec de plus en plus de gens et d'organisations qui utilisent la technologie, ils font face à plus de menaces cybernétiques. L'un des types d'attaques les plus délicates s'appelle les attaques "Hands-on-Keyboard" (HOK). Dans ces attaques, les hackers interagissent directement avec les systèmes informatiques de leur cible. Ça rend difficile pour les pros de la sécurité de détecter et d'arrêter ces attaques, car elles impliquent souvent beaucoup de planification et de techniques astucieuses.
Méthodes de Détection Traditionnelles
Avant, les méthodes de cybersécurité s'appuyaient principalement sur la reconnaissance de motifs connus d'activités malveillantes. Quand un système voit quelque chose qui correspond à un mauvais motif, il lance une alerte. Mais les attaques HOK sont compliquées parce qu'elles utilisent souvent de nouvelles techniques qui ne rentrent pas dans ces motifs connus. Une autre approche est la détection d'anomalies, qui cherche des comportements inhabituels. Pourtant, cette méthode a aussi du mal avec les attaques HOK car elles peuvent être subtiles, ce qui génère beaucoup de fausses alertes.
À cause des limites de ces méthodes traditionnelles, il y a un intérêt grandissant pour l'utilisation de technologies plus avancées. L'Apprentissage automatique (ML) et l'intelligence artificielle (IA) offrent de nouvelles manières de détecter ces menaces. Le ML peut apprendre des données passées pour reconnaître des motifs et prédire des actions futures, rendant ainsi la détection des attaques HOK plus efficace.
Le Rôle des Grands Modèles de Langage
Les Grands Modèles de Langage (LLMs) montrent un grand potentiel pour les tâches liées à la cybersécurité. Ces modèles, comme la série GPT d'OpenAI, sont formés sur une grosse quantité de données textuelles et peuvent comprendre et générer un langage proche de celui des humains. Cette capacité pourrait être utile en cybersécurité, car les LLMs peuvent traiter et analyser les énormes volumes de données textuelles non structurées générées par les systèmes de sécurité, comme les journaux et les alertes.
En utilisant des LLMs, les pros de la sécurité peuvent mieux identifier les motifs et les histoires dans les données qui pourraient indiquer une attaque HOK. Cela peut mener à une détection améliorée par rapport aux systèmes traditionnels.
Notre Approche de la Cybersécurité
Dans cette étude, on a exploré comment intégrer les LLMs dans les systèmes de Détection et réponse des points de terminaison (EDR) pour améliorer la détection des attaques HOK. On a développé une nouvelle méthode qui transforme les données d'activité des points de terminaison en récits structurés, qu'on appelle "histoires de points de terminaison". Ces histoires résument les événements de sécurité de manière claire, facilitant leur analyse par les LLMs et permettant de faire la différence entre les activités normales et les menaces potentielles.
Cependant, gérer la complexité et le volume des données des points de terminaison est un vrai défi. On a aussi besoin que les LLMs interprètent le langage technique avec précision et maintiennent une haute exactitude pour éviter les faux positifs. De plus, l'analyse en temps réel est cruciale en cybersécurité, ce qui signifie qu'on doit aussi réfléchir à la rapidité avec laquelle les LLMs peuvent répondre.
Préparation et Collecte des Données
La première étape de notre approche est de préparer et de collecter soigneusement les données de sécurité des points de terminaison. On a rassemblé un gros ensemble de données de journaux de points de terminaison, qui incluent des enregistrements détaillés de divers types d'événements de sécurité. Ces journaux sont composés d'événements bruts, d'observations de sécurité par des experts et de scores de modèles ML détectant des activités potentiellement malveillantes.
Après avoir collecté les données, on s'est assuré qu'elles ne contiennent pas d'informations personnelles tout en gardant des détails importants pour l'analyse. On a ensuite transformé les journaux en histoires de points de terminaison structurées qui illustrent clairement la séquence et le contexte des événements.
Le processus de transformation comprend plusieurs étapes :
- Agrégation des Preuves : On collecte et trie les événements en fonction du moment où ils se sont produits.
- Filtrage : On retire les événements qui n’aident pas à identifier les attaques HOK.
- Reformulation : On formate les preuves de manière cohérente pour plus de clarté.
- Dé-duplication : On regroupe les événements similaires pour raccourcir les histoires.
- Normalisation : On simplifie les références aux entités longues, comme les noms de fichiers.
Pour entraîner notre modèle, on a collecté des exemples d'histoires de points de terminaison malveillantes et bénignes. On a utilisé des données d'incidents révisés par des experts en sécurité pour les cas malveillants et des cas moins suspects basés sur des alertes système pour les exemples bénins. On a divisé les données en ensembles d'entraînement et de test pour évaluer les performances de notre modèle.
Architecture du Modèle et Entraînement
Une fois qu'on a préparé les histoires de points de terminaison, on est passé à l'entraînement de notre modèle. On a utilisé un LLM de pointe, le perfectionnant pour se concentrer sur les questions de cybersécurité. Le modèle a appris à identifier si une histoire de point de terminaison était bénigne ou une potentielle attaque HOK.
Pour gérer les longues histoires de points de terminaison, on a divisé le texte en sections plus petites, appelées fenêtres. On a créé des embeddings pour chaque fenêtre en utilisant un LLM pré-entraîné et on les a passés à travers un modèle de classification. On a essayé deux techniques d'entraînement :
- Entraîner à la fois le modèle de fenêtre et la classification ensemble.
- Entraîner le modèle d'embedding séparément, puis classifier l'information.
Pour la première méthode, on a utilisé un plus petit modèle qui pouvait gérer l'ensemble du journal de sécurité en une seule fois. Dans la deuxième méthode, on a tiré parti d'un autre LLM pour créer des embeddings pour les fenêtres, puis on a concaténé ceux-ci pour la classification.
Métriques de Performance du Modèle
On a évalué nos modèles en utilisant des données réelles provenant de systèmes EDR en production. Notre principale métrique pour évaluer la capacité du modèle à détecter les attaques HOK est le Taux de Vrais Positifs (TPR) à un faible Taux de Faux Positifs (FPR). C'est important parce que les fausses alarmes peuvent perturber les opérations et frustrer les utilisateurs. On a aussi regardé le score de l'Aire Sous la Courbe du Caractère de Fonctionnement du Récepteur (AUC), qui donne une idée globale des performances du modèle.
On a comparé nos modèles à un modèle de classification populaire appelé LightGBM. Bien que LightGBM ait eu un bon score AUC, il n’a pas bien fonctionné pour détecter les attaques HOK avec une grande précision. Nos approches LLM, en particulier le modèle avec l'architecture de transformateur, ont montré de meilleures performances autonomes, offrant une précision améliorée et des taux de faux positifs plus bas.
Conclusion
Cette recherche représente un avancement significatif dans la détection des cyberattaques HOK. En utilisant des LLMs pour analyser des histoires de points de terminaison structurées, on a prouvé qu'il est possible de différencier efficacement entre des actions bénignes et des menaces potentielles. Nos expériences ont montré que les LLMs peuvent surpasser les méthodes traditionnelles, offrant une meilleure précision tout en maintenant un faible nombre de faux positifs.
Tout au long de cette étude, on a relevé plusieurs défis, comme transformer des données de points de terminaison complexes en un format adapté et établir un processus d'entraînement qui s'accommode de longues entrées contextuelles. Notre travail montre comment des outils d'apprentissage automatique avancés peuvent vraiment améliorer les défenses en cybersécurité.
Travaux Futurs
Il y a plein de pistes de recherche à explorer à l'avenir. Améliorer la façon dont les LLMs prennent des décisions, réduire les ressources nécessaires à l'entraînement et à l'utilisation, et affiner continuellement les modèles pour suivre les tactiques changeantes des cybercriminels sont tous des domaines essentiels à explorer. Expérimenter avec différentes techniques pour détecter de longs contextes pourrait aussi mener à de nouvelles améliorations dans les stratégies de cybersécurité.
Titre: Towards Automatic Hands-on-Keyboard Attack Detection Using LLMs in EDR Solutions
Résumé: Endpoint Detection and Remediation (EDR) platforms are essential for identifying and responding to cyber threats. This study presents a novel approach using Large Language Models (LLMs) to detect Hands-on-Keyboard (HOK) cyberattacks. Our method involves converting endpoint activity data into narrative forms that LLMs can analyze to distinguish between normal operations and potential HOK attacks. We address the challenges of interpreting endpoint data by segmenting narratives into windows and employing a dual training strategy. The results demonstrate that LLM-based models have the potential to outperform traditional machine learning methods, offering a promising direction for enhancing EDR capabilities and apply LLMs in cybersecurity.
Auteurs: Amit Portnoy, Ehud Azikri, Shay Kels
Dernière mise à jour: 2024-08-04 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2408.01993
Source PDF: https://arxiv.org/pdf/2408.01993
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.