Melhorando a Classificação de URLs com Modelos de Linguagem
Um novo método usa modelos de linguagem pra melhorar a avaliação de segurança de URLs.
Fariza Rashid, Nishavi Ranaweera, Ben Doyle, Suranga Seneviratne
― 7 min ler
Índice
- A Importância da Classificação de URLs
- Desafios nos Métodos Atuais
- O Papel dos Modelos de Linguagem Grande (LLMs)
- Estrutura Proposta para Classificação de URLs
- Componentes Principais da Estrutura
- Avaliação Experimental
- Conjuntos de Dados Usados
- Resultados
- Métricas de Desempenho
- Qualidade das Explicações
- Limitações e Direções Futuras
- Conclusão
- Fonte original
- Ligações de referência
URLs maliciosos são um grande problema para a segurança online. Esses links podem levar a ataques de Phishing, onde os atacantes tentam enganar as pessoas pra que elas revelem informações pessoais. Embora já existam muitos métodos para classificar URLs como seguras ou perigosas, eles costumam ter dificuldade em se adaptar e explicar suas decisões de forma clara.
Esse artigo fala sobre uma nova abordagem usando Modelos de Linguagem Grande (LLMs) pra classificar URLs de um jeito que seja preciso e fácil de entender. Usando uma técnica chamada aprendizado de uma única amostra, o método proposto consegue avaliar uma URL eficazmente com muito pouca informação prévia. Essa abordagem também visa fornecer Explicações claras para cada Classificação, ajudando os usuários a entenderem porque uma URL é considerada segura ou maliciosa.
A Importância da Classificação de URLs
Ataques de phishing são uma grande preocupação na cibersegurança. Relatos indicam que as tentativas de phishing aumentaram 40% recentemente, com milhões de tentativas bloqueadas. Dado o crescimento rápido desses ataques, métodos tradicionais como simplesmente manter listas negras de URLs prejudiciais não são suficientes. Esses métodos muitas vezes falham em acompanhar novas ameaças.
As técnicas de aprendizado de máquina existentes tentam detectar URLs de phishing principalmente observando características específicas das URLs e dados associados. Muitos desses métodos ficam aquém, especialmente quando se deparam com novas táticas de phishing. Normalmente, eles também não fornecem explicações para suas decisões, o que pode deixar os usuários inseguros sobre a segurança de uma URL.
Desafios nos Métodos Atuais
Um problema grande nos sistemas de detecção de URLs existentes é a dependência de conjuntos de dados de treinamento específicos. Quando os modelos são treinados em um conjunto limitado de exemplos, eles costumam ter dificuldades em classificar novas URLs que sejam um pouco diferentes das que foram treinadas. Isso é conhecido como o problema de generalização. Um problema relacionado é a adaptação de domínio, onde um modelo treinado em um contexto não consegue aplicar facilmente seu aprendizado em outro.
Além disso, a falta de explicações claras para as classificações de URLs pode gerar confusão. Os usuários precisam entender porque uma URL é classificada como segura ou prejudicial pra se protegerem efetivamente. Sem explicações adequadas, os indivíduos podem ignorar os avisos ou se tornarem excessivamente cautelosos, o que pode atrapalhar o uso efetivo da internet.
O Papel dos Modelos de Linguagem Grande (LLMs)
Modelos de Linguagem Grande mostraram potencial em várias aplicações, incluindo geração e compreensão de texto. A ideia é usar esses modelos pra classificar URLs e explicar seu raciocínio em termos simples e compreensíveis. Esse método aproveita o vasto treinamento do modelo em dados diversos da internet, permitindo que ele tenha uma noção mais ampla sobre URLs legítimas e de phishing.
Utilizar LLMs para classificação de URLs combina entender as preocupações dos usuários sobre segurança online com técnicas avançadas de aprendizado de máquina. Essa abordagem pode levar a um desempenho melhor em reconhecer URLs prejudiciais e fomentar a confiança dos usuários através de explicações mais claras.
Estrutura Proposta para Classificação de URLs
A estrutura proposta usa um método simples, mas eficaz, de solicitar ao LLM uma URL específica e pedir pra ele fornecer sua classificação e uma explicação. O modelo é solicitado a considerar características que possam indicar se uma URL parece benigna (segura) ou de phishing (prejudicial).
O aspecto de aprendizado de uma única amostra significa que apenas um exemplo de cada tipo é necessário durante o processo de classificação, o que torna tudo mais eficiente. Dessa forma, o modelo não precisa de uma quantidade enorme de dados de treinamento pra fazer previsões precisas.
Componentes Principais da Estrutura
Estratégia de Solicitação: A estrutura utiliza um jeito específico de perguntar ao modelo sobre a classificação de uma URL. Dando instruções claras ao modelo, a probabilidade de receber respostas precisas e completas aumenta.
Raciocínio em Cadeia de Pensamento: A estrutura incentiva o modelo a pensar sobre seu raciocínio antes de chegar a uma conclusão. Esse processo permite que o modelo pese diferentes características da URL, ajudando-o a tomar uma decisão bem informada.
Avaliação e Explicação: Após a classificação, o modelo fornece uma breve explicação do seu raciocínio, o que aumenta a compreensão do usuário sobre a decisão de classificação.
Avaliação Experimental
Pra avaliar essa nova estrutura, os pesquisadores a testaram em três conjuntos de dados existentes, cada um contendo URLs benignas e de phishing. Compararam o desempenho dos LLMs com modelos supervisionados tradicionais pra ver como eles conseguiam classificar URLs.
Conjuntos de Dados Usados
Conjunto de Dados ISCX-2016: Uma coleção de mais de 35.000 URLs benignas e quase 10.000 URLs de phishing coletadas de vários locais na web.
Conjunto de Dados EBBU-2017: Composto por mais de 36.000 URLs benignas e mais de 37.000 URLs de phishing.
Conjunto de Dados HISPAR-Phishstats: Uma mistura de URLs benignas e de phishing coletadas pra representar diferentes fontes da internet.
Resultados
A avaliação mostrou que a estrutura proposta usando LLMs foi capaz de alcançar alta Precisão na classificação de URLs, muitas vezes apresentando desempenho similar ao dos modelos supervisionados tradicionais. Um modelo específico, o GPT-4 Turbo, obteve os melhores resultados.
Métricas de Desempenho
Os pesquisadores mediram o desempenho usando a pontuação F1, que considera tanto o número de previsões corretas quanto o número de falsas. Foi constatado que os LLMs podiam alcançar pontuações F1 próximas às dos modelos totalmente supervisionados, indicando que eles conseguem classificar URLs de forma eficaz.
Qualidade das Explicações
Uma das principais vantagens de usar LLMs é a capacidade de fornecer explicações para suas classificações. Esse aspecto foi testado usando vários critérios:
- Legibilidade: Quão facilmente os usuários conseguem entender a explicação.
- Coerência: O fluxo lógico e a estrutura da explicação.
- Informatividade: Quão bem a explicação detalha o raciocínio por trás da classificação.
Os resultados revelaram que as explicações geradas pelos LLMs eram geralmente de alta qualidade, facilitando pra os usuários confiarem e entenderem o sistema.
Limitações e Direções Futuras
Embora a estrutura tenha mostrado potencial, houveram algumas limitações. A dependência apenas das características da URL pode deixar passar informações valiosas que poderiam vir de outras fontes de dados, como o conteúdo da página de destino ou listas negras conhecidas. Incorporar essas características adicionais poderia oferecer um mecanismo de proteção mais abrangente.
Outra consideração pro futuro é a exploração de modelos multimodais que poderiam analisar tanto texto quanto imagens do conteúdo da web associado. Essa capacidade permitiria uma compreensão mais profunda das URLs ao avaliar o conteúdo real por trás delas.
Conclusão
A estrutura proposta baseada em LLM e aprendizado de uma única amostra para classificação de URLs demonstra um passo significativo em direção a sistemas de detecção de phishing mais eficazes e amigáveis ao usuário. Com a capacidade de alcançar alta precisão enquanto fornece explicações claras, essa abordagem representa uma avenida promissora pra aprimorar medidas de segurança online.
Ao melhorar a compreensão de como e por que as URLs são classificadas, os usuários podem tomar decisões mais informadas, levando a uma experiência na internet mais segura. À medida que as ameaças online continuam a evoluir, a pesquisa e o desenvolvimento contínuos nessa área serão essenciais pra se manter à frente de atores maliciosos.
Título: LLMs are One-Shot URL Classifiers and Explainers
Resumo: Malicious URL classification represents a crucial aspect of cyber security. Although existing work comprises numerous machine learning and deep learning-based URL classification models, most suffer from generalisation and domain-adaptation issues arising from the lack of representative training datasets. Furthermore, these models fail to provide explanations for a given URL classification in natural human language. In this work, we investigate and demonstrate the use of Large Language Models (LLMs) to address this issue. Specifically, we propose an LLM-based one-shot learning framework that uses Chain-of-Thought (CoT) reasoning to predict whether a given URL is benign or phishing. We evaluate our framework using three URL datasets and five state-of-the-art LLMs and show that one-shot LLM prompting indeed provides performances close to supervised models, with GPT 4-Turbo being the best model, followed by Claude 3 Opus. We conduct a quantitative analysis of the LLM explanations and show that most of the explanations provided by LLMs align with the post-hoc explanations of the supervised classifiers, and the explanations have high readability, coherency, and informativeness.
Autores: Fariza Rashid, Nishavi Ranaweera, Ben Doyle, Suranga Seneviratne
Última atualização: 2024-09-21 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2409.14306
Fonte PDF: https://arxiv.org/pdf/2409.14306
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://www.vivscreisveci.vcirveseiaveesi.ghqphy.top/uWBRvZ8quj/page1.php
- https://reciclatex.com/ES/cx/home
- https://scholar.google.com.pk/citations?user=IkvxoFIAAAAJ&hl=en
- https://www.rt.com/tags/football/
- https://ctan.org/pkg/pifont
- https://www.youtube.com/premium
- https://www.dictionary.com/browse/lan
- https://allrecipes.com/Recipe/Midwest-Salisbury-Steak/Detail.aspx?soid=recs_recipe_9
- https://marlianstv.com/loan/office365/
- https://fb.manage-pages.com/
- https://reconciliation.americanexpress.com/
- https://drfone.wondershare.net/ad/
- https://scholar.google.com.ua/citations?user=r7GEXWwAAAAJ&hl=ru
- https://pizza.dominos.com/missouri/hollister/
- https://bonos-cmr.web.app/
- https://www.bartleby.com/309/201.html
- https://www.rakaseocsrou.raekotnonasero.ymifv0.icu/uWBRvZ8quj/page1.php