打赢攻防持久战,请看大模型X蜜罐实用锦囊
·
常态化攻防演练将至,身处战场的师傅们应该都能体会,面对隐蔽、持续的攻击和长期潜伏的敌人,“人海战术”和“努力努力再努力”绝不是打赢网络安全持久战的明智选择。尤其是当AI技术的涌现让攻击变得自动化、智能化、武器化,防守方该如何应对这令人焦虑的一仗?
不少走在前沿的防守单位准备充分,左手安全设备,右手是新鲜采购的安全大模型,用AI对抗AI总能一战。可是新的焦虑又来了,这个家家鼓吹的新工具要用在哪里?怎样才能用出效果?
此篇文章将以攻防演练中红极一时的炸子鸡“蜜罐”为例,分享一些让你手里的安全大模型变好用的实用干货。
PART 1
落地第一问
安全大模型✖️蜜罐
能碰撞出哪些场景?
0****1
自动化分析各类攻击流量
区别于其他安全产品,蜜罐捕获的流量一般都是非法流量,当捕获的流量日志庞大时,会包含大量无关数据(如扫描器、僵尸网络、爬虫等干扰流量),需要人为额外进行筛选和分析。针对这个痛点,安全大模型可以根据已有的攻击流量信息来判断攻击真实度,并识别分析不同攻击类型(如SQL注入、文件上传、勒索流量等),将需要重点关注的攻击源反馈给运营团队,节约人力、提升分析效率。
0****2
多种诱饵复杂度和逼真度提升
随着攻击者能力水平的提升,识别出蜜罐及诱饵的几率更高,蜜罐效果难以体现。未知攻焉知防,我们借鉴了攻击者社工的伪装思路,通过安全大模型提升诱饵的复杂度与真实度,生成业务相似度更高的诱饵数据,使其更难被识别,提高蜜罐的有效性。此策略不仅实现了诱饵的多维度构建,还可以应用在多种诱饵类型,如:钓鱼邮件中,通过对内容与风格的精准模仿,提高诱导成功率,以及仿真服务器终端历史记录、浏览器历史记录,模拟真实用户交互内容,提高诱饵的真实性。
0****3
各类复杂蜜罐仿真制作
企业仿真蜜罐往往才是溯源攻击者的关键蜜罐,因为它具备真实的交互能力,甚至存在真实的业务数据和不同的漏洞信息,然而这样复杂的蜜罐在开发、部署、维护等阶段都需要投入大量的人力来保持蜜罐的复杂性和真实性。面对这样的问题,可以在复杂蜜罐制作过程中使用蜜罐的智学习功能进行数据爬取,并添加安全大模型生成的漏洞信息、账户信息、业务数据等虚假信息,将其封装成企业仿真蜜罐,这样不仅减少了仿真蜜罐的制作成本,还可以降低蜜罐维护成本。
PART 2
落地第二问
如何让大模型****更好用?
**关键诀窍是高质量的提示词。**提示词在使用大语言模型中至关重要,因为它们提供明确的上下文和任务目标,优化生成过程,控制输出风格和格式,并确保内容一致性。高质量的提示词能显著提升模型性能,使输出更精准、实用且符合预期。在不同场景下使用大语言模型,通常第一步即为设置不同的提示词。
那么如何写好提示词呢?
**推荐使用Co-Star框架来构建提示词,即:(C) Context 上下文、(O) Objective 目标、(S) Style 风格、(T) Tone 语气、(A) Audience 受众、(R) Response响应。**在长亭谛听(D-Sensor) 伪装欺骗系统和问津(ChaitinAI)安全大模型的联合场景中,主要就应用了Co-Star框架进行了不同的提示词编写。
思路清楚了,接下来奉上上述几个蜜罐场景中的部分提示词及对应输出效果,复制就能用!
PS:如果希望获取大模型更多安全场景下的提示词,可扫描文末试用二维码~
PART 3
蜜罐场景
提示词****及输出效果范例
01
日志分析场景
#
攻击载荷分析
# 角色
·
**
攻击情况分析
**
# 角色描述
·
02
诱饵文件生成场景
#
邮件诱饵
# 角色
·
#
服务器历史记录诱饵
# 角色
·
03
复杂蜜罐制作与响应
#
智能终端蜜罐生成
# 角色
·
#
智能响应
# Character
·
以上场景与提示词示范均沉淀于长亭谛听(D-Sensor) 伪装欺骗系统和问津(ChaitinAI)安全大模型联动应用实践。
**问津(ChaitinAI)**将⻓亭独家攻防知识能⼒与⼈⼯智能技术结合,可融⼊已有安全体系中整合碎⽚化的信息和安全⼯具,在任意场景快速应⽤,作为全天待命的⼈⼯智能安全平台,全⾯提升安全运营效率。产品具备恶意请求智能分析、恶意文件智能检测、智能事件研判、安全知识智能问答等功能,可通过独立页面直接访问使用,或集成到长亭及三方的平台中,灵活配置场景应用。
**谛听(D-Sensor)**是国内第一款基于Deception技术研发出的伪装欺骗系统,通过在关键入侵路径上部署诱饵和陷阱,诱导攻击者攻击伪装目标,远离真实资产,并对攻击者做取证和追踪溯源,解决网络防护难以察觉、难以明确、难以追溯三大问题,提升企业的主动防御能力。业内独享智学习方案,可以学习复杂的动态响应,并基于现有各类伪装服务并快速生成一张蜜网,大大提高欺骗防御的部署效率和伪装效果。
本文特别致谢:杨子帆 张飞
