專家介紹

在前面的文章中，我們從“攻防”視角探討了ChatGPT對網絡安全攻擊領域的影響。今天，我們來看看ChatGPT有沒有不擅長的事情。

ChatGPT可以通過基于自然語言處理技術的模型、情景模型和語言模型來識別惡意代碼，那么ChatGPT能否識別惡意域名呢？

惡意域名是指黑客利用域名注冊服務商來注冊的域名，這些域名可能用于攻擊用戶的網絡安全或者可能用于傳播惡意程序。

惡意域名的識別是一項非常重要的網絡安全技術，用來檢測和防止可能存在的攻擊行為。當用戶訪問一個域名時，可以使用域名黑名單服務來檢查這個域名是否是惡意域名。這些域名黑名單服務會定期更新，可以檢測出最新注冊的惡意域名。

首先，我們選擇finalshell.nl域名，該域名被用于Sysrv-hello僵尸網絡，Sysry-hello是一個Windows和Linux雙平臺挖礦木馬。

下圖是華為情報平臺給出的域名識別結果，將其判定為惡意域名。

接下來，我們讓ChatGPT識別。

繼續追問理由，ChatGPT給出的理由是：根據VirusTotal的報告，該域名未被任何安全引擎標記為惡意。

然后，我們查詢了VirusTotal的域名識別結果：

VirusTotal給出的結果是部分惡意，但是ChatGPT直接判定為非惡意。是不是過于武斷了？

接下來我們看看ChatGPT識別DGA域名。

DGA域名是一種由僵尸網絡惡意軟件生成的隨機域名，用于控制僵尸網絡的惡意活動。它們的特點是每次生成的域名都不一樣，這樣惡意軟件就可以持續運行，而不會被防火墻或其他安全解決方案檢測到。

下圖是華為情報平臺給出的域名識別結果，將其判定為惡意DGA域名。

將該域名交給ChatGPT判定：

它的回答讓我很吃驚。看來ChatGPT給出的不都是“非黑即白”的回答，也有“無法判斷”的未知類型的回答。這個回答就涉及到AI領域的難題——開集識別。

開集識別簡單定義是，一個在訓練集上訓練好的模型，當利用一個測試集進行測試時，如果輸入已知類別數據，輸出具體的類別，如果輸入的是未知類別的數據，則進行合適的處理（識別為Unknown）。

在網絡安全領域，發現未知威脅并及時阻斷是當前安全用戶面臨的重要挑戰。傳統基于簽名的檢測很難發現未知威脅，而隨著人工智能技術的迅速發展，越來越多的安全廠商開始將AI應用于威脅檢測中。其中，開集識別是AI領域的一個難題，安全攻擊識別問題大多是基于有監督的傳統AI分類模型，以下圖惡意文件檢測為例，這種模型只能給出“非黑即白”的回答，沒有“我不知道”這個結果。

而ChatGPT在識別DGA惡意域名的時候，卻給出了“無法判斷”這個表明是未知類型的回答，這就超出了傳統AI分類模型的認知。

綜上，ChatGPT識別惡意域名的能力為★☆☆☆☆，但是其開集識別能力在未知威脅檢測中將會發揮很大的潛力。

最后，結合前面兩篇文章的分析，我們回顧總結下ChatGPT的能力：

綜合以上能力，ChatGPT在網絡安全產品領域可以發揮作用的方面有：

當前業界還沒有用可解釋的AI分類模型來識別惡意文件，因此如何利用大型模型結合“二進制匯編語言”上下文，獲得更具可解釋性和準確性的惡意文件分類結果，以及如何將開集識別技術用于未知文件的識別，是當前AI技術面臨的兩大挑戰。

當前惡意文件的逆向分析嚴重依賴人工，需要安全從業人員長期累積知識經驗，而ChatGPT擅長于結合代碼上下文的分析任務，使用大模型進行逆向分析是一個很理想的選擇。

由于域名類數據非常豐富，容易生成精準率更高的大模型。例如，在DGA域名識別領域，單詞拼接組成的DGA域名很難識別，但由于大模型擁有更多類型的數據，因此采用大模型之后，可能可以解決這一難題。

智能運營能夠解決SOC類產品面臨的巨量事件和難以運營兩個難題。它能夠自動研判安全告警，并為安全運營提出處置建議，自動化生成運營報告，這也是大模型值得探索的一個方向。