AI-drivna honeypots

Motivering

Cybersäkerhet präglas i grunden av asymmetri. Alla system kan penetreras om tillräckligt med tid och resurser satsas; försvararens mål är därför att göra ett angrepp så kostsamt som möjligt. Traditionella säkerhetsverktyg är effektiva mot kända hot, men brister ofta när det gäller zero-day-attacker – nya sårbarheter som kan kringgå standardiserad detektion. Angripare betraktar dessa zero-day-verktyg som högt värderade tillgångar och använder dem sparsamt för att undvika upptäckt.

Med driftsatta skensystem som efterliknar högvärdiga mål kan vi skapa incitament för angripare att “bränna” sina mer värdefulla attacker i en kontrollerad miljö. Detta skyddar verkliga tillgångar samtidigt som vi kan observera och analysera angriparens verktyg, taktik och procedurer i realtid.

Bakgrund: AI:s potential

Generativ AI och stora språkmodeller (LLM:er) används nu för att skapa AI-drivna hackeragenter. Under 2025 observerades den första LLM-drivna hackern i verkliga miljöer. För att möta utmaningen fokuserar detta projekt på att förstärka honeypots med AI.

Även om studier visar att LLM:er kan öka interaktiviteten hos en honeypot är dagens lösningar ofta otillräckliga mot skickliga hackare, onödigt komplicerade för angrepp från automatiserade botar. Vår forskning syftar till att överbrygga denna klyfta genom att fastställa exakt hur och när AI bör användas för att i högsta grad efterlikna verkliga system och möjligheterna till kunskapsinhämtning av hot.

Forskningsutmaningar

Centrala tekniska och teoretiska utmaningar som krävs för att ta LLM-honeypots från koncept till implementering:

• Dynamisk anpassning: Utforma system med kontinuerlig återkoppling som uppdaterar konfiguration och ”personlighet” för att matcha angriparens skicklighetsnivå.
• Mätning: Utveckla kvantitativa mått för att effektivt kunna bedöma hur framgångsrik en skenmanöver är.
• Federated learning: Lösa de integritetsutmaningar som uppstår när distribuerade honeypots får möjlighet att lära sig av varandra, utan att avslöja nätverksspecifik data.

​​Projektmål

Vår forskning syftar till att utveckla ett robust AI-förstärkt honeypot-system med följande specifika mål:

• Lärande: Systemet ska självständigt förbättra sina insamlingsförmågor baserat på återkommande interaktioner med angripare.
• Federated learning: Vi strävar efter att möjliggöra lärande mellan honeypots hos olika organisationer utan att avslöja privat och nätverksspecifik data.
• Angreppsmodellering: Projektet syftar till att omvandla rådata från interaktioner med angripare till uppdaterade modeller över deras tekniker, i syfte att underbygga bredare försvarsstrategier.

Förväntade resultat

När projektet är avslutat syftar det till att leverera:

• Systematisering av kunskap: En sammanställning av den snabbt växande forskningen om LLM:er inom skensystem för att identifiera viktiga utvecklingsområden.
• Empiriskt beprövade konfigurationsstrategier: Validerade funktioner för att konfigurera LLM-honeypots, specifikt genom att bidra till det öppna Beelzebub-projektet.
• Publika dataset: Attackmärkta dataset för att stödja forskarsamhället i studier av LLM-drivna angripare och försvar.
• Automatiserad taktik-märkning: Supervised learning-modeller utformade för korrekt klassificering av cyberattackstaktiker på området.
• Insikter från generativ modellering: Inledande studier kring användning av generativ AI för attackmodellering.
• Resultatspridning: Akademiska publikationer och presentationer som beskriver systemets arkitektur och forskningsresultat.

(Beelzebub är ett community-drivet open‑source‑honeypot-ramverk med AI för angriparbeteende; mer info på https://github.com/mariocandela/beelzebub)

För mer information, kontakta