AI-drivna honeypots
Honeypots är datorer som efterliknar verkliga datorsystem för att locka angripare och avslöja deras verktyg och metoder. Kan AI förbättra honeypots förmåga att vilseleda angripare och därmed stärka cybersäkerheten ytterligare?
Motivering
Alla system – oavsett om det är ett hem, ett kassaskåp eller ett nätverk av datorer – kan brytas upp med tillräckligt mycket tid, ansträngning och resurser. För att skydda ett system måste vi skapa en asymmetri: ansträngningen som krävs för att framgångsrikt angripa systemet ska vara så stor att det inte blir värt arbetsinsatsen. Cybersäkerhet handlar om att säkerställa konfidentialitet, integritet och tillgänglighet för uppkopplade datorresurser. För att försvara mot kända attackmetoder är befintliga cybersäkerhetsverktyg ganska effektiva. Till exempel används signaturer av kända attackmönster i automatiserade detekterings- och förebyggande teknologier.
Denna trend förstärks ytterligare av väletablerade och automatiserade sätt att sprida motmedel. Att upptäcka och förhindra zero-day-attacker – helt nya och tidigare okända sårbarheter – är dock ofta omöjligt. Som ett resultat tvingas de mest drivna hackargrupperna at utveckla skräddarsydda, nya attackmetoder, vilket är en kostsam process. Dessa värdefulla zero-day-verktyg blir obrukbara så snart de upptäcks och åtgärdas.
Detta gör att angripare tvekar att använda dyra tekniker av rädsla för exponering och istället sparar dem till noggrant utvalda mål. Det är här metoder för att lura angriparna kommer in i bilden: genom att simulera mycket attraktiva mål får angriparna incitament att använda och därmed “förbruka” sina zero-day exploits, vilket ökar kostnaden för hacking.
Honeypots är datorsystem utformade för att efterlikna verkliga miljöer som lockar angripare att avslöja sin närvaro eller sina verktyg. Detta projekt syftar till att förbättra honeypots med hjälp av AI för att få mer information om angrepp. Eftersom all aktivitet på en honeypot sannolikt kommer från en angripare, möjliggör det observation av deras tekniker, taktik och metoder, vilket hjälper till att anpassa försvaret proaktivt.
Bakgrund
Hur framgångsrik en honeypot är beror på dess förmåga att locka till sig och på ett övertygande sätt vilseleda angripare. Honeypotens konfiguration - inklusive dess nätverksposition, tjänster, de säkerhetsverktyg som används och dess innehåll - kan avslöja att det bara handlar om ett lockbete.
Detta projekt har som mål att använda AI för att förbättra honeypotens trovärdighet, vilket maximerar insamlingen av hotinformation. Med kontinuerlig data från honeypoten kan AI användas för att dynamiskt uppdatera dess konfiguration, vilket optimerar effektiviteten.
Stora språkmodeller (LLM) erbjuder en spännande möjlighet att förbättra interaktionen med honeypots. Skulle en LLM till exempel kunna justera honeypotens beteende dynamiskt för att locka angripare att avslöja sina verktyg? Även om viss forskning har utforskat LLM-drivna honeypots, är nuvarande kunskap fortfarande i sin linda. Hittills har forskningen bara använt LLM:er på kommandoradsnivå och förbisett andra kritiska aspekter som nätverkskonfiguration och tillgängliga tjänster, vilket är nyckeln till att skapa en övertygande honeypot.
Utmaningar
Den centrala forskningsfrågan i detta projekt är att avgöra vilka AI-tekniker som ska användas - och hur de ska tillämpas - för att utveckla honeypotsystem mot ökad realism och bättre underrättelse kring hot.
Stora språkmodeller (LLM) kan visa sig ineffektiva för vissa aspekter av honeypots, eller till och med alla. Forskning behövs för att förstå när och hur LLM:er kan användas för att förbättra en honeypots funktionalitet.
Att utforma och konstruera ett system som är både konfigurerbart och självanpassande är en annan viktig utmaning. Att bygga en arkitektur som stöder skalbar driftsättning är avgörande för bred datainsamling. Dessutom måste det utplacerade honeypotsystemet innehålla en feedbackloop för lärande, så att systemet kan anpassas över tid.
En kritisk komponent i systemets inlärningsprocess och löpande utvärdering är förmågan att kvantitativt mäta hur framgångsrik honeypoten är. Att utarbeta mätetal för framgång är en del av projektet.
Att använda federerat lärande i denna tillämpning innebär unika utmaningar, särskilt när det gäller att säkerställa integriteten för nätverksdata och att förhindra övergeneralisering av instansspecifika detaljer.
Syfte
Vår forskning syftar till att utveckla ett AI-förstärkt honeypot-system med följande mål:
- Lärande: Honeypot-systemet bör förbättra sin förmåga att samla in hotinformation över tid. Det måste kontinuerligt lära sig av den data det samlar in och uppdatera sig i utifrån lärandet.
- Federerat lärande: Ett viktigt mål är att göra det möjligt för federerade system av honeypots att lära av varandra utan att läcka känslig, nätverksspecifik data. Privata inlärningstekniker kan krävas för att skydda denna känsliga information. Målet är att ge olika säkerhetsteam, som ofta inte samarbetar, möjlighet att kollektivt förbättra sin hotinformation utan att äventyra deras individuella säkerhet.
- Formförändring: Honeypots som simulerar olika miljöer - t.ex. webbservrar eller system som övervakar industriella tillämpningar - måste anpassas till de specifika behoven i varje miljö. I idealfallet behövs begränsad domänexpertis för att distribuera honeypotsystemet i nischmiljöer, eftersom det med tiden bör lära sig vad som fungerar och inte i varje enskilt sammanhang.
Förväntade utfall
- Ett AI-förstärkt honeypot-system med öppen källkod på TRL 4 (en testad prototyp). Systemet ska i bästa fall ha visat sig framgångsrikt olika systemdistributioner (t.ex. en webbserver, en edge-enhet som används i fordonssektorn, sjukvårdsutrustning). Baserat på våra framgångsmått bör systemet testas i jämförelse med den senaste tekniken och uppvisa betydande fördelar.
- Akademiska publikationer och presentationer som sprider resultaten
Fakta
Finansiering: Vinnova
Total projektbudget: 4 028 600 SEK
Projektperiod: Juni 2024 - Juni 2026
Deltagare: AI Sweden, Volvo Group, Aixia AB, Västra Götalandsregionen (VGR), Scaleout Systems AB and Dakota State University