專家介紹

ChatGPT的核心優(yōu)勢(shì)是通過(guò)基于自然語(yǔ)言處理技術(shù)模型、情景模型和語(yǔ)言模型來(lái)自動(dòng)生成文章和代碼。在前面的文章中，我們從攻擊視角探討了ChatGPT對(duì)網(wǎng)絡(luò)安全的影響，本文將從防御視角來(lái)探討ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的作用，并進(jìn)行能力評(píng)估。

ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用主要有以下幾個(gè)方面：1.威脅檢測(cè)：（1）提取簽名規(guī)則（2）識(shí)別惡意代碼2.代碼審計(jì)：分析代碼漏洞3.威脅情報(bào)：從文本中提取情報(bào)4.安全運(yùn)營(yíng)：生成安全運(yùn)營(yíng)報(bào)告

威脅檢測(cè)：提取簽名規(guī)則

能力指數(shù)：★★★☆☆

眾所周知，GitHub上有大量開源的簽名規(guī)則，例如Yara、Sigma、ES等，可以用于威脅檢測(cè)。由于ChatGPT訓(xùn)練數(shù)據(jù)包含GitHub內(nèi)容，因此我們可以測(cè)試ChatGPT的規(guī)則提取能力。我們首先要求ChatGPT輸出檢測(cè)挖礦木馬的Sigma規(guī)則。作為一位專注于威脅檢測(cè)的從業(yè)者，我認(rèn)為上述答案缺乏細(xì)節(jié)，遠(yuǎn)沒(méi)有涵蓋全面，尤其是沒(méi)有提及數(shù)據(jù)采集的類型。于是我追加了問(wèn)題中的要求。這次給出的答案十分全面，但是檢測(cè)規(guī)則仍然不夠完善，經(jīng)過(guò)多次詢問(wèn)后，最終得出的檢測(cè)規(guī)則如下：這些規(guī)則雖然不能直接應(yīng)用于產(chǎn)品，但是對(duì)于威脅分析而言，能夠迅速掌握檢測(cè)規(guī)則的概貌，也算是一種很不錯(cuò)的幫助。 結(jié)論：

ChatGPT威脅檢測(cè)提取簽名規(guī)則的能力指數(shù)評(píng)分為★★★☆☆，勉強(qiáng)及格。

威脅檢測(cè)：識(shí)別惡意代碼

能力指數(shù)：★★★★☆

ChatGPT有能力理解和分析代碼，我們讓ChatGPT來(lái)分析下前一篇文章所生成的webshell后門。第一步，識(shí)別一句話木馬。可以看到ChatGPT給出了正確回答，同時(shí)給出了非常不錯(cuò)的判定理由。我們繼續(xù)使用base64解碼的webshell，讓ChatGPT進(jìn)行識(shí)別，ChatGPT依然應(yīng)對(duì)自如。第二步，識(shí)別變種的webshell。接下來(lái)試試免殺的webshell。下面是一個(gè)利用在高版本php語(yǔ)法不換行，來(lái)執(zhí)行命令繞過(guò)常規(guī)檢測(cè)的webshell，我們讓ChatGPT來(lái)檢測(cè)。 ChatGPT給出的判定結(jié)果完全正確，并且其反引號(hào)可以用來(lái)執(zhí)行命令的理由也非常充分。前方高能！！！下面是一個(gè)難度極高的檢測(cè)示例，使用字符串替換和函數(shù)方式運(yùn)行webshell命令。可以看到，ChatGPT給出的答案完全正確，其解釋更是令人驚嘆。要知道，人看這段代碼可能沒(méi)什么，要交給機(jī)器自動(dòng)化判定，必須要通過(guò)對(duì)PHP腳本的詞法分析和語(yǔ)義分析才能獲得，但在ChatGPT看來(lái)，這似乎不算什么難事。 結(jié)論：綜上所述，ChatGPT 在惡意腳本類代碼識(shí)別方面表現(xiàn)出色，能力指數(shù)評(píng)分為★★★★☆。其 AI 所給出的結(jié)果令人驚嘆，這歸功于它出色的代碼分析能力。ChatGPT為何擅長(zhǎng)代碼分析呢？●使用的文本生成模型GPT（Generative Pre-trained Transformer）能夠?qū)Υa進(jìn)行分析，以確定其意圖。●訓(xùn)練所使用的數(shù)據(jù)量巨大，ChatGPT從Stack Overflow、github等大量的語(yǔ)料里訓(xùn)練模型。●ChatGPT可以學(xué)習(xí)特定的編程語(yǔ)言的語(yǔ)義，生成更加準(zhǔn)確的語(yǔ)義分析結(jié)果。

代碼審計(jì)：分析代碼漏洞

能力指數(shù)：★★☆☆☆

前面提到ChatGPT擅長(zhǎng)代碼分析，接下來(lái)我們看看它在代碼審計(jì)方面的能力，是否可以幫助我們發(fā)現(xiàn)代碼中存在的問(wèn)題。首先，我們以比較簡(jiǎn)單的存在SQL注入的代碼審計(jì)為例：ChatGPT的回答還算讓人滿意。不過(guò)，當(dāng)我們嘗試一個(gè)不存在SQL注入的代碼時(shí)，ChatGPT就開始“一本正經(jīng)的胡說(shuō)八道”了：實(shí)際上，上面的代碼可以有效地防止SQL注入，原因如下：1.采用了預(yù)編譯，避免了拼接SQL語(yǔ)句，清晰地劃分了代碼與數(shù)據(jù)。2.檢測(cè)了數(shù)據(jù)類型是否僅為數(shù)字。3.判定結(jié)果是否僅為一條，有效防止“拖庫(kù)”攻擊。ChatGPT回答錯(cuò)誤，進(jìn)一步追問(wèn)ChatGPT，讓其給出poc代碼。果然，它給出的答案是錯(cuò)的。 結(jié)論：ChatGPT 的代碼審計(jì)能力指數(shù)為★★☆☆☆。總體而言，ChatGPT 對(duì)代碼審計(jì)有一定的幫助，但是需要人工核實(shí)它回答的結(jié)果是否正確。

威脅情報(bào)：從文本提取情報(bào)

能力指數(shù)：★★☆☆☆

從公開報(bào)道中摘取有關(guān)情報(bào)，是安全領(lǐng)域最為常見的自然語(yǔ)言處理應(yīng)用場(chǎng)景之一。我們讓ChatGPT從CrowdStrike的“麻辣香鍋”惡意軟件公開報(bào)道中，提取出一份中文摘要。

看起來(lái)還不錯(cuò)！我們?cè)僮孋hatGPT提取響尾蛇組織使用的TTP。

上述回答給出的鏈接已經(jīng)失效，無(wú)法證實(shí)其答案的正確性。

結(jié)論：ChatGPT從文本提取情報(bào)的能力指數(shù)為★★☆☆☆。綜合來(lái)看，ChatGPT 對(duì)于提取情報(bào)有一定的幫助，但還需要人工核實(shí)。

安全運(yùn)營(yíng)：生成安全運(yùn)營(yíng)報(bào)告

能力指數(shù)：★★☆☆☆

ChatGPT可以提升安全運(yùn)營(yíng)效率，已有公開報(bào)道稱它可以解析安全日志，針對(duì)可能存在的威脅事件，提供詳細(xì)的處置建議，并發(fā)布相應(yīng)的事件通告；還可以生成用戶報(bào)告，支持組織有效地管理安全風(fēng)險(xiǎn)。安全運(yùn)營(yíng)的最終目標(biāo)是實(shí)現(xiàn)智能運(yùn)營(yíng)，而最具挑戰(zhàn)性的工作是在海量告警中發(fā)現(xiàn)有效攻擊。ChatGPT目前無(wú)法實(shí)現(xiàn)海量告警研判分析，仍然需要安全運(yùn)營(yíng)專家的參與，才能達(dá)到最佳效果。 結(jié)論：ChatGPT生成安全運(yùn)營(yíng)報(bào)告的能力指數(shù)為★★☆☆☆。

基于ChatGPT構(gòu)建安全大模型

看到ChatGPT在網(wǎng)絡(luò)安全防御方面的諸多優(yōu)點(diǎn)，很多安全企業(yè)可能蠢蠢欲動(dòng)，希望做自己的安全大模型。如何讓大模型適配安全場(chǎng)景呢？很多人可能都會(huì)想到在ChatGPT這樣的大模型基礎(chǔ)上，針對(duì)安全領(lǐng)域重新訓(xùn)練一個(gè)增量模型。但是有幾個(gè)關(guān)鍵問(wèn)題需要考慮：1.訓(xùn)練成本：大模型訓(xùn)練成本取決于訓(xùn)練數(shù)據(jù)的大小和模型復(fù)雜性。當(dāng)訓(xùn)練數(shù)據(jù)更大和模型更復(fù)雜時(shí)，訓(xùn)練成本會(huì)更高，因?yàn)樾枰嗟挠?jì)算資源來(lái)處理更多的數(shù)據(jù)。2.模型調(diào)整：針對(duì)安全運(yùn)營(yíng)場(chǎng)景，需要調(diào)整大模型的數(shù)據(jù)輸入，用于海量安全事件的研判分析，這需要安全運(yùn)營(yíng)和AI專家投入。3.最終效果：由于安全事件本質(zhì)上是低概率事件，大規(guī)模對(duì)于少見的，甚至是新型的安全攻擊類型，當(dāng)前還無(wú)法有效處理。

結(jié)語(yǔ)

ChatGPT使AI在網(wǎng)絡(luò)安全防御中的應(yīng)用更為廣泛，它是一種基于深度學(xué)習(xí)的自然語(yǔ)言生成技術(shù)，可以幫助網(wǎng)絡(luò)安全防御人員提取簽名規(guī)則，識(shí)別惡意代碼，提升代碼審計(jì)和情報(bào)提取的效率；幫助安全運(yùn)營(yíng)人員分析日志，生成安全運(yùn)營(yíng)報(bào)告，給出有效的防護(hù)措施建議。鑒于這些益處，許多企業(yè)希望構(gòu)建適配安全場(chǎng)景的大模型，這就必須考慮訓(xùn)練成本、模型調(diào)整這些因素，并且大模型對(duì)于少見的、甚至是新型的安全攻擊類型，當(dāng)前還無(wú)法有效處理。即便如此，我們?nèi)匀幌嘈牛珻hatGPT等大模型的出現(xiàn)一定會(huì)對(duì)網(wǎng)絡(luò)安全領(lǐng)域帶來(lái)很大改變，實(shí)現(xiàn)智能分析和運(yùn)營(yíng)，只是一個(gè)時(shí)間問(wèn)題。

下期預(yù)告

下期我們將看看ChatGPT是不是無(wú)所不能，有沒(méi)有干不了的事情呢？敬請(qǐng)期待。

往期精彩推薦

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！