Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] HoneyGPT: Breaking the Trilemma in Terminal Honeypots with Large Language Model

Ziyang Wang, Jianzhou You|arXiv (Cornell University)|Jun 4, 2024
Topic Modeling被引用数 5
ひとこと要約

HoneyGPT は、ChatGPT ベースの端末 honeypot を用いたプロンプティング フレームワークと Chain of Thought で、端末 honeypot の柔軟性・相互作用の深さ・欺瞞の三難を超えることを実証し、ベースラインと4週間の現地評価で検証されました。

ABSTRACT

Honeypots, as a strategic cyber-deception mechanism designed to emulate authentic interactions and bait unauthorized entities, often struggle with balancing flexibility, interaction depth, and deception. They typically fail to adapt to evolving attacker tactics, with limited engagement and information gathering. Fortunately, the emergent capabilities of large language models and innovative prompt-based engineering offer a transformative shift in honeypot technologies. This paper introduces HoneyGPT, a pioneering shell honeypot architecture based on ChatGPT, characterized by its cost-effectiveness and proactive engagement. In particular, we propose a structured prompt engineering framework that incorporates chain-of-thought tactics to improve long-term memory and robust security analytics, enhancing deception and engagement. Our evaluation of HoneyGPT comprises a baseline comparison based on a collected dataset and a three-month field evaluation. The baseline comparison demonstrates HoneyGPT's remarkable ability to strike a balance among flexibility, interaction depth, and deceptive capability. The field evaluation further validates HoneyGPT's superior performance in engaging attackers more deeply and capturing a wider array of novel attack vectors.

研究の動機と目的

  • 攻撃者の戦術に適応できるより動的で知的な端末 honeypot の開発を促進する。
  • 相互作用における推論を改善するための普遍的な honeypot プロンプトキーワード仕様と Chain of Thought ベースの戦略を提案する。
  • 長期的な相互作用メモリと堅牢なセキュリティ分析を維持する Prompt Manager を備えた HoneyGPT の設計と実装。
  • オープンソースデータと実地展開を用いて従来の honeypots と比較評価し、欺瞞・相互作用・柔軟性を評価する。

提案手法

  • 従来のリクエスト-レスポンス相互作用を ChatGPT ベースの質問応答ループに置換して HoneyGPT を開発する。
  • 端末プロトコルプロキシ、Prompt Manager、ChatGPT の三要素フレームワークを導入する。SSH/Telnet には Cowrie のプロトコル層を活用しつつ、ChatGPT への応答を促す。
  • Honeypot の原則、設定、攻撃クエリ、システム状態レジスタ、相互作用の履歴を用いて prompts を構築する Prompt Manager を実装し、文脈長に合わせて削減戦略を適用する。
  • Chain of Thought 戦略を組み込み、攻撃者のコマンドが OS に与える影響を分析し、推論を継続するためのシステム状態の変化 (C_i, F_i) を生成する。
  • Prompt Pruning メカニズムを適用し、Impact Factor (F_i) と Weaken Factor (w) を用いて相互作用を評価し、最も重要でない履歴エントリを削除して文脈の関連性を保持する。
  • 静的な System Principles (P) および Honeypot Settings (S) を設定して動作の安定性とリアリズムを確保する。)

実験結果

リサーチクエスチョン

  • RQ1LLM ベースの prompting を用いて、端末 honeypot における柔軟性・相互作用の深さ・欺瞞の三難を HoneyGPT は克服できるのか?
  • RQ2Chain of Thought 戦略と動的なプロンプト管理は、従来の honeypot と比較して長期的な相互作用メモリと攻撃者のエンゲージメントを向上させるか?
  • RQ3リプレイされたトラフィックと実トラフィックの下で、HoneyGPT は欺瞞・相互作用レベル・柔軟性の点でベースラインのオープンソース honeypots に対してどのように機能するのか?
  • RQ44週間のインターネット展開で、HoneyGPT は Cowrie と比較してどのような攻撃ベクトルと相互作用の長さを捕捉するのか?
  • RQ5実ネットワークにおける LLM 主導の honeypots の展開に必要な実用的な制限と構成は何か?

主な発見

  • ベースライン評価は、同一の攻撃データセットを用いた従来の honeypots よりも、柔軟性・相互作用の深さ・欺瞞のバランスが HoneyGPT の方が優れていることを示している。
  • 4週間の現地展開は、HoneyGPT が攻撃者をより長く、より複雑な相互作用へ誘導し、Cowrie より広範な攻撃ベクトルを捕捉することを示している。
  • メモリプルーニングを伴う HoneyGPT のプロンプトフレームワークは、推論に有用な履歴コンテキストを維持しつつ、文脈長を効果的に管理する。
  • Chain of Thought の使用により、write-elevate-execute のような長い連続コマンド攻撃シーケンスを、非 CoT アプローチよりも効果的に処理できる。
  • 実世界のテストでは、HoneyGPT はエミュレート済みまたは実システムの honeypots と比較して、より高い関与と豊かな相互作用の軌跡を示している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。