北京
分享至
安全团队最头疼的问题之一,是不知道自己的警报系统到底管不管用。微软研究院的最新研究显示,大型语言模型现在能生成足以乱真的攻击遥测数据——命令行、进程树、父子进程关系,样样都能模拟。
传统测试方法依赖有限脚本、重放旧事件或手工编写用例,很难覆盖现代攻击者的创意。而AI生成的合成遥测数据,能让防御者在不接触真实恶意软件的情况下,大规模向自己的环境"灌水"式测试检测逻辑。
具体怎么做?研究团队让模型从精选遥测数据和红队演练中学习真实攻击的展开方式——命令如何串联、参数顺序有何规律、横向移动或凭据窃取时一个命令如何自然引出下一个。输出不是纸上谈兵的随机字符串,而是能在实验室安全重放的完整可执行序列。
更关键的是进程树的构建。高级检测往往依赖异常的进程关系而非孤立日志行,AI生成的遥测数据通过镜像这些关系,成为真实攻击者行为的有效替代。
对安全团队而言,这意味着两件事:一、能在攻击者真正出现前反复验证分析规则;二、可用同批合成场景训练分析师、优化分类工作流,并观察日志或配置变更如何影响可见性。
研究团队强调已设置防护机制:模型在受控环境内训练和使用,访问权限仅限于安全工程场景,不对外开放。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
