专家介绍

在前面的文章中，我们从“攻防”视角探讨了ChatGPT对网络安全攻击领域的影响。今天，我们来看看ChatGPT有没有不擅长的事情。

ChatGPT可以通过基于自然语言处理技术的模型、情景模型和语言模型来识别恶意代码，那么ChatGPT能否识别恶意域名呢？

恶意域名是指黑客利用域名注册服务商来注册的域名，这些域名可能用于攻击用户的网络安全或者可能用于传播恶意程序。

恶意域名的识别是一项非常重要的网络安全技术，用来检测和防止可能存在的攻击行为。当用户访问一个域名时，可以使用域名黑名单服务来检查这个域名是否是恶意域名。这些域名黑名单服务会定期更新，可以检测出最新注册的恶意域名。

首先，我们选择finalshell.nl域名，该域名被用于Sysrv-hello僵尸网络，Sysry-hello是一个Windows和Linux双平台挖矿木马。

下图是华为情报平台给出的域名识别结果，将其判定为恶意域名。

接下来，我们让ChatGPT识别。

继续追问理由，ChatGPT给出的理由是：根据VirusTotal的报告，该域名未被任何安全引擎标记为恶意。

然后，我们查询了VirusTotal的域名识别结果：

VirusTotal给出的结果是部分恶意，但是ChatGPT直接判定为非恶意。是不是过于武断了？

接下来我们看看ChatGPT识别DGA域名。

DGA域名是一种由僵尸网络恶意软件生成的随机域名，用于控制僵尸网络的恶意活动。它们的特点是每次生成的域名都不一样，这样恶意软件就可以持续运行，而不会被防火墙或其他安全解决方案检测到。

下图是华为情报平台给出的域名识别结果，将其判定为恶意DGA域名。

将该域名交给ChatGPT判定：

它的回答让我很吃惊。看来ChatGPT给出的不都是“非黑即白”的回答，也有“无法判断”的未知类型的回答。这个回答就涉及到AI领域的难题——开集识别。

开集识别简单定义是，一个在训练集上训练好的模型，当利用一个测试集进行测试时，如果输入已知类别数据，输出具体的类别，如果输入的是未知类别的数据，则进行合适的处理（识别为Unknown）。

在网络安全领域，发现未知威胁并及时阻断是当前安全用户面临的重要挑战。传统基于签名的检测很难发现未知威胁，而随着人工智能技术的迅速发展，越来越多的安全厂商开始将AI应用于威胁检测中。其中，开集识别是AI领域的一个难题，安全攻击识别问题大多是基于有监督的传统AI分类模型，以下图恶意文件检测为例，这种模型只能给出“非黑即白”的回答，没有“我不知道”这个结果。

而ChatGPT在识别DGA恶意域名的时候，却给出了“无法判断”这个表明是未知类型的回答，这就超出了传统AI分类模型的认知。

综上，ChatGPT识别恶意域名的能力为★☆☆☆☆，但是其开集识别能力在未知威胁检测中将会发挥很大的潜力。

最后，结合前面两篇文章的分析，我们回顾总结下ChatGPT的能力：

综合以上能力，ChatGPT在网络安全产品领域可以发挥作用的方面有：

当前业界还没有用可解释的AI分类模型来识别恶意文件，因此如何利用大型模型结合“二进制汇编语言”上下文，获得更具可解释性和准确性的恶意文件分类结果，以及如何将开集识别技术用于未知文件的识别，是当前AI技术面临的两大挑战。

当前恶意文件的逆向分析严重依赖人工，需要安全从业人员长期累积知识经验，而ChatGPT擅长于结合代码上下文的分析任务，使用大模型进行逆向分析是一个很理想的选择。

由于域名类数据非常丰富，容易生成精准率更高的大模型。例如，在DGA域名识别领域，单词拼接组成的DGA域名很难识别，但由于大模型拥有更多类型的数据，因此采用大模型之后，可能可以解决这一难题。

智能运营能够解决SOC类产品面临的巨量事件和难以运营两个难题。它能够自动研判安全告警，并为安全运营提出处置建议，自动化生成运营报告，这也是大模型值得探索的一个方向。