Original title:
Analýza chování malwaru pomocí velkých jazykových modelů
Translated title:
Analysis of Malware Behavior using Large Language Models
Authors:
Rádsetoulal, Vlastimil ; Homoliak, Ivan (referee) ; Očenášek, Pavel (advisor) Document type: Master’s theses
Year:
2024
Language:
eng Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[eng][cze]
Táto práca skúma využitie veľkých jazykových modelov (LLMs) vylepšených technikou Retrieval-Augmented Generation (RAG) pre efektívnu analýzu správania malvéru. Začína prehľadom metód analýzy malvéru, ako statických tak dynamických. Štúdia sa zameriava na využitie rámca MITRE ATT&CK na pochopenie správania malvéru veľkým jazykovým modelom. Jadro výskumu sa zameriava na architektúru a implementáciu nástroja na analýzu správania malvéru, ktorý implementuje RAG s využitím LLMs. Tento nástroj má za cieľ pomôcť profesionálom v oblasti bezpečnosti využívať možnosti generatívnej AI na interpretáciu komplexného správania malvéru. Okrem toho, výskum zahŕňa praktické nasadenie systému pre správu bezpečnostných informácií a udalostí (SIEM), pričom využíva platformu Wazuh na detekciu simulovaných útokov. Nasadenie a testovanie prebiehajú v kontrolovanom virtuálnom prostredí. Práca poukazuje na potenciál LLM modelov pri zlepšovaní opatrení v kybernetickej bezpečnosti. Práca končí diskusiou o možných vylepšeniach implementovaného nástroja.
This thesis investigates the use of large language models (LLMs) enhanced with Retrieval-Augmented Generation (RAG) techniques to analyze malware behaviors effectively. Starting with an overview of malware analysis methods, both static and dynamic, the study delves into the use of the MITRE ATT&CK framework to understand and categorize malware strategies. The core of the research focuses on the architecture and implementation of a malware behavior analysis tool that integrates RAG with LLMs. This tool aims to aid security professionals leveraging generative AI's capabilities to interpret complex malware behaviors. Additionally, the research includes a practical deployment of the Security Information and Events Management (SIEM) system, using the Wazuh platform to detect simulated adversarial behaviors. The deployment and testing are done in a controlled virtual environment, highlighting the potential of LLMs in enhancing cyber security measures. The thesis concludes with recommendations for future enhancements and the potential expansion of generative AI applications in cyber security.
Keywords:
analýza; chování; detekce; jazykové; malware; modely; velké; analysis; behavior; detection; language; large; malware; models
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: https://hdl.handle.net/11012/249010