Quantifying Loss Aversion in Cyber Adversaries via LLM Analysis
2508.13240v1
cs.CR, cs.AI
2025-08-21
Авторы:
Soham Hans, Nikolos Gurney, Stacy Marsella, Sofia Hirschmann
Резюме на русском
## Контекст
Отсутствие динамического понимания человеческих любопытственных и агрессивных поведений во время атак является ключевой проблемой в современной защите информации. Эти поведения часто являются результатом сильного влияния психологических факторов, таких как убытки, на действия атакующих сторон. Ранее использованные подходы, ориентированные на оборотную сторону, часто не учитывали эти психологические аспекты. Напротив, IARPA ReSCIND-программа нацелена на раскрытие и использование психологических характеристик атакующих, чтобы повысить эффективность защиты. Наша исследовательская группа предлагает исследовать, как любопытство и убытки влияют на необходимость взломщиков принять риск и что это может сказать нам о дальнейших действиях.
## Метод
Методология исследования основывается на анализе данных, полученных в ходе эксперимента с волонтерами-хакерами, приглашенными в контролируемую сеть. Мы использовали глубоко обученные Большие Лингвистические Модели (LLM) для детального анализа текстовых заметок, оставленных хакерами в процессе атак. Описанные действия были сопоставлены с ранее установленными механизмами поддержания доступа, чтобы определить уровень убытков и сопряженность с поведением. Мы также выявили операционные сигналы, которые могут быть использованы для любопытственного или агрессивного поведения.
## Результаты
Используя LLMs, мы смогли структурировать действия хакеров, отделив различные стадии атаки, такие как поиск информации, установка доступа и усиление. Мы также выявили значительные убытки, связанные с упущенными возможностями, которые влияют на рискованность дальнейших действий. Данные об операционных сигналах позволили нам абстрагироваться от конкретных действий и оценить поведение на основе возможных целей. Эти результаты показывают, что любопытство и убытки могут быть эффективно измерены и использованы для динамического понимания поведения атакующих.
## Значимость
Метод, представленный в нашей работе, может быть применен в реальном времени для анализа поведения хакеров, позволяя раскрыть логику их действий и предсказать будущие шаги. Это дает потенциал для разработки более гибких и динамичных систем защиты, которые могут адаптироваться к изменяющимся поведенческим моделям хакеров. В дополнение, наши результаты могут быть применены в разработке новых методов обучения и обеспечения безопасности, в которых понимание человеческих факторов играет ключевую роль.
## Выводы
Наше исследование показало, что Большие Лингвисти
Abstract
Understanding and quantifying human cognitive biases from empirical data has
long posed a formidable challenge, particularly in cybersecurity, where
defending against unknown adversaries is paramount. Traditional cyber defense
strategies have largely focused on fortification, while some approaches attempt
to anticipate attacker strategies by mapping them to cognitive vulnerabilities,
yet they fall short in dynamically interpreting attacks in progress. In
recognition of this gap, IARPA's ReSCIND program seeks to infer, defend
against, and even exploit attacker cognitive traits. In this paper, we present
a novel methodology that leverages large language models (LLMs) to extract
quantifiable insights into the cognitive bias of loss aversion from hacker
behavior. Our data are collected from an experiment in which hackers were
recruited to attack a controlled demonstration network. We process the hacker
generated notes using LLMs using it to segment the various actions and
correlate the actions to predefined persistence mechanisms used by hackers. By
correlating the implementation of these mechanisms with various operational
triggers, our analysis provides new insights into how loss aversion manifests
in hacker decision-making. The results demonstrate that LLMs can effectively
dissect and interpret nuanced behavioral patterns, thereby offering a
transformative approach to enhancing cyber defense strategies through
real-time, behavior-based analysis.
Ссылки и действия
Дополнительные ресурсы: