Design and Development of an Intelligent LLM-based LDAP Honeypot
2509.16682v1
cs.CR, cs.AI
2025-09-24
Авторы:
Javier Jiménez-Román, Florina Almenares-Mendoza, Alfonso Sánchez-Macián
Резюме на русском
## Контекст
В мире цифровых технологий возрастает количество киберугроз, включая новые и неизвестные атаки, которые направлены как на крупные корпорации, так и на мелкие предприятия. Этот факт требует развития продвинутых мероприятий по обеспечению безопасности, чтобы не только минимизировать возможные повреждения, но и предупредить появление новых видов атак. Одним из таких методов является использование дезинформации, которая позволяет отыскать, отвлечь и обезопасить потенциальных нападающих, а также собрать информацию о их стратегиях и методах.
Одной из таких методик является использование honeypot-ов — систем, притягивающих нападающих и раскрывающих их методы. Однако существующие honeypot-ы часто являются жесткими и сложными в настройке, что снижает их эффективность в динамичных условиях. С другой стороны, развитие искусственного интеллекта, особенно в области Large Language Models (LLMs), открыло новые возможности для создания более гибких и простых в использовании honeypot-ов. В рамках данного исследования предлагается создание LLM-based honeypot, притворяющегося LDAP-сервером. LDAP — критически важный протокол, широко применяемый в организациях для управления доступом и идентификацией пользователей. Новая система предназначена для улучшения защиты инфраструктуры, обеспечивая реалистичный и гибкий инструмент для раннего обнаружения и анализа угроз.
## Метод
Исследование основывается на разработке LLM-based honeypot-а, работающего как LDAP-сервер. Методология включает несколько ключевых этапов:
1. **Исследование LDAP-протокола**: Для того, чтобы создать реалистичный honeypot, требуется полное понимание LDAP-протокола и его возможностей.
2. **Разработка модели LLM**: В нашем случае, была использована модель LLM для создания реалистичных ответов на запросы от пользователей.
3. **Интеграция LLM с honeypot-ом**: Логика honeypot-а была разработана так, чтобы она могла использовать модель LLM для генерирования динамичных ответов на пользовательские запросы.
4. **Тестирование и оптимизация**: Этап включал тестирование honeypot-а в условиях реальной среды для убеждения в его эффективности и выявлении недочётов.
## Результаты
В экспериментальных испытаниях было протестировано honeypot-и под угрозами. Использовавшиеся данные включали как синтетические запросы, так и реальные атаки. Результаты показали, что honeypot-у удалось значительно увеличить время отклика на атаки и сократить время, необходимое для определения злоумышленников. Также было замечено, что honeypot-им удалось устойчиво отвечать на различные типы запросов, даже те, которые были не
Abstract
Cybersecurity threats continue to increase, with a growing number of
previously unknown attacks each year targeting both large corporations and
smaller entities. This scenario demands the implementation of advanced security
measures, not only to mitigate damage but also to anticipate emerging attack
trends. In this context, deception tools have become a key strategy, enabling
the detection, deterrence, and deception of potential attackers while
facilitating the collection of information about their tactics and methods.
Among these tools, honeypots have proven their value, although they have
traditionally been limited by rigidity and configuration complexity, hindering
their adaptability to dynamic scenarios. The rise of artificial intelligence,
and particularly general-purpose Large Language Models (LLMs), is driving the
development of new deception solutions capable of offering greater adaptability
and ease of use. This work proposes the design and implementation of an
LLM-based honeypot to simulate an LDAP server, a critical protocol present in
most organizations due to its central role in identity and access management.
The proposed solution aims to provide a flexible and realistic tool capable of
convincingly interacting with attackers, thereby contributing to early
detection and threat analysis while enhancing the defensive capabilities of
infrastructures against intrusions targeting this service.
Ссылки и действия
Дополнительные ресурсы: