Il rilevamento delle anomalie è da sempre considerato uno strumento promettente in cybersicurezza: in teoria, dovrebbe aiutarci a scoprire minacce individuando comportamenti “fuori dall’ordinario”. Nella pratica però, quando si tratta di riconoscere comandi malevoli, questo approccio produce spesso troppi falsi allarmi. Risultato? Costi elevati e poca efficienza.
Al Black Hat USA 2025 abbiamo presentato una ricerca che apre una nuova strada: usare il rilevamento delle anomalie non come soluzione finale, ma come parte di un processo più ampio. Integrandolo con i large language model (LLM), riusciamo a estrarre informazioni preziose che rafforzano un sistema di classificazione dedicato alle linee di comando.
In questo modo, invece di generare allarmi inutili, il rilevamento delle anomalie diventa un “assistente” che migliora l’accuratezza di un modello supervisionato, portando maggiore efficacia e affidabilità nell’individuare le minacce reali.
Il nostro esperimento ha portato a una scoperta inaspettata: non è necessario che il rilevamento delle anomalie trovi direttamente i comandi malevoli. Al contrario, il rilevamento delle anomalie, se abbinato a un’etichettatura basata su LLM, produce un insieme sorprendentemente vario di linee di comando benigne. Utilizzare questi dati benigni nell’addestramento dei classificatori di linee di comando riduce in modo significativo i tassi di falsi positivi. Inoltre, consente di sfruttare l’abbondanza di dati già esistenti, senza dover cercare “un ago in un pagliaio”, come accade per le linee di comando malevole nei dati di produzione.
In questo articolo esploreremo la metodologia del nostro esperimento, evidenziando come la varietà di dati benigni identificati attraverso il rilevamento delle anomalie ampli la comprensione del classificatore e contribuisca a creare un sistema di rilevamento più resiliente.
Spostando l’attenzione dal semplice obiettivo di individuare anomalie malevole alla valorizzazione della diversità dei dati benigni, proponiamo un potenziale cambio di paradigma nelle strategie di classificazione delle linee di comando.
Continua a leggere l’articolo.
