Βελτιστοποίηση κανόνων YARA μέσω μεγάλων γλωσσικών μοντέλων

Abstract

Οι κανόνες YARA χρησιμοποιούνται ευρέως για τη στατική ανάλυση και ταξινόμηση malware, ωστόσο η χειροκίνητη δημιουργία και βελτιστοποίηση τους μπορεί να αποτελέσει χρονοβόρα διαδικασία η οποία βασίζεται σε εξιδεικευμένη γνώση και είναι επιρρεπής σε λάθη. Οι πρόσφατες εξελίξεις στα Μεγάλα Γλωσσικά Μοντέλα (Large Language Models ή LLMs) έχουν επιδείξει προοπτικές στην αυτοματοποίηση εργασιών που σχετίζονται με την κυβερνοασφάλεια, όμως έχουν επίσης φέρει ερωτήματα σχετικά με την ικανότητα τους να παράγουν συνεπή, αξιόπιστα αποτελέσματα. Η παρούσα πτυχιακή εργασία αξιολογεί την αποτελεσματικότητα της βελτιστοποίησης κανόνων YARA με τη χρήση LLMs σε πολλαπλές οικογένειες malware, μέσω ενός ελεγχόμενου πειραματικού πλαισίου. Εξετάστηκαν επτά οικογένειες malware (RedLine, Mirai, AgentTesla, Loki, Formbook, Dridex, Vidar) χρησιμοποιώντας 50 διαφορετικά δείγματα ανά οικογένεια. Για κάθε οικογένεια, δημιουργήθηκαν τρία αρχικά αρχεία κανόνων YARA χρησιμοποιώντας το εργαλείο AutoYara. Τα αρχεία αυτά στη συνέχεια δόθηκαν σε τρία διαφορετικά LLMs (GPT 4.1, Grok 4.1 και Gemini 3), με στόχο τη συγχώνευση και βελτιστοποίηση τους σε ένα ενιαίο αρχείο κανόνων YARA ανά οικογένεια. Οι αρχικοί κανόνες και αυτοί βελτιστοποιημένοι από τα LLMs αξιολογήθηκαν ως προς την απόδοση τους αρχικά έναντι στα δείγματα malware, και στη συνέχεια έναντι ενός συνόλου 1.082 καλοηθών (benign) εκτελέσιμων αρχείων Windows, έτσι ώστε να υπολογιστεί η ανιχνευτική ικανότητα και τα ψευδώς θετικά (false positive) αποτελέσματα. Ως κύρια μετρική αξιολόγησης χρησιμοποιείται η βαθμολογία F1. Τα αποτελέσματα δείχνουν ότι σε κάθε περίπτωση, οι κανόνες YARA που βελτιστοποιήθηκαν από LLMs δεν παρουσιάζουν βελτίωση στην απόδοση ανίχνευσης σε σχέση με τον καλύτερο αρχικό κανόνα της αντίστοιχης οικογένειας που παρήγαγε το AutoYara. Κανένα LLM δεν πέτυχε υψηλότερη βαθμολογία F1 από τον καλύτερο αρχικό κανόνα, με μία μόνο περίπτωση ίσης βαθμολογίας και πολλές περιπτώσεις μειωμένης ανιχνευσιμότητας malware ή αυξημένων αποτελεσμάτων σε false positives. Τα αποτελέσματα αυτά υποδεικνύουν ότι, παρότι τα LLMs είναι ικανά να παράγουν ορθούς και συγχωνευμένους κανόνες οι οποίοι μπορούν να εκτελεστούν χωρίς συντακτικά σφάλματα, η επεξεργασία και απόπειρα βελτίωσης των αρχικών αρχείων μπορεί να παράγει αρνητικά αποτελέσματα, τόσο στην ανιχνευσιμότητα malware όσο και στην αποφυγή των false positives. Η εργασία αυτή αναλύει και εξετάζει τα αποτελέσματα της έρευνας καθώς και αναδεικνύει τις αδυναμίες και τους περιορισμούς των LLMs σχετικά με την δημιουργία κανόνων YARA.