Respuesta de los sistemas de detección de intrusiones (IDS) ante amenazas cibernéticas generadas por IA : análisis y generación de malware (WORM) con IA frente a SNORT

Abstract

El presente trabajo analiza la generación de gusanos informáticos (WORM) mediante modelos de lenguaje (LLM), y evalúa la eficacia del sistema de detección y prevención de intrusiones (IDS/IPS) Snort frente a estas amenazas emergentes. En un entorno controlado y vulnerado bajo el modelo de compromiso asumido, se explotan debilidades del protocolo (FTP) para simular ataques y ejecución de código malicioso. La investigación aplica la metodología Design Based Research (DBR), estructurada en dos fases principales: ingeniería de prompt y ejecución e implementación, además, se analizaron e identificaron técnicas avanzadas para evadir restricciones éticas impuestas a los LLMs, permitiendo la generación de código malicioso replicable. Los resultados muestran que estas técnicas, especialmente (Chapter Play) junto con (DAN), lograron producir múltiples módulos funcionales del WORM. Por otro lado, durante la fase de detección, Snort, utilizando reglas comunitarias por defecto, no logró identificar la amenaza. Sin embargo, después de la creación de reglas que se enfocan en el análisis del tráfico FTP, Snort fue capaz de detectar actividad maliciosa y bloquear la ip atacante, mejorando así su desempeño. Por tanto, este estudio evidencia el potencial que tiene los LLM para generar código malicioso, como la necesidad de adaptar los sistemas (IDS/IPS) tradicionales haciendo uso en aspectos de personalización y reglas específicas frente a nuevas formas de ataque. En conclusión, este estudio evidencia tanto la capacidad de los LLM para generar amenazas cibernéticas sofisticadas, como la necesidad urgente de adaptar los sistemas IDS/IPS tradicionales mediante la personalización de reglas específicas y el fortalecimiento de mecanismos de detección frente a nuevas formas de ataque.This paper analyzes the generation of computer worms (WORMs) using language models (LLMs) and evaluates the effectiveness of the intrusion detection and prevention system (IDS/IPS) Snort against these emerging threats. In a controlled and compromised environment under the assumed compromise model, protocol (FTP) weaknesses are exploited to simulate attacks and malicious code execution. The research applies the Design Based Research (DBR) methodology, structured in two main phases: prompt engineering and execution and implementation. In addition, advanced techniques to evade ethical restrictions imposed on LLMs were analyzed and identified, allowing the generation of replicable malicious code. The results show that these techniques, especially (Chapter Play) together with (DAN), were able to produce multiple functional modules of the WORM. On the other hand, during the detection phase, Snort, using default community rules, failed to identify the threat. However, after creating rules focused on analyzing FTP traffic, Snort was able to detect malicious activity and block the attacking IP, thus improving its performance. Therefore, this study highlights the potential of LLMs to generate malicious code, as well as the need to adapt traditional IDS/IPS systems by utilizing customization and specific rules to address new forms of attack. In conclusion, this study highlights both the ability of LLMs to generate sophisticated cyberthreats and the urgent need to adapt traditional IDS/IPS systems by customizing specific rules and strengthening detection mechanisms to address new forms of attack