ShellGames: Speculative LLM-Driven SSH Deception

(arxiv 2026)

motivation

网络欺骗和“移动目标防御(MTD)”策略的核心目的是通过为攻击者呈现动态且难以预测的攻击面,来增加攻击者的不确定性并破坏其攻击行动。然而,在长时间的交互会话中,防守方很难持续向攻击者展示一个高度一致且可信的虚拟环境。

虽然大型语言模型(LLM)在理解上下文和动态生成响应方面极具潜力,但将其直接用于构建交互式Shell模拟器面临五个关键限制:

  • 缺乏持久状态:LLM受限于上下文窗口,容易遗忘之前的操作,导致多步交互时状态不一致。
  • 输出不一致与幻觉:LLM的概率生成性质可能会导致输出不符合Shell运行规则的错误或幻觉。
  • 响应延迟:LLM的推理计算通常需要较长时间,这种反常的延迟很容易暴露系统是伪造的。
  • 复杂交互支持差:难以单纯依靠LLM来模拟需要实时人机交互的复杂命令(例如nano文本编辑器或wget下载过程)。
  • 易受对抗性操纵:LLM无法将用户输入和系统指令严格隔离,容易受到提示词注入(Prompt Injection)和越狱(Jailbreaking)攻击,从而暴露欺骗系统的本质。

方法

为了解决上述问题,ShellGames巧妙地结合了五种互补的技术组件:

  • 生成器(Generator):这是响应生成的核心模块。它利用了“自动思维链(Auto-CoT)”和“小样本学习(Few-shot learning)”技术来指导LLM。这种结构化的提示策略极大地减少了生成的语法和语义错误,确保输出符合预期的系统配置和Shell语义。
  • 内存管理器(Memory Manager):负责维护虚拟系统的持久状态。该模块在后台独立运作,维护一个精简的命令历史记录和一个表示文件系统层级结构的虚拟树(Virtual Filesystem)。它通过将这些最新状态作为上下文提供给生成器,有效消除了LLM的记忆遗忘和幻觉问题。
  • 推测执行引擎(Speculative Execution Engine):为了掩盖LLM的响应延迟,系统借鉴了CPU的推测执行机制。引擎使用轻量级的预测模型(3-gram模型结合轻量级LLM)来预测攻击者下一步最可能输入的多个命令,并并行预先计算好响应结果放入缓存。一旦预测命中,系统可瞬间返回结果。消融实验表明,这使系统的平均响应延迟降低了34.84%。
  • 智能路由器(Smart Router):对于涉及复杂交互或依赖运行时语义的命令,系统依靠黑名单机制进行拦截。这类命令会被透明地路由到一个被沙箱隔离的后端真实Shell环境(Backend Shell)中执行。执行完毕后,副作用(如文件修改)会同步回内存管理器,既保证了逼真度,又保障了系统安全。
  • 后处理器(Post-Processor):为了抵御攻击者的操纵,该组件提供“颠覆检测”。它利用一个基于Transformer的分类器,同时检测输入的命令和输出的响应。一旦发现潜在的提示词注入或越狱攻击,系统会直接返回一条符合Shell规范的报错信息,从而在化解攻击的同时不暴露自身身份。

ShellGames: Speculative LLM-Driven SSH Deception
https://lijianxiong.space/2026/20260701/
作者
LJX
发布于
2026年7月1日
许可协议