Towards Agentic Honeynet Configuration 論文閱讀分析:真正高產的誘捕系統,未必是掛最多假服務的那個,而是最會在對的時間露出對的 bait
論文基本資訊
- 論文標題:Towards Agentic Honeynet Configuration
- 作者:Federico Mirra、Matteo Boffa 等
- 年份:2026
- 來源:arXiv:2603.14122 / AgenNet 2026
- 論文連結:https://arxiv.org/abs/2603.14122
- 主題:Threat Intelligence、Honeypot、Deception Technology、LLM Agent、IDS、Adaptive Defense
Towards Agentic Honeynet Configuration 這篇論文有意思的地方,不是它又把 LLM 塞進一個資安場景,而是它抓到 honeypot / honeynet 長年一個很少被正面處理的問題:真正限制誘捕系統價值的,常常不是你有沒有 honeypot,而是你到底在對的時間把哪個假目標露出來。
傳統 honeypot 很常是靜態配置:先決定好要模擬哪些服務、開哪些漏洞、放在哪裡,之後就長時間掛著等人來打。問題是攻擊者的目標、階段與興趣會變,防守方的資源卻有限。你不可能把所有誘餌都一直開著,也不想把太多不必要的攻擊面長時間暴露出去。這篇論文想做的,就是把 honeynet 從「靜態展示櫃」往前推成會根據眼前攻擊訊號調整暴露面的 agentic deception system。
這篇論文想解決什麼?
作者把問題定得很清楚。honeypot 的目的不是單純擋攻擊,而是蒐集 threat intelligence、觀察攻擊者行為、延長互動時間、理解對手下一步。但現實裡有幾個限制:
- 資源有限:計算資源、頻寬、可用 IP / 位址空間、監控能量都有限,不可能把所有可能的 honeypot 同時暴露。
- 攻擊者策略會變:今天掃某類 CVE,明天可能改打另一條 exploitation path。
- 靜態配置太容易失真:長期不變的 honeynet 比較容易被 fingerprint,也常跟攻擊者當下真正要找的面向對不齊。
- 人工調整成本太高:如果每一輪都要人讀 IDS alert、猜對手意圖、再手動改 exposure,實務上很難規模化。
所以這篇 paper 真正問的是:
能不能讓一個 LLM-based agent 根據 IDS 與網路狀態去推測攻擊已經走到哪一段、對手接下來想碰什麼,然後在有限預算下動態改變 honeynet 的暴露服務,讓攻擊者願意繼續打、同時讓防守方拿到更多情報?
這個 framing 很值得注意。它不是在做傳統意義上的 prevention,而是在做budget-constrained intelligence collection。換句話說,目標不是馬上把對方趕走,而是盡量讓對方在你可控的假環境裡多透露一點東西。
核心觀念:honeynet 的價值不是「多」,而是「對」
我覺得這篇最值得記住的一句話可以濃縮成:在 deception system 裡,重要的不是永遠暴露更多假服務,而是持續暴露攻擊者此刻最想看到的那幾個。
這背後其實是個典型的部分可觀測決策問題:
- 攻擊者的內部目標與目前階段不可直接觀測
- 防守方只看到 noisy、片段化的 IDS / network signals
- 但仍要決定下一輪該露出哪些 honeypot
論文把這件事視為一個 inference-driven sequential decision problem。也就是先推理,再配置,而不是先把所有東西攤開再等對方來選。這跟很多傳統 honeypot 部署最大的差別就在這裡:部署決策不再是前置設定,而是跟著攻擊流程一起滾動更新。
系統怎麼做?整體架構其實很乾淨
作者提出的 agent 大致是一個 perception → inference → planning → enforcement 的閉環:
IDS alerts / network telemetry
↓
Attack inference
↓
推測攻擊目前階段、可能目標、可能下一步
↓
Exposure planning
↓
挑出下一輪要暴露的 honeypot / vulnerable service
↓
Deterministic enforcement
↓
透過網路控制真正切換可見面
↓
記錄結果並進入下一輪這個設計的好處,是它沒有把一切都丟給 LLM。作者其實做了很重要的責任分層:
- LLM 負責語意推理:從 IDS alert 與歷史脈絡推測攻擊進度與意圖。
- 傳統系統負責確定性控制:感知、記憶、網路重配置、firewall / exposure 執行仍由可審計的 deterministic 元件處理。
這代表論文不是在鼓吹「讓模型直接碰控制面就好」,而是比較成熟地把 LLM 放在高階攻擊理解與 exposure planning 上,再用傳統控制層去落地。對安全系統來說,這種分工比 end-to-end autonomy 靠譜得多。
這篇論文真正把 LLM 用在什麼地方?
作者讓 LLM 做兩件最關鍵的事:
- Attack inference:根據目前與過去的 IDS alerts,推測攻擊鏈已經走到哪個階段、哪些服務可能已被鎖定、接下來可能想要什麼。
- Exposure planning:在 exposure budget 很小的情況下,決定下一輪要露出哪個或哪幾個 honeypot,盡量和推測中的攻擊者目標對齊。
這其實就是把 LLM 放在一個很適合它的位置:不是讓它去做 packet-level detection,也不是讓它直接實作網路變更,而是讓它把低階告警翻成較高階的攻擊狀態估計,再把這個估計轉成下一步 deception strategy。
如果用最近 sectools.tw 常追的主線來看,這篇 paper 的精神其實很接近:真正有價值的 AI,不是更會描述攻擊,而是能不能把理解和後續控制決策接起來。
作者怎麼建模攻擊過程?
這篇論文另一個好看的地方,是它把攻擊者行為明確建成 multi-stage exploitation chain,而且對齊 MITRE ATT&CK 風格的階段推進。文中提到的路徑大致包含:
- discovery / reconnaissance
- initial access
- user-level data exfiltration
- privilege escalation
- root-level data exfiltration
在這個設定裡,攻擊者只有在看到符合當前目標的暴露服務時,才會繼續往下一階段推進。這讓 honeynet 管理問題變成一種很實在的 trade-off:
- 如果你暴露錯誤的服務,攻擊者可能停住、繞走或 disengage
- 如果你暴露對的服務,對方會繼續互動,你就能收集更多後續行為與 intelligence
所以這篇論文真正量的,不只是分類準不準,而是 agent 能不能維持 engagement 並正確追蹤 progression。這個指標設計很對,因為對 honeynet 來說,「有沒有讓攻擊者繼續往下打」本來就是成敗關鍵。
部分可觀測、時序推理、資源限制:三個難點一起來
這篇 paper 值得看的原因,也在於它沒有把問題過度簡化。作者明講這是個同時受三種限制約束的問題:
- Partial observability:只能從 IDS / network telemetry 間接猜測攻擊狀態。
- Temporal consistency:新的 alert 要放進前面累積的脈絡裡一起看,不能每輪重置。
- Budget constraint:一次只能暴露少量 honeypot,文中甚至用到一次只開一個 slot 的設定。
這三件事疊在一起,其實讓問題很像 POMDP 風格的控制場景,只是作者暫時用 LLM-based semantic reasoning 去近似。從研究角度看,這很合理:honeynet 管理不是單點分類問題,而是 belief update + constrained action selection。
評估怎麼做?這不是直接上真網路,而是先做離散模擬
作者目前的評估仍然是 preliminary,但方法不算偷懶。他們建了一個離散時間模擬環境,讓 attacker 和 defender 輪流行動:
- 攻擊者使用已知 CVE 的 PoC 進行攻擊
- 防守方 agent 每輪根據前一輪觀察來決定下一輪要暴露什麼服務
- 評估不同 attacker persistence model,例如 deterministic、probabilistic、consecutive 等
- 測試不同 attacker 數量、候選 vulnerable services 數量與不同 LLM backend
論文提到共評估了 81 種配置。雖然這離 production 仍然有一段距離,但至少不是只做一兩個案例展示。它試圖回答的,是在不同壓力與限制條件下,這種 agentic honeynet manager 到底有沒有持續表現。
論文主張最重要的結果:LLM agent 確實能提升 exposure efficiency
作者的核心結論大致有兩個:
- agent 能有效推測 attacker intent 與 attack progression
- 在有限資源下,動態 exposure 比靜態配置更有效率
這裡的「效率」不是單純少開幾個 honeypot,而是在暴露面受限時,仍然盡量讓攻擊互動延續、並讓每一次暴露都更貼近對手當下目標。換句話說,論文其實在說:honeynet 的 intelligence yield,不只取決於你放了多少假的東西,而是取決於你有沒有在對的節點露出對方想咬的 bait。
這篇論文對 CTI 的真正意義
雖然這篇表面上是 honeynet / deception 論文,但如果從 CTI 的角度看,它其實在補一個很重要的環節:情資蒐集不是被動收集 artefacts,而是主動塑形收集條件。
很多 CTI pipeline 預設自己面對的是既有資料:報告、log、IOC、campaign note。但 honeynet / deception 的價值在於,防守方其實可以反過來調整環境,讓攻擊者更願意暴露某些 TTP 或 exploitation path。這篇論文往前走的一步,就是讓這種調整開始變成根據即時觀測滾動更新的 intelligence collection policy。
這點很值得記住:未來比較像樣的 CTI 系統,可能不只會分析攻擊者留下的痕跡,還會主動重排自己能被看見的假攻擊面,去誘出更多痕跡。
我覺得這篇最有價值的地方
如果要濃縮成一句話,我會說這篇真正有價值的,不是「honeypot 也能用 LLM」,而是它把 deception technology 從靜態資產配置,往runtime-adaptive intelligence instrumentation 推了一步。
它提醒我們三件事:
- deception 不該只是預先設好的假場景,而應該是跟著攻擊過程變動的動態控制面。
- CTI 收集可以是主動式的,防守方能透過改變暴露內容來塑造可觀測行為。
- AI 在這裡最有用的角色,是把低階告警翻成高階攻擊狀態,再把它接回資源受限的控制決策。
這篇論文的限制也很明顯
當然,這篇 paper 還很早期,限制也不少。
- 目前主要是模擬環境:離真實 Internet-scale honeynet 還差很遠。
- 攻擊模型仍相對結構化:真實攻擊者未必按預設 exploitation chain 走。
- 以單一 aggregated attack thread 近似多攻擊者:這有助於簡化問題,但會弱化 attribution 與混雜行為處理難度。
- LLM inference quality 仍然是上限:如果對攻擊階段判錯,後面的 exposure planning 也會跟著偏。
但即便如此,我還是覺得方向是對的。因為 honeynet 管理本來就不是「把更多假服務開著」這麼粗暴,而是在有限暴露預算下,持續猜對對手下一口想咬哪裡。這件事,本來就需要某種跨 alert、跨時間、跨 exploitation stage 的語意推理層。
一句話總結
這篇論文真正指出的,不是 honeypot 也能變 agent,而是 threat intelligence 蒐集真正該自動化的,可能不是後端報告整理,而是前端那個「現在該露什麼 bait 給攻擊者看」的動態決策本身。