機器學(xué)習技術(shù)利用推文預測高危安全漏洞 準確率超過(guò)80%

　　上周于舊金山舉行的 RSA 安全大會(huì )上，不少主張安全至上的供應商將各類(lèi)充滿(mǎn)營(yíng)銷(xiāo)色彩的“威脅情報”與“漏洞管理”系統一股腦地堆在用戶(hù)面前。而事實(shí)證明，目前已存在的正規、免費漏洞信息源足以提醒系統管理員，哪些錯誤問(wèn)題真正需要修復，且該來(lái)源每周七天、每天二十四小時(shí)不間斷更新——這就是Twitter。一組研究人員以實(shí)驗方式對 Twitter 中的 bug 數據流價(jià)值進(jìn)行了評測，同時(shí)構建起一款用于追蹤相關(guān)信息的免費軟件，用以消除可解決的各類(lèi)軟件缺陷并評估其嚴重程度。

　　俄亥俄州立大學(xué)、安全廠(chǎng)商 FireEye 以及研究企業(yè) Leidos 的研究人員們于最近發(fā)表了一篇論文，其中描述了一種新型系統，能夠讀取數百萬(wàn)條推文中所提及的軟件安全漏洞，而后利用機器學(xué)習訓練算法，對描述方式與具體內容所代表的威脅狀態(tài)進(jìn)行評估。他們發(fā)現，Twitter 信息不僅可用于預測接下來(lái)幾天出現在國家漏洞數據庫中的大多數安全漏洞(即由國家標準與技術(shù)研究所追蹤的各項安全漏洞的官方登記平臺)，同時(shí)也能夠利用自然語(yǔ)言處理技術(shù)，大致預測出哪些漏洞將被賦予“危險”或者“高?！眹乐氐燃?，準確率超過(guò) 80%。

　　俄亥俄州立大學(xué)教授 Alan Ritter 指出，“我們認為安全漏洞類(lèi)似于 Twitter 上的一種熱門(mén)主題，它們都有著(zhù)能夠追蹤的顯著(zhù)趨勢性?！毕嚓P(guān)研究成果將于今年 6 月在計算語(yǔ)言學(xué)協(xié)會(huì )的北美分會(huì )上正式發(fā)表。

　　舉例來(lái)說(shuō)，他們目前正在網(wǎng)上進(jìn)行的原型測試顯示，上周 Twitter 曾出現大量與 MacOS 系統中最新漏洞(被稱(chēng)為“BuggyCow”)相關(guān)的推文，同時(shí)也提到一種可能允許頁(yè)面訪(fǎng)問(wèn)的 SPOILER 攻擊方法(利用英特爾芯片中存在的某深層漏洞)。研究人員們開(kāi)發(fā)的 Twitter 掃描程序將二者標記為“可能高?！?，截至目前，這兩項漏洞都還沒(méi)有被收錄至國家漏洞數據庫當中。

　　當然，他們坦言目前的原型設計方案并不完美。當下這款程序每天只能更新一次，其中包括不少重復性?xún)热?，而且通過(guò)比較我們發(fā)現其結果中錯過(guò)了一些后來(lái)被國家漏洞數據庫收錄的條目。但 Ritter 認為，此項研究的真正進(jìn)步在于，以人類(lèi)語(yǔ)言為基礎對漏洞進(jìn)行自動(dòng)分析，同時(shí)準確地根據其嚴重程度做出排序。這意味著(zhù)，其有朝一日也許會(huì )成為系統管理員在保護自身系統免受侵擾時(shí)，可資利用的一款強大信息聚合器，或者至少是商業(yè)漏洞數據源中的一種必要組成部分，甚至有望成為一種前所未有的、根據重要性進(jìn)行加權排序的免費漏洞信息源。而這一切，都將成為系統管理員群體的巨大福音。

　　他解釋稱(chēng)，“我們希望構建起一款能夠讀取網(wǎng)絡(luò )信息并提取新軟件漏洞早期報告的計算機程序，同時(shí)分析用戶(hù)對其潛在嚴重性的整體觀(guān)看。結合實(shí)際來(lái)看，開(kāi)發(fā)人員往往面對著(zhù)這樣一個(gè)現實(shí)難題——面對復雜的分析結果，哪個(gè)才代表著(zhù)真正可能令人們遭受重大損失的高危漏洞?”

　　事實(shí)上，其背后的思維方式并非新鮮事物。多年以來(lái)，人們一直在考慮如何通過(guò)網(wǎng)絡(luò )上的文本信息總結出軟件漏洞數據，甚至早已具體到 Twitter 之上。然而，利用自然語(yǔ)言處理技術(shù)對推文中漏洞的嚴重程度進(jìn)行排序，則代表著(zhù)一大“重要轉折”，同樣關(guān)注這一問(wèn)題的摩郡馬里蘭大學(xué)教授 Anupam Joshi 對此深表贊同。他指出，“人們越來(lái)越關(guān)注網(wǎng)絡(luò )之上關(guān)于安全漏洞的討論內容。人們已經(jīng)意識到，我們完全可以從 Twitter 等社交平臺上獲取早期警告信號，此外也包括 Reddit 帖子、暗網(wǎng)以及博客評論等?！?/p>

　　在實(shí)驗當中，俄亥俄州立大學(xué)、FireEye 以及 Leidos 的研究人員們最初使用到與安全漏洞相關(guān)的 6000 條推文評論這一子集。他們向 Amazon Mechanical Turk 的工作人員展示了相關(guān)結果，即以人為方式按嚴重程度對其進(jìn)行排序，而后過(guò)濾掉那些與大多數其他讀者完全對立的異常結果。

　　接下來(lái)，研究人員利用這些經(jīng)過(guò)標記的推文作為機器學(xué)習引擎的訓練數據，并進(jìn)一步測試其預測結果。著(zhù)眼于接下來(lái)五天之內可能被納入國家漏洞數據庫的各項安全漏洞，該程序得以利用此數據庫中的原有嚴重性排名，來(lái)預測此時(shí)段內的 100 項最嚴重漏洞，且準確率達到 78%。對于前 50 位，其對漏洞嚴重程度的預測則更為準確，正確率達到 86%。更重要的是，對于接下來(lái)五天內被國家漏洞數據庫評為嚴重程度最高的 10 個(gè)安全漏洞，該程序的預測準確率高達 100%。

　　俄亥俄州立大學(xué)的 Ritter 警告稱(chēng)，盡管目前的測試結果非常喜人，但他們打造的這款自動(dòng)化工具不應被任何個(gè)人或組織作為唯一漏洞數據源使用——至少，人們應該點(diǎn)擊底層推文及其鏈接信息以確認分析結果。他指出，“其仍然需要人類(lèi)介入進(jìn)來(lái)?！痹谒磥?lái)，最好是能將這款程序納入由人類(lèi)負責規劃的廣泛漏洞數據源當中，并僅作為來(lái)源之一。

　　但鑒于漏洞發(fā)現速度的加快，以及社交媒體上與漏洞相關(guān)的信息不斷增加，Ritter 認為這款程序有望成為從噪聲中找尋有價(jià)值信號的一款重要工具。他總結道，“如今的安全行業(yè)面臨著(zhù)信息過(guò)多的問(wèn)題。這款程序的核心在于建立算法，幫助大家對全部?jì)热葸M(jìn)行排序，從而找出真正重要的信息?！?/p>