कौन से सुरक्षा बग का शोषण किया जाएगा? प्लेटोब्लॉकचैन डेटा इंटेलिजेंस का पता लगाने के लिए शोधकर्ता एक एमएल मॉडल बनाते हैं। लंबवत खोज। ऐ.

कौन से सुरक्षा बग का शोषण किया जाएगा? शोधकर्ताओं ने पता लगाने के लिए एक एमएल मॉडल बनाया

टाइम स्टैम्प: 18 अगस्त, 2022 सुबह 10:42 बजे

दो दर्जन से अधिक स्रोतों से डेटा पर प्रशिक्षित मशीन लर्निंग का उपयोग करते हुए, विश्वविद्यालय के शोधकर्ताओं की एक टीम ने भविष्यवाणी करने के लिए एक मॉडल बनाया है कि कौन सी कमजोरियों के परिणामस्वरूप एक कार्यात्मक शोषण हो सकता है, एक संभावित मूल्यवान उपकरण जो कंपनियों को यह तय करने में मदद कर सकता है कि कौन से सॉफ़्टवेयर दोषों को प्राथमिकता देना है।

मॉडल, जिसे एक्सपेक्टेड एक्सप्लॉयबिलिटी कहा जाता है, 60% कमजोरियों को पकड़ सकता है, जिसमें कार्यात्मक शोषण होगा, भविष्यवाणी सटीकता के साथ - या "सटीक", वर्गीकरण शब्दावली का उपयोग करने के लिए - 86%। शोध की कुंजी समय के साथ कुछ मेट्रिक्स में बदलाव की अनुमति देना है, क्योंकि भेद्यता का खुलासा होने पर सभी प्रासंगिक जानकारी उपलब्ध नहीं होती है, और बाद की घटनाओं का उपयोग करके शोधकर्ताओं को भविष्यवाणी की सटीकता को सुधारने की अनुमति मिलती है।

शोषण की पूर्वानुमेयता में सुधार करके, कंपनियां उन कमजोरियों की संख्या को कम कर सकती हैं जो हैं पैचिंग के लिए महत्वपूर्ण माना जाता है, लेकिन मीट्रिक के अन्य उपयोग भी हैं, कॉलेज पार्क में मैरीलैंड विश्वविद्यालय में इलेक्ट्रिकल और कंप्यूटर इंजीनियरिंग के एक सहयोगी प्रोफेसर ट्यूडर डुमित्रा कहते हैं, और पिछले सप्ताह USENIX सुरक्षा सम्मेलन में प्रकाशित शोध पत्र के लेखकों में से एक।

"शोषण की भविष्यवाणी केवल उन कंपनियों के लिए प्रासंगिक नहीं है जो पैचिंग को प्राथमिकता देना चाहती हैं, बल्कि उन बीमा कंपनियों के लिए भी जो जोखिम के स्तर और डेवलपर्स की गणना करने की कोशिश कर रही हैं, क्योंकि यह शायद यह समझने की दिशा में एक कदम है कि क्या भेद्यता शोषक बनाती है," वे कहते हैं।

RSI कॉलेज पार्क में मैरीलैंड विश्वविद्यालय और एरिज़ोना स्टेट यूनिवर्सिटी अनुसंधान कंपनियों को अतिरिक्त जानकारी देने का नवीनतम प्रयास है जिस पर कमजोरियों का शोषण हो सकता है, या होने की संभावना है। 2018 में, एरिज़ोना स्टेट यूनिवर्सिटी और यूएससी सूचना विज्ञान संस्थान के शोधकर्ता डार्क वेब चर्चाओं को पार्स करने पर केंद्रित उन वाक्यांशों और विशेषताओं को खोजने के लिए जिनका उपयोग इस संभावना का अनुमान लगाने के लिए किया जा सकता है कि एक भेद्यता होगी, या उसका शोषण किया जाएगा। 

और 2019 में, डेटा-रिसर्च फर्म Cyentia Institute, RAND Corp., और वर्जीनिया टेक के शोधकर्ताओं ने एक मॉडल प्रस्तुत किया बेहतर पूर्वानुमान जिससे हमलावरों द्वारा कमजोरियों का फायदा उठाया जाएगा.

Cyentia Institute के मुख्य डेटा वैज्ञानिक और सह-संस्थापक जे जैकब्स कहते हैं, कई प्रणालियाँ विश्लेषकों और शोधकर्ताओं द्वारा मैन्युअल प्रक्रियाओं पर निर्भर करती हैं, लेकिन अपेक्षित शोषणशीलता मीट्रिक पूरी तरह से स्वचालित हो सकती है।

"यह शोध अलग है क्योंकि यह सभी सूक्ष्म सुरागों को स्वचालित रूप से, लगातार और एक विश्लेषक के समय और राय पर भरोसा किए बिना लेने पर केंद्रित है," वे कहते हैं। "[टी] उसका सब कुछ वास्तविक समय में और बड़े पैमाने पर किया जाता है। यह दैनिक रूप से प्रकट और प्रकाशित होने वाली कमजोरियों की बाढ़ के साथ आसानी से बना रह सकता है और विकसित हो सकता है। ”

प्रकटीकरण के समय सभी सुविधाएँ उपलब्ध नहीं थीं, इसलिए मॉडल को भी समय को ध्यान में रखना था और तथाकथित "लेबल शोर" की चुनौती से पार पाना था। जब मशीन-लर्निंग एल्गोरिदम पैटर्न को वर्गीकृत करने के लिए समय में एक स्थिर बिंदु का उपयोग करते हैं - कहते हैं, शोषक और गैर-शोषक - वर्गीकरण एल्गोरिथ्म की प्रभावशीलता को कम कर सकता है, अगर लेबल बाद में गलत पाया जाता है।

PoCs: शोषण के लिए सुरक्षा बग पार्स करना

शोधकर्ताओं ने लगभग 103,000, 48,709 कमजोरियों के बारे में जानकारी का उपयोग किया, और फिर इसकी तुलना तीन सार्वजनिक रिपॉजिटरी - एक्सप्लॉइटडीबी, बगट्रैक और वल्नर से एकत्र किए गए 21,849 प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) कारनामों के साथ की, जो अलग-अलग कमजोरियों के XNUMX के लिए कारनामों का प्रतिनिधित्व करते थे। शोधकर्ताओं ने कीवर्ड और टोकन के लिए सोशल-मीडिया चर्चाओं का भी खनन किया - एक या एक से अधिक शब्दों के वाक्यांश - साथ ही साथ ज्ञात कारनामों का एक डेटा सेट भी बनाया।

हालांकि, पीओसी हमेशा एक अच्छा संकेतक नहीं होता है कि क्या भेद्यता शोषक है, शोधकर्ताओं ने पेपर में कहा। 

शोधकर्ताओं ने कहा, "पीओसी को लक्ष्य एप्लिकेशन को क्रैश या लटकाकर भेद्यता को ट्रिगर करने के लिए डिज़ाइन किया गया है और अक्सर सीधे हथियार नहीं होते हैं।" "[डब्ल्यू] ई निरीक्षण करता है कि यह कार्यात्मक शोषण की भविष्यवाणी के लिए कई झूठी सकारात्मकता की ओर जाता है। इसके विपरीत, हमें पता चलता है कि कुछ PoC विशेषताएँ, जैसे कि कोड जटिलता, अच्छे भविष्यवक्ता हैं, क्योंकि भेद्यता को ट्रिगर करना हर शोषण के लिए एक आवश्यक कदम है, जिससे इन सुविधाओं को कार्यात्मक शोषण बनाने की कठिनाई से यथोचित रूप से जोड़ा जाता है।

डुमित्रा ने नोट किया कि यह भविष्यवाणी करना कि क्या भेद्यता का शोषण किया जाएगा, अतिरिक्त कठिनाई जोड़ता है, क्योंकि शोधकर्ताओं को हमलावरों के उद्देश्यों का एक मॉडल बनाना होगा।

"अगर जंगली में एक भेद्यता का शोषण किया जाता है, तो हम जानते हैं कि वहां एक कार्यात्मक शोषण है, लेकिन हम अन्य मामलों को जानते हैं जहां एक कार्यात्मक शोषण होता है, लेकिन जंगली में शोषण का कोई ज्ञात उदाहरण नहीं है।" "कमजोरियां जिनके पास एक कार्यात्मक शोषण है, वे खतरनाक हैं और इसलिए उन्हें पैचिंग के लिए प्राथमिकता दी जानी चाहिए।"

केना सिक्योरिटी द्वारा प्रकाशित शोध - अब सिस्को के स्वामित्व में है - और साइनिया इंस्टीट्यूट ने पाया कि सार्वजनिक शोषण संहिता के अस्तित्व में सात गुना वृद्धि हुई इस संभावना में कि जंगली में एक शोषण का उपयोग किया जाएगा।

फिर भी पैचिंग को प्राथमिकता देना एकमात्र तरीका नहीं है जिससे शोषण की भविष्यवाणी व्यवसायों को लाभ पहुंचा सकती है। साइबर-बीमा वाहक पॉलिसी धारकों के लिए संभावित जोखिम को निर्धारित करने के तरीके के रूप में शोषण भविष्यवाणी का उपयोग कर सकते हैं। इसके अलावा, मॉडल का उपयोग विकास में सॉफ़्टवेयर का विश्लेषण करने के लिए किया जा सकता है ताकि यह संकेत मिल सके कि सॉफ़्टवेयर आसान है, या कठिन है, शोषण करना है, डुमित्रा कहते हैं।

समय टिकट:

से अधिक डार्क रीडिंग