使用对来自两打以上来源的数据进行训练的机器学习,一个大学研究人员团队创建了一个模型,用于预测哪些漏洞可能会导致功能性利用,这是一种潜在的有价值的工具,可以帮助公司更好地决定优先考虑哪些软件缺陷。
该模型称为预期可利用性,可以捕获 60% 的具有功能性利用漏洞的漏洞,其预测准确度(或“精确度”,使用分类术语)为 86%。 研究的一个关键是允许某些指标随时间发生变化,因为在披露漏洞时并非所有相关信息都可用,并且使用后来的事件允许研究人员磨练预测的准确性。
通过提高利用的可预测性,公司可以减少漏洞的数量 被认为对修补至关重要,但该指标也有其他用途,Tudor Dumitraş 说,他是马里兰大学帕克分校电气和计算机工程副教授,也是上周在 USENIX 安全会议上发表的研究论文的作者之一。
“可利用性预测不仅与希望优先修补补丁的公司相关,还与试图计算风险级别的保险公司和开发人员相关,因为这可能是了解是什么使漏洞可被利用的一步,”他说。
马里兰大学帕克分校和亚利桑那州立大学研究 是向公司提供有关哪些漏洞可能或可能被利用的更多信息的最新尝试。 2018年,来自亚利桑那州立大学和南加州大学信息科学研究所的研究人员 专注于解析暗网讨论 查找可用于预测漏洞将被或已经被利用的可能性的短语和特征。
2019 年,来自数据研究公司 Cyentia Institute、兰德公司和弗吉尼亚理工大学的研究人员提出了一个模型, 改进了攻击者将利用哪些漏洞的预测.
Cyentia Institute 的首席数据科学家兼联合创始人 Jay Jacobs 表示,许多系统依赖于分析师和研究人员的手动流程,但预期可利用性指标可以完全自动化。
“这项研究与众不同,因为它专注于自动、一致地收集所有微妙的线索,而不依赖分析师的时间和意见,”他说。 “[T]这一切都是实时和大规模完成的。 它可以很容易地跟上并随着每天披露和发布的大量漏洞而发展。”
在披露时并非所有功能都可用,因此该模型还必须考虑时间并克服所谓的“标签噪声”的挑战。 当机器学习算法使用静态时间点对模式进行分类时(例如,可利用和不可利用),如果后来发现标签不正确,分类可能会破坏算法的有效性。
PoC:解析安全漏洞以实现可利用性
研究人员使用了近 103,000 个漏洞的信息,然后将其与从三个公共存储库(ExploitDB、BugTraq 和 Vulners)收集的 48,709 个概念验证 (PoC) 漏洞利用进行比较,这些漏洞代表了 21,849 个不同漏洞的漏洞利用。 研究人员还挖掘了社交媒体对关键字和标记(一个或多个单词的短语)的讨论,并创建了一个已知漏洞的数据集。
然而,研究人员在论文中表示,PoC 并不总是能很好地表明漏洞是否可被利用。
研究人员表示:“PoC 旨在通过崩溃或挂起目标应用程序来触发漏洞,并且通常不能直接武器化。” “[W]e 观察到,这会导致预测功能漏洞的许多误报。 相比之下,我们发现某些 PoC 特征,例如代码复杂性,是很好的预测指标,因为触发漏洞是每个漏洞利用的必要步骤,这使得这些特征与创建功能漏洞利用的难度有因果关系。”
Dumitraş 指出,预测漏洞是否会被利用增加了额外的难度,因为研究人员必须创建一个攻击者动机模型。
“如果漏洞在野外被利用,那么我们知道那里存在功能性漏洞,但我们知道存在功能性漏洞的其他情况,但在野外没有已知的漏洞利用实例,”他说。 “具有功能性利用的漏洞是危险的,因此应优先修补它们。”
Kenna Security(现为思科所有)和 Cyentia 研究所发表的研究发现, 公共漏洞利用代码的存在导致了七倍的增长 很可能会在野外使用漏洞利用程序。
然而,优先考虑修补并不是漏洞利用预测可以使企业受益的唯一方式。 网络保险公司可以使用漏洞预测作为确定投保人潜在风险的一种方式。 此外,Dumitraş 说,该模型还可用于分析开发中的软件,以找到可能表明该软件更容易或更难被利用的模式。
