機(jī)器學(xué)習(xí)技術(shù)利用推文預(yù)測(cè)高危安全漏洞，準(zhǔn)確率超過(guò)80%

上周于舊金山舉行的 RSA 安全大會(huì)上，不少主張安全至上的供應(yīng)商將各類充滿營(yíng)銷色彩的“威脅情報(bào)”與“漏洞管理”系統(tǒng)一股腦地堆在用戶面前。而事實(shí)證明，目前已存在的正規(guī)、免費(fèi)漏洞信息源足以提醒系統(tǒng)管理員，哪些錯(cuò)誤問(wèn)題真正需要修復(fù)，且該來(lái)源每周七天、每天二十四小時(shí)不間斷更新——這就是Twitter。一組研究人員以實(shí)驗(yàn)方式對(duì) Twitter 中的 bug 數(shù)據(jù)流價(jià)值進(jìn)行了評(píng)測(cè)，同時(shí)構(gòu)建起一款用于追蹤相關(guān)信息的免費(fèi)軟件，用以消除可解決的各類軟件缺陷并評(píng)估其嚴(yán)重程度。

俄亥俄州立大學(xué)、安全廠商 FireEye 以及研究企業(yè) Leidos 的研究人員們于最近發(fā)表了一篇論文，其中描述了一種新型系統(tǒng)，能夠讀取數(shù)百萬(wàn)條推文中所提及的軟件安全漏洞，而后利用機(jī)器學(xué)習(xí)訓(xùn)練算法，對(duì)描述方式與具體內(nèi)容所代表的威脅狀態(tài)進(jìn)行評(píng)估。他們發(fā)現(xiàn)，Twitter 信息不僅可用于預(yù)測(cè)接下來(lái)幾天出現(xiàn)在國(guó)家漏洞數(shù)據(jù)庫(kù)中的大多數(shù)安全漏洞(即由國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所追蹤的各項(xiàng)安全漏洞的官方登記平臺(tái))，同時(shí)也能夠利用自然語(yǔ)言處理技術(shù)，大致預(yù)測(cè)出哪些漏洞將被賦予“危險(xiǎn)”或者“高危”嚴(yán)重等級(jí)，準(zhǔn)確率超過(guò) 80%。

俄亥俄州立大學(xué)教授 Alan Ritter 指出，“我們認(rèn)為安全漏洞類似于 Twitter 上的一種熱門主題，它們都有著能夠追蹤的顯著趨勢(shì)性。”相關(guān)研究成果將于今年 6 月在計(jì)算語(yǔ)言學(xué)協(xié)會(huì)的北美分會(huì)上正式發(fā)表。

舉例來(lái)說(shuō)，他們目前正在網(wǎng)上進(jìn)行的原型測(cè)試顯示，上周 Twitter 曾出現(xiàn)大量與 MacOS 系統(tǒng)中最新漏洞(被稱為“BuggyCow”)相關(guān)的推文，同時(shí)也提到一種可能允許頁(yè)面訪問(wèn)的 SPOILER 攻擊方法(利用英特爾芯片中存在的某深層漏洞)。研究人員們開(kāi)發(fā)的 Twitter 掃描程序?qū)⒍邩?biāo)記為“可能高危”，截至目前，這兩項(xiàng)漏洞都還沒(méi)有被收錄至國(guó)家漏洞數(shù)據(jù)庫(kù)當(dāng)中。

當(dāng)然，他們坦言目前的原型設(shè)計(jì)方案并不完美。當(dāng)下這款程序每天只能更新一次，其中包括不少重復(fù)性內(nèi)容，而且通過(guò)比較我們發(fā)現(xiàn)其結(jié)果中錯(cuò)過(guò)了一些后來(lái)被國(guó)家漏洞數(shù)據(jù)庫(kù)收錄的條目。但 Ritter 認(rèn)為，此項(xiàng)研究的真正進(jìn)步在于，以人類語(yǔ)言為基礎(chǔ)對(duì)漏洞進(jìn)行自動(dòng)分析，同時(shí)準(zhǔn)確地根據(jù)其嚴(yán)重程度做出排序。這意味著，其有朝一日也許會(huì)成為系統(tǒng)管理員在保護(hù)自身系統(tǒng)免受侵?jǐn)_時(shí)，可資利用的一款強(qiáng)大信息聚合器，或者至少是商業(yè)漏洞數(shù)據(jù)源中的一種必要組成部分，甚至有望成為一種前所未有的、根據(jù)重要性進(jìn)行加權(quán)排序的免費(fèi)漏洞信息源。而這一切，都將成為系統(tǒng)管理員群體的巨大福音。

他解釋稱，“我們希望構(gòu)建起一款能夠讀取網(wǎng)絡(luò)信息并提取新軟件漏洞早期報(bào)告的計(jì)算機(jī)程序，同時(shí)分析用戶對(duì)其潛在嚴(yán)重性的整體觀看。結(jié)合實(shí)際來(lái)看，開(kāi)發(fā)人員往往面對(duì)著這樣一個(gè)現(xiàn)實(shí)難題——面對(duì)復(fù)雜的分析結(jié)果，哪個(gè)才代表著真正可能令人們?cè)馐苤卮髶p失的高危漏洞?”

事實(shí)上，其背后的思維方式并非新鮮事物。多年以來(lái)，人們一直在考慮如何通過(guò)網(wǎng)絡(luò)上的文本信息總結(jié)出軟件漏洞數(shù)據(jù)，甚至早已具體到 Twitter 之上。然而，利用自然語(yǔ)言處理技術(shù)對(duì)推文中漏洞的嚴(yán)重程度進(jìn)行排序，則代表著一大“重要轉(zhuǎn)折”，同樣關(guān)注這一問(wèn)題的摩郡馬里蘭大學(xué)教授 Anupam Joshi 對(duì)此深表贊同。他指出，“人們?cè)絹?lái)越關(guān)注網(wǎng)絡(luò)之上關(guān)于安全漏洞的討論內(nèi)容。人們已經(jīng)意識(shí)到，我們完全可以從 Twitter 等社交平臺(tái)上獲取早期警告信號(hào)，此外也包括 Reddit 帖子、暗網(wǎng)以及博客評(píng)論等。”

在實(shí)驗(yàn)當(dāng)中，俄亥俄州立大學(xué)、FireEye 以及 Leidos 的研究人員們最初使用到與安全漏洞相關(guān)的 6000 條推文評(píng)論這一子集。他們向 Amazon Mechanical Turk 的工作人員展示了相關(guān)結(jié)果，即以人為方式按嚴(yán)重程度對(duì)其進(jìn)行排序，而后過(guò)濾掉那些與大多數(shù)其他讀者完全對(duì)立的異常結(jié)果。

接下來(lái)，研究人員利用這些經(jīng)過(guò)標(biāo)記的推文作為機(jī)器學(xué)習(xí)引擎的訓(xùn)練數(shù)據(jù)，并進(jìn)一步測(cè)試其預(yù)測(cè)結(jié)果。著眼于接下來(lái)五天之內(nèi)可能被納入國(guó)家漏洞數(shù)據(jù)庫(kù)的各項(xiàng)安全漏洞，該程序得以利用此數(shù)據(jù)庫(kù)中的原有嚴(yán)重性排名，來(lái)預(yù)測(cè)此時(shí)段內(nèi)的 100 項(xiàng)最嚴(yán)重漏洞，且準(zhǔn)確率達(dá)到 78%。對(duì)于前 50 位，其對(duì)漏洞嚴(yán)重程度的預(yù)測(cè)則更為準(zhǔn)確，正確率達(dá)到 86%。更重要的是，對(duì)于接下來(lái)五天內(nèi)被國(guó)家漏洞數(shù)據(jù)庫(kù)評(píng)為嚴(yán)重程度最高的 10 個(gè)安全漏洞，該程序的預(yù)測(cè)準(zhǔn)確率高達(dá) 100%。

俄亥俄州立大學(xué)的 Ritter 警告稱，盡管目前的測(cè)試結(jié)果非常喜人，但他們打造的這款自動(dòng)化工具不應(yīng)被任何個(gè)人或組織作為唯一漏洞數(shù)據(jù)源使用——至少，人們應(yīng)該點(diǎn)擊底層推文及其鏈接信息以確認(rèn)分析結(jié)果。他指出，“其仍然需要人類介入進(jìn)來(lái)。”在他看來(lái)，最好是能將這款程序納入由人類負(fù)責(zé)規(guī)劃的廣泛漏洞數(shù)據(jù)源當(dāng)中，并僅作為來(lái)源之一。

但鑒于漏洞發(fā)現(xiàn)速度的加快，以及社交媒體上與漏洞相關(guān)的信息不斷增加，Ritter 認(rèn)為這款程序有望成為從噪聲中找尋有價(jià)值信號(hào)的一款重要工具。他總結(jié)道，“如今的安全行業(yè)面臨著信息過(guò)多的問(wèn)題。這款程序的核心在于建立算法，幫助大家對(duì)全部?jī)?nèi)容進(jìn)行排序，從而找出真正重要的信息。”