当前位置:首页 > 消费电子 > 消费电子
[导读]上周于旧金山举行的 RSA 安全大会上,不少主张安全至上的供应商将各类充满营销色彩的“威胁情报”与“漏洞管理”系统一股脑地堆在用户面前。而事实证明,目前已存在的正规、免费漏洞信息源足以提醒系统管理员,哪些错误问题真正需要修复,且该来源每周七天、每天二十四小时不间断更新——这就是Twitter。一组研究人员以实验方式对 Twitter 中的 bug 数据流价值进行了评测,同时构建起一款用于追踪相关信息的免费软件,用以消除可解决的各类软件缺陷并评估其严重程度。

上周于旧金山举行的 RSA 安全大会上,不少主张安全至上的供应商将各类充满营销色彩的“威胁情报”与“漏洞管理”系统一股脑地堆在用户面前。而事实证明,目前已存在的正规、免费漏洞信息源足以提醒系统管理员,哪些错误问题真正需要修复,且该来源每周七天、每天二十四小时不间断更新——这就是Twitter。一组研究人员以实验方式对 Twitter 中的 bug 数据流价值进行了评测,同时构建起一款用于追踪相关信息的免费软件,用以消除可解决的各类软件缺陷并评估其严重程度。

俄亥俄州立大学、安全厂商 FireEye 以及研究企业 Leidos 的研究人员们于最近发表了一篇论文,其中描述了一种新型系统,能够读取数百万条推文中所提及的软件安全漏洞,而后利用机器学习训练算法,对描述方式与具体内容所代表的威胁状态进行评估。他们发现,Twitter 信息不仅可用于预测接下来几天出现在国家漏洞数据库中的大多数安全漏洞(即由国家标准与技术研究所追踪的各项安全漏洞的官方登记平台),同时也能够利用自然语言处理技术,大致预测出哪些漏洞将被赋予“危险”或者“高危”严重等级,准确率超过 80%。

俄亥俄州立大学教授 Alan Ritter 指出,“我们认为安全漏洞类似于 Twitter 上的一种热门主题,它们都有着能够追踪的显著趋势性。”相关研究成果将于今年 6 月在计算语言学协会的北美分会上正式发表。

举例来说,他们目前正在网上进行的原型测试显示,上周 Twitter 曾出现大量与 MacOS 系统中最新漏洞(被称为“BuggyCow”)相关的推文,同时也提到一种可能允许页面访问的 SPOILER 攻击方法(利用英特尔芯片中存在的某深层漏洞)。研究人员们开发的 Twitter 扫描程序将二者标记为“可能高危”,截至目前,这两项漏洞都还没有被收录至国家漏洞数据库当中。

当然,他们坦言目前的原型设计方案并不完美。当下这款程序每天只能更新一次,其中包括不少重复性内容,而且通过比较我们发现其结果中错过了一些后来被国家漏洞数据库收录的条目。但 Ritter 认为,此项研究的真正进步在于,以人类语言为基础对漏洞进行自动分析,同时准确地根据其严重程度做出排序。这意味着,其有朝一日也许会成为系统管理员在保护自身系统免受侵扰时,可资利用的一款强大信息聚合器,或者至少是商业漏洞数据源中的一种必要组成部分,甚至有望成为一种前所未有的、根据重要性进行加权排序的免费漏洞信息源。而这一切,都将成为系统管理员群体的巨大福音。

他解释称,“我们希望构建起一款能够读取网络信息并提取新软件漏洞早期报告的计算机程序,同时分析用户对其潜在严重性的整体观看。结合实际来看,开发人员往往面对着这样一个现实难题——面对复杂的分析结果,哪个才代表着真正可能令人们遭受重大损失的高危漏洞?”

事实上,其背后的思维方式并非新鲜事物。多年以来,人们一直在考虑如何通过网络上的文本信息总结出软件漏洞数据,甚至早已具体到 Twitter 之上。然而,利用自然语言处理技术对推文中漏洞的严重程度进行排序,则代表着一大“重要转折”,同样关注这一问题的摩郡马里兰大学教授 Anupam Joshi 对此深表赞同。他指出,“人们越来越关注网络之上关于安全漏洞的讨论内容。人们已经意识到,我们完全可以从 Twitter 等社交平台上获取早期警告信号,此外也包括 Reddit 帖子、暗网以及博客评论等。”

在实验当中,俄亥俄州立大学、FireEye 以及 Leidos 的研究人员们最初使用到与安全漏洞相关的 6000 条推文评论这一子集。他们向 Amazon Mechanical Turk 的工作人员展示了相关结果,即以人为方式按严重程度对其进行排序,而后过滤掉那些与大多数其他读者完全对立的异常结果。

接下来,研究人员利用这些经过标记的推文作为机器学习引擎的训练数据,并进一步测试其预测结果。着眼于接下来五天之内可能被纳入国家漏洞数据库的各项安全漏洞,该程序得以利用此数据库中的原有严重性排名,来预测此时段内的 100 项最严重漏洞,且准确率达到 78%。对于前 50 位,其对漏洞严重程度的预测则更为准确,正确率达到 86%。更重要的是,对于接下来五天内被国家漏洞数据库评为严重程度最高的 10 个安全漏洞,该程序的预测准确率高达 100%。

俄亥俄州立大学的 Ritter 警告称,尽管目前的测试结果非常喜人,但他们打造的这款自动化工具不应被任何个人或组织作为唯一漏洞数据源使用——至少,人们应该点击底层推文及其链接信息以确认分析结果。他指出,“其仍然需要人类介入进来。”在他看来,最好是能将这款程序纳入由人类负责规划的广泛漏洞数据源当中,并仅作为来源之一。

但鉴于漏洞发现速度的加快,以及社交媒体上与漏洞相关的信息不断增加,Ritter 认为这款程序有望成为从噪声中找寻有价值信号的一款重要工具。他总结道,“如今的安全行业面临着信息过多的问题。这款程序的核心在于建立算法,帮助大家对全部内容进行排序,从而找出真正重要的信息。”

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭