Forskare vid IBM har nyligen tagit fram en ny teknik för att praktiskt taget korrigera säkerhetssårbarheter innan de hittas. Deras tillvägagångssätt, presenterades vid den internationella workshopen om informations- och operationsteknik, samlokaliserad med RAID18, utnyttjar testtekniker för övervakad inlärningsbaserad datagenerering.

"Medan vi undersöker en lösning för att hitta säkerhetsbrister i populär programvara, vi pausade för att tänka på följande problem:Vi vet praktiskt och teoretiskt att det är omöjligt att hitta alla sårbarheter i en applikation, och säkerhetsgemenskapen är i en ständig kapplöpning för att upptäcka dessa sårbarheter i hopp om att hitta dem innan skurkarna gör det, "Fady Copty, ledande forskare i studien, berättade TechXplore . "Detta innebär att upprätthålla regler och ständigt distribuera säkerhetskorrigeringar till system."

Att distribuera en säkerhetskorrigering på en applikation är en tråkig och tidskrävande uppgift, vilket innebär en rad steg:identifiera den sårbara versionen av applikationen, hantera denna sårbarhet, levererar plåstret, distribuera det och sedan starta om programmet. Ofta, patchar distribueras under långa tidsperioder, Därför kan applikationer förbli sårbara under en period efter att en sårbarhet har upptäckts. För att påskynda denna process, forskare har nyligen introducerat virtuella patchar, som upprätthålls med hjälp av system för upptäckt och förebyggande av intrång.

"Virtuell patchning är baserad på en semi-manuell teknik för att analysera hot (applikationsindata som visar en sårbarhet), och extrahera signaturen som identifierar sårbarheten, " Copty förklarade. "Det är en användbar teknik, men kräver fortfarande att sårbarheten i sig identifieras, vilket är ett np-komplett problem. Det finns en hel industri runt denna cykel av sårbarhetsupptäckt och patch. Men tänk om vi kunde skapa en virtuell patch som förutsäger dessa sårbarheter före hotupptäckten? I början, det här lät som en futuristisk uppgift, men med vissa insikter från säkerhetstestningstekniker, man kan hitta en mycket trevlig riktning."

Rent generellt, säkerhetssårbarheter avslöjas genom att titta på indata som tidigare borde ha visat ett programfel. Det beror på att felhantering vanligtvis uppfattas som mindre viktig jämfört med att utveckla applikationens grundläggande funktioner, därför tas det upp i ett senare skede.

"Om vi ​​kan göra ett bra jobb med att automatiskt skapa en virtuell patch som utökar SW-utvecklarnas arbete med felhantering, vi kan uppnå uppgiften före hotet, " sa Copty.

Copty och hans kollegor bestämde sig för att ta itu med detta problem med hjälp av maskininlärningstekniker. De körde olika testverktyg på en given applikation för att generera data, använde sedan dessa data för att träna sin DNN-modell.

"Vi använde testtekniker som skapar miljontals provingångar för applikationen, och körde sedan applikationen med dessa ingångar för att bestämma klassificeringsetiketterna för ingångarna:benign, fel, eller illvillig, " Copty förklarade. "Eftersom vi tittade på felhantering, vi slog ihop fel- och skadliga klasser till en klass. Detta gav oss en klassisk övervakad inlärningsuppsättning, där vi tränade en modell för att förutsäga om ett nytt prov är godartat eller skadligt."

Istället för att uppnå en virtuell patchning före hotet för en enda applikation, forskarna ville skapa ett automatiskt system som kunde användas för att patcha en mängd olika applikationer. För att öka generaliserbarheten av deras modell, de avstod från att använda manuella funktionsextraktionsmetoder.

"Vi ville också så småningom distribuera detta i ett intrångsdetekteringssystem, " Copty förklarade. "Detta innebar att förutsägelsen måste vara nära realtid. En bra lösning för dessa krav finns i DNN. DNN-förutsägelse är mycket snabb och man tror att DNN inte kräver någon funktionsextraktion alls."

Copty och hans kollegor tränade en DNN-modell på data som de tidigare hade genererat. Modellen de använde, som kombinerar ett konvolutionellt neuralt nätverk (CNN) och ett recurrent neuralt nätverk (RNN), uppnått anmärkningsvärda resultat i att förutsäga sårbarheter före hot.

"Hur testar du möjligheten att patcha före hotupptäckt? Svaret är enkelt:vi går tillbaka i tiden, " sa Copty. "Vi använde gamla versioner av applikationerna för datagenereringsfasen, tränade modellen med dessa data, och testade modellerna på hot som hittades år senare och dokumenterades i CVE-databasen. Detta gav oss fantastiska resultat i patchning före hot, där modellen kunde förutsäga hot som hittades bara år senare. Vi vet att detta fortfarande är i forskningsfasen och vi har bara lyckats med ett litet antal ansökningar. Dock, den här tekniken har potential att vara en spelförändring i säkerhetslandskapet, hjälpa försvarare att ligga steget före angriparna."

I de utvärderingar som gjorts av forskarna, deras modell har framgångsrikt upptäckt LibXML2- och LibTIFF-sårbarheter före hot, med en noggrannhet på 91,3 % och 93,7 %, respektive. För att förbättra deras resultat, de utökade sin modell genom att lägga till en sökväg som inkluderar grundläggande funktionsextraktion, baserad på automatisk kunskap som extraherades i testfasen, följt av ett CNN.

I framtiden, deras teknik kan hjälpa utvecklare att korrigera sårbarheter i programvara snabbare och mer effektivt, innan de faktiskt exponeras. Forskarna planerar att fortsätta arbeta med sitt tillvägagångssätt, utforska dess effektivitet när det gäller att korrigera ett bredare spektrum av sårbarheter.

"Tack vare Reda Igbaria, vi har nu utökat den här forskningen till fler applikationer och nyligen visat förekommande virtuell patchning för HeartBleed-sårbarheten, " Copty tillade. "Vi kommer att fortsätta rikta in oss på fler applikationer och förbättra vår datagenereringsteknik såväl som vår DNN-struktur, och automatisera sökningen av den bästa DNN-strukturen."

Detta arbete stöddes av EU H2020 SMESEC-projektet.

© 2019 Science X Network