假设您是一栋大型公寓楼的新经理,有人偷了您的一把钥匙,但您不确定是哪一把。是去一楼的公寓吗?收发室?也许它是所有单位的万能钥匙。
(资料图)
据您所知,所有的锁都是易受攻击的,您需要更换每把锁才能完全安全。
但是,如果您确切地知道哪把钥匙丢失了,您就可以有针对性地努力,只更改相关的锁并快速消除威胁。
将这个问题乘以数千次,你就会明白网络防御者在努力解决什么问题。有超过213,800个可用的已知“密钥”——计算机系统的非官方入口点,通常称为漏洞或错误——它们已经落入分子手中。可能还有更多不为人知的。如何跟踪、区分优先级和预防所有威胁和攻击?
这对任何一个人或团队来说都是不可能的。虽然计算机分析师通过将信息输入多个数据库来共享线索,但他们并没有一张地图来说明对手可能如何利用这些漏洞中的大部分来造成严重破坏。
现在,能源部太平洋西北国家实验室、普渡大学、卡内基梅隆大学和博伊西州立大学的科学家团队已经求助于人工智能来帮助解决这个问题。研究人员将有关计算机漏洞、弱点和可能的攻击模式的三个大型信息数据库编织在一起。他们的工作作为2022年IEEE国土安全技术国际研讨会(HST)的一部分发表。
基于AI的模型自动将漏洞与特定的攻击线联系起来,对手可以利用这些攻击线来破坏计算机系统。这项工作应该有助于防御者更频繁、更迅速地发现和预防攻击。这项工作是开源的,其中一部分现已在GitHub上提供。该团队将很快发布其余代码。
“网络防御者被信息和代码行淹没。他们需要的是对优先级排序的解释和支持。我们在哪里容易受到攻击?我们可以采取什么行动?”领导整个工作的PNNL首席计算机科学家MahanteshHalappanavar说。
“如果你是一名网络防御者,你可能每天要处理数百个漏洞。你需要知道这些漏洞是如何被利用的,以及你需要做什么来减轻这些威胁。这是关键的缺失部分,”Halappanavar补充道。“您想知道错误的影响、如何利用它以及如何阻止这种威胁。”
从CVE到CWE再到CAPEC:改善网络安全的途径
新的人工智能模型使用自然语言处理和监督学习来桥接三个独立的网络安全数据库中的信息:
漏洞——可以作为攻击机会的特定计算机代码片段。这200,000多个“常见漏洞和暴露”或CVE列在由信息技术实验室维护的国家漏洞数据库中。
弱点——一组更精简的定义,根据对漏洞采取行动时可能发生的情况将漏洞分类。MITRECorp维护的常见弱点枚举数据库中列出了大约1,000个“常见弱点枚举”或CWE。
攻击——利用漏洞和弱点的实际攻击可能是什么样子。MITRE维护的常见攻击模式枚举和分类资源中包含500多种潜在的攻击路径或“向量”,称为“CAPEC”。
虽然这三个数据库都包含对网络防御者至关重要的信息,但很少有人尝试将这三个数据库结合在一起,以便用户可以快速检测和了解可能的威胁及其来源,然后削弱或阻止这些威胁和攻击。
Halappanavar说:“如果我们可以将漏洞分为一般类别,并且我们确切知道攻击可能如何进行,我们就可以更有效地消除威胁。”“你对错误的分类越高,你可以通过一个动作阻止的威胁就越多。一个理想的目标是防止所有可能的利用。”
这项工作在11月的IEEE国土安全技术国际研讨会上获得了最佳论文奖。
在之前的工作中,该团队使用AI来链接其中的两个资源,漏洞和弱点。这项工作产生了V2W-BERT模型,为卡内基梅隆大学的Das、Pothen、Halappanavar、Serra和EhabAl-Shaer团队赢得了2021年IEEE数据科学和高级分析国际会议的最佳应用论文奖。
人工智能自动将计算机错误与潜在的网络攻击联系起来
新模型VWC-MAP将项目扩展到第三类,即攻击行动。
“那里有成千上万的错误或漏洞,每天都会产生和发现新的错误或漏洞,”自2019年在PNNL实习以来一直领导这项工作开发的普渡大学博士生达斯说。“还有更多即将到来。我们需要开发方法来领先于这些漏洞,不仅是已知的漏洞,还有尚未发现的漏洞。”
该团队的模型自动将漏洞与适当的弱点相关联,准确率高达87%,并将弱点与适当的攻击模式相关联,准确率高达80%。这些数字比今天的工具提供的要好得多,但科学家警告说,他们的新方法需要进行更广泛的测试。
一个障碍是缺乏用于训练的标记数据。例如,目前很少有漏洞(不到1%)与特定攻击有关。可用于训练的数据不多。
为了克服数据不足并执行工作,该团队使用自动编码器(BERT)和序列到序列模型(T5)对预训练的自然语言模型进行了微调。第一种方法使用语言模型将CVE关联到CWE,然后通过二进制链接预测方法将CWE关联到CAPEC。第二种方法使用序列到序列技术将CWE转换为CAPEC,并提供对关联进行排名的直观提示。这些方法产生了非常相似的结果,然后由团队中的网络安全专家进行了验证。
Halappanavar说:“我们把它放在那里供其他人测试,检查漏洞并确保模型适当地对它们进行分类。”“我们真的希望网络安全专家能够对这个开源平台进行测试。”