منذ 7 أيام

V2W-BERT: إطار عمل لتصنيف فعال متعدد المستويات للثغرات البرمجية

Siddhartha Shankar Das, Edoardo Serra, Mahantesh Halappanavar, Alex Pothen, Ehab Al-Shaer

الملخص

تُعدّ العيوب في الأنظمة الحاسوبية، مثل الأعطال والثغرات والأخطاء في البنية المعمارية أو التصميم أو التنفيذ للبرمجيات، مصادر للثغرات التي يمكن لالمهاجمين استغلالها لانتهاك أمن النظام. وتمثل القوائم الشائعة للعيوب (CWE) قاموسًا هرميًا يُصنف العيوب البرمجية، ويوفر وسيلة لفهم العيوب البرمجية، والتأثير المحتمل لاستغلالها، وطرق التخفيف منها. أما القوائم الشائعة للثغرات والانكشافات (CVE)، فهي وصفات موجزة على المستوى المنخفض تُحدد بشكل فريد الثغرات الموجودة في منتج معين أو بروتوكول معين. وعند تصنيف أو ربط CVEs بـ CWEs، يُصبح بالإمكان فهم تأثير هذه الثغرات واتخاذ إجراءات للحد منها. وبما أن التصنيف اليدوي لـ CVE غير عملي من الناحية العملية، فإن النهج الآلي يُعدّ مرغوبًا، ولكنه يواجه تحديات كبيرة.في هذا البحث، نقدم إطارًا تعلّميًا مبنيًا على نموذج Transformer (V2W-BERT) جديدًا. وباستخدام أفكار من معالجة اللغة الطبيعية، وتنبؤ الروابط، والتعلم المنقول، يتفوّق أسلوبنا على الأساليب السابقة ليس فقط في حالات CWE التي تتوفر عليها كميات كبيرة من البيانات التدريبية، بل أيضًا في الفئات النادرة من CWE التي تفتقر إلى بيانات تدريب كافية أو حتى لا تتوفر عليها. كما تُظهر طريقة عملنا تحسينات كبيرة في استخدام البيانات التاريخية للتنبؤ بالروابط الخاصة بحالات CVE المستقبلية، وبالتالي تُقدّم حلًا عمليًا وواقعيًا. وباستخدام بيانات من منظمة MITRE وقاعدة بيانات الثغرات الوطنية (NVD)، نحقق دقة تنبؤ تصل إلى 97% في البيانات التي تم تقسيمها عشوائيًا، وتدقّق تصل إلى 94% في البيانات التي تم تقسيمها زمنيًا. ونعتقد أن هذا العمل سيُؤثر في تصميم أساليب ونماذج تدريب أفضل، وسيُساهم في تطبيقات لحل مشكلات أصعب متزايدة في مجال الأمن السيبراني.