本次分享论文：Artificial Intelligence Techniques for Security Vulnerability Prevention

原文作者：Steve Kommrusch

作者单位：Colorado State University, Department of Computer Science, Fort Collins, CO, 80525 USA

关键词：artificial intelligence, machine learning, security, vulnerabilities, software

原文链接：https://arxiv.org/pdf/1912.06796

开源代码：暂无

论文简介：打算机安全问题已存在数十年之久，人工智能技能在这一领域的运用亦有着漫长的历史。
以往，多数技能紧张用于检测运行系统中的攻击，然而，近期在机器学习（诸如自然措辞处理）方面所取得的进步，让在系统支配前处理软件和规范以检测漏洞变为现实。
此文针对利用人工智能技能（涵盖机器学习）于产品引入前检测或修复安全漏洞的办法展开了综述。
在所调查的论文里，提出了诸如利用自然措辞处理剖析需求文档以保障安全标准的完全性、开展神经模糊测试、天生漏洞检测等技能。
我们把现有技能划分为三类：漏洞检测、漏洞修复以及规范剖析。
总体来讲，只管人工智能技能在该领域已极具效用，但其运用范畴依旧有限，供应了一系列能够赞助但无法取代系统开拓的工具，以降落漏洞风险。

研究目的：本文的研究目的是通过总结和剖析最新的人工智能技能在安全漏洞检测与预防中的运用，找出最有前景的研究方向，以期在系统支配前更有效地检测和修复软件漏洞。

近年来，机器学习技能的运用范畴不断延展，已能够在自然措辞处理、自动测试和代码剖析方面发挥关键浸染。
此外，传统的人工智能技能（诸如支持向量机、遗传算法和推理引擎）也可用于代码剖析，以防在系统支配前引入漏洞。
据 Cybersecurity Ventures 的报告，环球每年天生的代码量多达 1110 亿行。
凭借在系统支配前借助自动化机制检测漏洞，产品团队能够将更多精力集中于功能开拓和性能优化上。
只管机器学习和人工智能技能于安全漏洞检测领域已取得显著成果，但仍需更进一步的研究来拓展其运用范围，提升检测的精度与效率。

漏洞检测

漏洞检测指的是通过对源代码或二进制代码加以剖析，从而识别个中易受攻击的代码段的问题。
表 1 呈现了利用人工智能技能进行漏洞检测的干系论文。
个中有两篇论文重点研究了安卓运用，这凸显了机器学习运用在安全领域的一个紧张缘故原由。
那些荣誉取决于软件质量的公司也在供应平台，以供大量开拓者贡献代码。
自动处理所提交的运用程序的这种能力，极大地减轻了经由培训的专业职员进行质量担保的事情包袱。

漏洞修复

漏洞修复意味着在检测到漏洞之后，借助人工智能技能对代码中的漏洞进行自动修复。
代码修复的目标在于通过学习示例，把易受攻击的代码转变为安全的代码。
伴随这一领域的发展，数百万行的遗留代码能够得到清理，从而大幅增强安全性。
即便只是早期的进展，也可能极具代价。
例如，倘若创造了新类型的漏洞（如 Spectre），能够迅速天生示例以演习如何将易受攻击的代码变更为受保护的代码。
创建一个能够自动将包含漏洞的代码转化为安全代码的系统，能够有效地修复大型软件库中的代码。

自然措辞处理的进步为研究职员创造了自动处理漏洞描述或产品规范以评估安全风险的契机。
在 2017 年，CVE 每周记录了将近300个漏洞，这给系统管理员带来了沉重的包袱，他们须要对关键漏洞进行评估、优先处理以及修补。
Bozorgi 等人利用机器学习来消化 CVE 漏洞标签和描述，并天生一个单一的分数，用于总结漏洞的可利用性和严重性。
该分数能够赞助系统管理员优先开展新漏洞的补丁事情。

只管人工智能运用于安全漏洞的领域相对较窄，然而我们在这次调查中所谈论的论文展现出了研究的多样性。
个中一些最为有趣的成果包含在新智好手机运用程序中检测代码和规范里的漏洞的能力，这在消费者群体中属于一个主要的风险领域。
通过学习适当的代码转换来自动修复易受攻击的代码的潜力，在创造新漏洞时极为有用。
其余，剖析英文规范以察觉安全风险并参照安全标准文档的能力也颇具前景。
鉴于环球每年约天生 1110 亿行软件代码，能够在系统支配前得以运用的自动化安全技能，对付技能能够连续被消费者、公司和政府安全利用将至关主要。

原作者：论文解读智能体

校正：小椰风