Машинное обучение vs поиск уязвимостей в программном обеспечении: анализ применимости и синтез концептуальной системы
- Авторы: Леонов Н.В.1, Буйневич М.В.2
-
Учреждения:
- Государственный научно-исследовательский институт прикладных проблем
- Санкт-Петербургский университет государственной противопожарной службы МЧС России
- Выпуск: Том 9, № 6 (2023)
- Страницы: 83-94
- Раздел: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ
- URL: https://journals.rcsi.science/1813-324X/article/view/252976
- ID: 252976
Цитировать
Полный текст
Аннотация
Работа посвящена проблеме поиска уязвимостей в программном обеспечении, а также возможностям применения такого перспективного направления информационных технологий, как машинное обучение. Для этого произведен обзор научных публикаций предметной области из российской и зарубежной базы цитирования. Осуществлен сравнительный анализ результатов обзора по следующим критериям: год публикации, область применения, идея, решаемая задача машинного обучения, степень реализации его моделей и методов; по каждому критерию сделаны основополагающие выводы. В итоге предложены 7 принципов построения новой концептуальной системы поиска уязвимостей в программном обеспечении с помощью машинного обучения, краткий смысл которых состоит в следующем: многостороннее исследование программы, комбинирование известных методов, использование машинного обучения в каждом методе и алгоритме управления ими, возможность корректировки работы экспертом, хранение информации в базе данных и ее синхронизации с внешними, рекомендательный характер относительно найденных уязвимостей; использование единой программно-аппаратной платформы. На основании декларируемых принципов разработана графическая схема такой системы.
Ключевые слова
Об авторах
Н. В. Леонов
Государственный научно-исследовательский институт прикладных проблем
Email: Leonov-nv@yandex.ru
ORCID iD: 0009-0005-1295-5343
М. В. Буйневич
Санкт-Петербургский университет государственной противопожарной службы МЧС России
Email: bmv1958@yandex.ru
ORCID iD: 0000-0001-8146-0022
Список литературы
- Романов Н.Е., Израилов К.Е., Покусов В.В. Система поддержки интеллектуального программирования: машинное обучение feat. быстрая разработка безопасных программ // Информатизация и связь. 2021. № 5. С. 7‒17. doi: 10.34219/2078-8320-2021-12-5-7-16
- Chavan A., Pimplikar S., Deshmukh A. An Overview of Machine Learning Techniques for Evaluation of Pavement Condition // Proceedings of the 4th International Conference on Cybernetics, Cognition and Machine Learning Applications (ICCCMLA, Goa, India, 08‒09 October 2022). IEEE, 2022. PP. 139‒143. doi: 10.1109/ICCCMLA56841.2022.9989164
- Sathuluri M.R., Sahithi R., Sri P.N., Arshitha K. Machine Learning Approach to Design Fractal Antenna for 5G Applications // Proceedings of the 4th International Conference on Inventive Research in Computing Applications (ICIRCA, Coimbatore, India, 21‒23 September 2022). IEEE, 2022. PP. 275‒280. doi: 10.1109/ICIRCA54612.2022.9985480
- Rana P., Gupta L. R., Dubey M.K., Kumar G. Review on evaluation techniques for better student learning outcomes using machine learning // Proceedings of the 2nd International Conference on Intelligent Engineering and Management (ICIEM, London, United Kingdom, 28‒30 April 2021). IEEE, 2021. PP. 86‒90. doi: 10.1109/ICIEM51511.2021.9445294
- AlShehri Y., Ramaswamy L. SECOE: Alleviating Sensors Failure in Machine Learning-Coupled IoT Systems // Proceedings of the 21st International Conference on Machine Learning and Applications (ICMLA, Nassau, Bahamas, 2‒14 December 2022). IEEE, 2022. PP. 743‒747. doi: 10.1109/ICMLA55696.2022.00124
- Tommy R., Sundeep G., Jose H. Automatic Detection and Correction of Vulnerabilities using Machine Learning // Proceedings of the International Conference on Current Trends in Computer, Electrical, Electronics and Communication (CTCEEC, Mysore, India, 08‒09 September 2017). IEEE, 2017. PP. 1062‒1065. doi: 10.1109/CTCEEC.2017.8454995
- Jin Z., Yu Y. Current and Future Research of Machine Learning Based Vulnerability Detection // Proceedings of the Eighth International Conference on Instrumentation & Measurement, Computer, Communication and Control (IMCCC, Harbin, China, 19‒21 July 2018). IEEE, 2018. PP. 1562‒1566. doi: 10.1109/IMCCC.2018.00322
- Zhumabekova A., Matson E.T., Karyukin V., Zhumabekova K., Zhuandykov B., Ussatova O., et al. Determining Web Application Vulnerabilities Using Machine Learning Methods // Proceedings of the 19th International Asian School-Seminar on Optimization Problems of Complex Systems (OPCS, Novosibirsk, Moscow, Russian Federation, 14‒22 August 2023). IEEE, 2023. PP. 136‒139. doi: 10.1109/OPCS59592.2023.10275756
- Zhang K. A Machine Learning Based Approach to Identify SQL Injection Vulnerabilities // Proceedings of the 34th IEEE/ACM International Conference on Automated Software Engineering (San Diego, USA, 11‒15 November 2019). IEEE, 2019. PP. 1286‒1288. doi: 10.1109/ASE.2019.00164
- Le Q.V., Mikolov T. Distributed Representations of Sentences and Documents // Proceedings of the 31st International Conference on Machine Learning (PMLR, Beijing, China, 21‒26 June 2014). 2014. Vol. 32. Iss. 2. PP. 1188‒1196.
- Zheng W., Gao J., Wu X., Xun Y., Liu G., Chen X. An Empirical Study of High-Impact Factors for Machine Learning-Based Vulnerability Detection // Proceedings of the IEEE 2nd International Workshop on Intelligent Bug Fixing (IBF, London, ON, Canada, 18‒18 February 2020). IEEE, 2020. PP. 26‒34. doi: 10.1109/IBF50092.2020.9034888
- Выборнова О.Н., Рыжиков А.Н. Применение машинного обучения с подкреплением для автоматизированного поиска уязвимостей информационных систем // Математические методы в технике и технологиях ‒ ММТТ. 2020. Т. 4. С. 110‒113.
- Буйневич М.В., Израилов К.Е. Обобщенная модель статического анализа программного кода на базе машинного обучения применительно к задаче поиска уязвимостей // Информатизация и связь. 2020. №. 2. С. 143‒152. doi: 10.34219/2078-8320-2020-11-2-143-152
- Демидов Р.А. Поиск уязвимостей в машинном коде с помощью методов глубокого обучения // IV межрегиональная научно-практическая конференция «Перспективные направления развития отечественных информационных технологий» (Севастополь, Российская Федерация,18–22 сентября 2018). Севастопольский государственный университет, 2018. С. 237‒238.
- Bottou L. From machine learning to machine reasoning // Machine Learning. 2014. Vol. 94. Iss. 2. PP. 133–149. doi: 10.1007/s10994-013-5335-x
- Осман С.Ш.О. Использование ИИ в поиске уязвимостей в локальных сетях или Веб-приложениях // IX международная научно-практическая конференция «Актуальные аспекты развития науки и общества в эпоху цифровой трансформации (шифр–МКАА)» (Москва, Российская Федерация, 25 июля 2023). Махачкала: Издательство АЛЕФ, 2023. С. 83‒88.
- Максимова А.А., Гончаренко Л.Х., Бачевский А.Е., Гуртова К.С., Умеренко Г.С., Анистратенко М.А. Способ и Система выявления эксплуатируемых уязвимостей в программном коде. Патент на изобретение RUS 2790005 C1 от 10.03.2022. Опубл. 14.02.2023.
- Левшун Д.С. Компонент анализа эффективности методов машинного обучения для предсказания значений метрик уязвимостей. Свидетельство о регистрации программы для ЭВМ № RU 2023619249 от 05.05.2023. Опубл. 05.05.2023.
- Celisse A. Optimal cross-validation in density estimation with the L2-loss // The Annals of Statistics. 2014. Vol. 42. Iss. 5. PP. 1879‒1910. doi: 10.1214/14-AOS1240
- Кустаров Д.А., Сорокин Л.А., Трухачев А.А. Прототип программного решения, реализующий перспективные технологии искусственного интеллекта применительно к тестированию на проникновение информационных систем. Свидетельство о регистрации программы для ЭВМ № RU 2022682324 от 22.11.2022. Опубл. 29.11.2022.