Punteggi di vulnerabilità delle applicazioni basate su Machine Learning

0

Questa domanda è correlata a domande precedenti: 1 & 2 sulle limitazioni nel punteggio di vulnerabilità delle applicazioni Web / punteggio di vulnerabilità automatizzato. In effetti, le vulnerabilità di scoring rilevate nelle applicazioni web e basate su REST non sono semplici e difficili da automatizzare. Mentre i pacchetti software sono valutati utilizzando il CVSS (ad esempio NVD mantiene CVE per le vulnerabilità segnalate e assegna punteggi appropriati), le applicazioni web non vengono valutate centralmente. Tuttavia, esistono diverse fonti di informazioni sulla vulnerabilità per le applicazioni Web che potrebbero essere sfruttate ad es. CWE . Può approcci di apprendimento automatico, ad es. textization del testo può essere utilizzato per risolvere questa sfida poiché diversi problemi di sicurezza hanno beneficiato di machine learning ?

Un esempio : se la vulnerabilità di un'applicazione Web rilevata è descritta come "Un attacco XSS si rifletteva in una risposta JSON, questo potrebbe lasciare i consumatori di contenuti vulnerabili ad attaccare se non sono appropriatamente gestire i dati (risposta). " e assegnato CWE Id 79. Un algoritmo di corrispondenza del testo può inserire parole chiave specificate nella descrizione, ad es. "Attacco XSS" e "risposta JSON" per analisi e punteggi di gravità di calcolo utilizzando le fonti, ad es. CWE e CVSS?

Una breve ricerca mi porta al modello word2vec di tensorflow, può potenzialmente risolvere questa sfida?

Sarò felice di sapere se tali tecniche esistono all'interno della comunità di sicurezza o se questo tipo di approccio è limitato in determinati modi.

Nota: ho posto la stessa domanda su Data Science e si ripete nessuna attenzione probabilmente perché lo spazio del problema è molto specifico.

    
posta SyCode 21.07.2018 - 21:11
fonte

0 risposte