联系我们

网络安全

Acronis SCS与领先的学者合作伙伴开发基于AI的风险评分模型

已发表

 on

美国网络保护公司 Acronis SCS 已与领先的学者合作,通过使用人工智能(AI)改进软件。此次合作开发了一种基于AI的风险评分模型,该模型能够定量评估软件代码漏洞。 

在分析的第一阶段,新模型在检测常见漏洞和暴露(CVE)方面显示出41%的改进。以下测试产生了同样令人印象深刻的结果,并且Acronis SCS将在模型完成时共享它。 

软件供应商和公共部门

该技术最大的方面之一是可以被其他软件供应商和公共部门组织利用。通过使用它,可以在不损害创新或小型商机的情况下改善软件供应链验证,它是这些组织可负担的工具。 

Acronis SCS的基于AI的模型依赖于 深度学习 扫描开源和专有源代码的神经网络。它可以提供公正的定量风险核心,IT管理员可以使用它来做出涉及部署新软件包和更新现有软件包的准确决策。 

该公司使用语言模型来嵌入代码。一种深度学习语言模型将嵌入层与递归神经网络相结合(神经网络)。上采样技术和分类算法(例如boost,随机森林和神经网络)用于测量模型。 

Joe Barr博士是Acronis SCS的高级研究总监。 

“我们使用语言模型来嵌入代码。语言模型是深度学习的一种形式,将嵌入层与递归神经网络(RNN)相结合。”巴尔博士告诉Unite.AI。 

“输入由函数对(函数,标签)组成,输出是函数易受黑客攻击(越野车)的概率P(y = 1 | x)。由于肯定标签很少见,因此我们使用了各种上采样技术和分类算法(例如增强算法,随机森林和神经网络)。我们通过ROC / AUC和百分位数提升(“不良”数占前k个百分位数,k = 1,2,3,4,5)来衡量“好”。

高效的验证流程

这项技术的另一个巨大机会是它能够使验证过程更加高效。 

他继续说道:“位于验证过程中的供应链验证将有助于识别错误/易受攻击的代码,并使验证过程的效率提高几个数量级。” 

与所有AI和软件一样,了解和解决任何潜在风险至关重要。当被问及开源软件(OSS)是否存在独特的风险时,巴尔博士说,存在通用风险和特定风险。 

他说:“存在通​​用风险和特定风险。” “一般风险包括代码中的“无辜”错误,这些错误可能会被邪恶的参与者利用。特定的风险与对抗性参与者(如国家资助的机构)有关,后者故意将错误引入开放源代码中,以便在某些时候加以利用。”

分析的初步结果发表在 电气工程师学会 titled “组合代码分类& Vulnerability。”

 

亚历克斯·麦克法兰(Alex McFarland)是一位历史学家和新闻工作者,报道了人工智能的最新发展。