深度學習在軟體安全領域應用廣泛,基於深度學習的漏洞偵測系統成為軟體安全的堅實屏障。然而,安全領域永遠存在著攻防對抗。 Downcodes小編今天帶來一篇關於EaTVul的研究,它以創新的規避攻擊策略,成功挑戰了現有的深度學習漏洞檢測系統,其高超的規避能力令人咋舌。讓我們一起深入了解這項令人震驚的研究成果,看看它如何攻破了看似堅不可摧的防線。
在這個數位化時代,軟體安全變得越來越重要。為了發現軟體中的漏洞,科學家們開發了基於深度學習的檢測系統。這些系統就像是軟體的安檢員,能夠快速辨識出潛在的安全隱患。但最近,一項名為EaTVul的研究讓這些安檢員吃了一記悶棍。
想像一下,如果有人能讓安檢儀器看不出危險物品,那會有多可怕?來自CSIRO 的Data61、斯威本科技大學和澳大利亞DST 集團的研究人員推出了EaTVul,這是一種創新的規避攻擊策略。 EaTVul 旨在揭示基於深度學習的偵測系統在對抗性攻擊面前的脆弱性。
它能巧妙地修改有漏洞的程式碼,讓偵測系統誤以為一切正常。這就好比是給危險品披上了一層隱形衣,騙過了安檢的火眼金睛。
EaTVul 經過嚴格測試,成功率令人吃驚。對於超過兩行的程式碼片段,它的成功率超過了83%,而對於四行的程式碼,成功率甚至高達100%!在各種實驗中,EaTVul 持續操縱模型預測,暴露出目前檢測系統的重大漏洞。
EaTVul的工作原理相當有趣。
它先是用一種叫做支援向量機的方法找出關鍵的非漏洞樣本,就像是找出考試中最容易混淆的題目。然後,它使用一種叫做注意力機制的技術,找出影響偵測系統判斷的關鍵特徵,就像是找出考官最重視的答案要點。
接著,它利用ChatGPT這個AI聊天機器人來產生迷惑性的數據,就像是編造出看似正確實則有問題的答案。最後,它也用了一個叫做模糊遺傳演算法的方法來優化這些數據,確保它們能最大程度地欺騙偵測系統。
這項研究的結果在軟體安全領域敲響了警鐘。它告訴我們,即使是最先進的檢測系統也可能被蒙蔽。這就好比是在提醒我們,即使最嚴密的安保系統也可能有漏洞。因此,我們需要不斷改進和加強這些系統,就像是要不斷升級安檢設備一樣,以應對越來越狡猾的駭客。
論文網址:https://arxiv.org/abs/2407.19216
劃重點:
? EaTVul是一種新型攻擊方法,能有效欺騙深度學習based軟體漏洞偵測系統,成功率高達83%-100%。
EaTVul利用支援向量機、注意力機制、ChatGPT和模糊遺傳演算法等技術,巧妙地修改有漏洞的程式碼以逃脫偵測。
⚠️ 這項研究暴露了目前軟體漏洞偵測系統的脆弱性,呼籲我們需要開發更強大的防禦機制來應對這類攻擊。
EaTVul的出現,無疑為軟體安全領域帶來了新的挑戰。這提醒我們,在與日俱增的網路安全威脅面前,持續創新和改進安全技術至關重要。只有不斷提升防禦能力,才能更好地守護數位世界的安全。