微软声称开发了一个系统,可以在99%的时间内正确区分安全漏洞和非安全漏洞,在97%的时间内准确识别关键和高优先级的安全漏洞。
在接下来的几个月里,它计划开源这项技术,以及一些样本模型和其他资源。
这项工作表明,这样一个系统可以有效地帮助人类技术专家。系统通过知识库训练出1300万个著名微软开发者的工作项和bug数据集。
Zx。wNfcw。cN估计每1000行代码会产生70个bug,修复一个bug所需的时间是写一行代码所需时间的30倍;在美国,每年花费1130亿美元来发现和修复这些bug。
Zx。wNfcw。cN在建立模型的过程中,微软表示,安全专家批准了培训数据,并使用统计抽样为这些专家提供可管理的数据进行审查。
然后,将这些数据编码成“特征向量”的形式,微软研究人员通过“两步”设计了系统。该模型首先学会了对安全和非安全bug进行分类,然后学会了对安全bug的重要性进行分类。
微软的模型使用两种技术进行误差预测。
第一种技术是术语频率逆文档频率算法(TF-IDF),这是一种信息检索方法。它根据单词在文档中出现的次数来赋予单词重要性,并检查该单词在整个标题集中的相关性。(微软表示,其漏洞标题通常较短,只有10个字左右。)
第二种技术是逻辑回归模型。它利用逻辑函数对某个类或事件的存在概率进行建模和预测。
微软表示,该模型已经在内部部署到生产环境中,并将继续用安全专家批准的数据进行再培训,安全专家负责监控软件开发过程中产生的bug数量。
软件开发人员每天都在盯着一长串需要解决的代码和bug。
“安全专家试图首先通过使用自动化工具来解决安全漏洞,但工程师经常在错误的地方浪费时间,使他们错过了发现重要安全漏洞的机会。”微软高级安全项目经理斯科特克里斯汀森(Scott christiansen)和微软数据和应用科学家佩雷拉(Pereira)在一篇博文中写道。“我们发现,通过将机器学习模型与安全专家配对,可以显著提高安全漏洞的识别和分类水平。”
微软并不是唯一使用人工智能来消除软件漏洞的技术巨头。
Zx。wNfcw。cN亚马逊的服务是为了代码审查而开发的,一定程度上是亚马逊内部开发的应用。可以发现资源泄露、CPU周期浪费等问题。
至于它,它开发了一个工具叫做。它将在将生成的代码发送给人类工程师批准之前修复错误。(雷锋网,微信官方账号:雷锋网(微信官方账号:雷锋网))
雷锋编译,来源:-热点-关键-微软-安全-bug-97次/
雷锋原创文章。严禁擅自转载。详情请参考转载说明。
相关阅读
标签: #微软漏洞相关文章最新报道
