References

tuzsut

Труды учебных заведений связи

Proceedings of Telecommunication Universities

1813-324X2712-8830

СПбГУТ

10.31854/1813-324X-2023-9-6-83-94

tuzsut-531

Research Article

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ

INFORMATION TECHNOLOGIES AND TELECOMMUNICATION

Машинное обучение vs поиск уязвимостей в программном обеспечении: анализ применимости и синтез концептуальной системы

Machine Learning vs Software Vulnerability Detection: Applicability Analysis and Conceptual System Synthesis

https://orcid.org/0009-0005-1295-5343

Леонов

Н. В.

Leonov

кандидат технических наук, доцент, начальник лаборатории Государственного научно-исследовательского института прикладных проблем

Leonov-nv@yandex.ru

https://orcid.org/0000-0001-8146-0022

Буйневич

М. В.

Buinevich

доктор технических наук, профессор, профессор кафедры прикладной математики и информационных технологий Санкт-Петербургского университета государственной противопожарной службы МЧС России

bmv1958@yandex.ru

Государственный научно-исследовательский институт прикладных проблемРоссияState Research Institute of Applied ProblemsRussian Federation

Санкт-Петербургский университет государственной противопожарной службы МЧС РоссииРоссияSaint-Petersburg University of State Fire Service of EMERCOM of RussiaRussian Federation

2023

25122023

968394

2023

Леонов Н.В., Буйневич М.В.

Leonov N., Buinevich M.

This work is licensed under a Creative Commons Attribution 4.0 License.

https://tuzs.sut.ru/jour/article/view/531

Работа посвящена проблеме поиска уязвимостей в программном обеспечении, а также возможностям применения такого перспективного направления информационных технологий, как машинное обучение. Для этого произведен обзор научных публикаций предметной области из российской и зарубежной базы цитирования. Осуществлен сравнительный анализ результатов обзора по следующим критериям: год публикации, область применения, идея, решаемая задача машинного обучения, степень реализации его моделей и методов; по каждому критерию сделаны основополагающие выводы. В итоге предложены 7 принципов построения новой концептуальной системы поиска уязвимостей в программном обеспечении с помощью машинного обучения, краткий смысл которых состоит в следующем: многостороннее исследование программы, комбинирование известных методов, использование машинного обучения в каждом методе и алгоритме управления ими, возможность корректировки работы экспертом, хранение информации в базе данных и ее синхронизации с внешними, рекомендательный характер относительно найденных уязвимостей; использование единой программно-аппаратной платформы. На основании декларируемых принципов разработана графическая схема такой системы.

The article is devoted to the searching for vulnerabilities in software problem, as well as the possibilities of application of such a promising area in information technology as machine learning. For this purpose, a review of scientific publications in this area from Russian and foreign citation databases is made. A comparative analysis of the review's results was made according to the following criteria: publication year, application field, idea, solved problem of machine learning, degree of realization of its models and methods; for each criterion basic conclusions were drawn. As a result, 7 principles of building a new conceptual system of searching for vulnerabilities in software with the help of machine learning are proposed, the short meaning of which is as follows: program's multilateral study, combination of known methods, the use of machine learning in each method and algorithm of its management, the possibility of correcting the expert's work, storing information in a database and its synchronization with external, advisory nature of the found vulnerabilities; single software application usage. Based on the stated principles, a graphical scheme of such a system has been developed.

информационная безопасностьпоиск уязвимостеймашинное обучениеобзорпринципысистема поиска

information securityvulnerability searchmachine learningreviewprinciplessearch engine

References1

Романов Н.Е., Израилов К.Е., Покусов В.В. Система поддержки интеллектуального программирования: машинное обучение feat. быстрая разработка безопасных программ // Информатизация и связь. 2021. № 5. С. 7‒17. DOI:10.34219/2078-8320-2021-12-5-7-16

Romanov N.E., Izrailov K.E., Pokussov V.V. Intelligent Programming Support System: Machine Learning Feat. Fast Development of Secure Programs. Informatization and communication. 2021;5:7‒17. DOI:10.34219/2078-8320-2021-12-5-7-16

Chavan A., Pimplikar S., Deshmukh A. An Overview of Machine Learning Techniques for Evaluation of Pavement Condition // Proceedings of the 4th International Conference on Cybernetics, Cognition and Machine Learning Applications (ICCCMLA, Goa, India, 08‒09 October 2022). IEEE, 2022. PP. 139‒143. DOI:10.1109/ICCCMLA56841.2022.9989164

Chavan A., Pimplikar S., Deshmukh A. An Overview of Machine Learning Techniques for Evaluation of Pavement Condition. Proceedings of the 4th International Conference on Cybernetics, Cognition and Machine Learning Applications, ICCCMLA, 08‒09 October 2022, Goa, India). IEEE; 2022. p.139‒143. DOI:10.1109/ICCCMLA56841.2022.9989164

Sathuluri M.R., Sahithi R., Sri P.N., Arshitha K. Machine Learning Approach to Design Fractal Antenna for 5G Applications // Proceedings of the 4th International Conference on Inventive Research in Computing Applications (ICIRCA, Coimbatore, India, 21‒23 September 2022). IEEE, 2022. PP. 275‒280. DOI:10.1109/ICIRCA54612.2022.9985480

Sathuluri M.R., Sahithi R., Sri P.N., Arshitha K. Machine Learning Approach to Design Fractal Antenna for 5G Applications. Proceedings of the 4th International Conference on Inventive Research in Computing Applications, ICIRCA, 21‒23 September 2022, Coimbatore, India. IEEE; 2022. p.275‒280. DOI:10.1109/ICIRCA54612.2022.9985480

Rana P., Gupta L. R., Dubey M.K., Kumar G. Review on evaluation techniques for better student learning outcomes using machine learning // Proceedings of the 2nd International Conference on Intelligent Engineering and Management (ICIEM, London, United Kingdom, 28‒30 April 2021). IEEE, 2021. PP. 86‒90. DOI:10.1109/ICIEM51511.2021.9445294

Rana P., Gupta L. R., Dubey M.K., Kumar G. Review on evaluation techniques for better student learning outcomes using machine learning. Proceedings of the 2nd International Conference on Intelligent Engineering and Management, ICIEM, 28‒30 April 2021, London, United Kingdom. IEEE; 2021. p.86‒90. DOI:10.1109/ICIEM51511.2021.9445294

AlShehri Y., Ramaswamy L. SECOE: Alleviating Sensors Failure in Machine Learning-Coupled IoT Systems // Proceedings of the 21st International Conference on Machine Learning and Applications (ICMLA, Nassau, Bahamas, 2‒14 December 2022). IEEE, 2022. PP. 743‒747. DOI:10.1109/ICMLA55696.2022.00124

AlShehri Y., Ramaswamy L. SECOE: Alleviating Sensors Failure in Machine Learning-Coupled IoT Systems. Proceedings of the 21st International Conference on Machine Learning and Applications, ICMLA, 2‒14 December 2022, Nassau, Bahamas. IEEE; 2022. p.743‒747. DOI:10.1109/ICMLA55696.2022.00124

Tommy R., Sundeep G., Jose H. Automatic Detection and Correction of Vulnerabilities using Machine Learning // Proceedings of the International Conference on Current Trends in Computer, Electrical, Electronics and Communication (CTCEEC, Mysore, India, 08‒09 September 2017). IEEE, 2017. PP. 1062‒1065. DOI:10.1109/CTCEEC.2017.8454995

Tommy R., Sundeep G., Jose H. Automatic Detection and Correction of Vulnerabilities using Machine Learning. Proceedings of the International Conference on Current Trends in Computer, Electrical, Electronics and Communication, CTCEEC, 08‒09 September 2017, Mysore, India. IEEE; 2017. p.1062‒1065. DOI:10.1109/CTCEEC.2017.8454995

Jin Z., Yu Y. Current and Future Research of Machine Learning Based Vulnerability Detection // Proceedings of the Eighth International Conference on Instrumentation & Measurement, Computer, Communication and Control (IMCCC, Harbin, China, 19‒21 July 2018). IEEE, 2018. PP. 1562‒1566. DOI:10.1109/IMCCC.2018.00322

Jin Z., Yu Y. Current and Future Research of Machine Learning Based Vulnerability Detection. Proceedings of the Eighth International Conference on Instrumentation & Measurement, Computer, Communication and Control, IMCCC, 19‒21 July 2018, Harbin, China. IEEE; 2018. p.1562‒1566. DOI:10.1109/IMCCC.2018.00322

Zhumabekova A., Matson E.T., Karyukin V., Zhumabekova K., Zhuandykov B., Ussatova O., et al. Determining Web Application Vulnerabilities Using Machine Learning Methods // Proceedings of the 19th International Asian School-Seminar on Optimization Problems of Complex Systems (OPCS, Novosibirsk, Moscow, Russian Federation, 14‒22 August 2023). IEEE, 2023. PP. 136‒139. DOI:10.1109/OPCS59592.2023.10275756

Zhumabekova A., Matson E.T., Karyukin V., Zhumabekova K., Zhuandykov B., Ussatova O., et al. Determining Web Application Vulnerabilities Using Machine Learning Methods. Proceedings of the 19th International Asian School-Seminar on Optimization Problems of Complex Systems, OPCS, 14‒22 August 2023, Novosibirsk, Moscow, Russian Federation. IEEE; 2023. p.136‒139. DOI:10.1109/OPCS59592.2023.10275756

Zhang K. A Machine Learning Based Approach to Identify SQL Injection Vulnerabilities // Proceedings of the 34th IEEE/ACM International Conference on Automated Software Engineering (San Diego, USA, 11‒15 November 2019). IEEE, 2019. PP. 1286‒1288. DOI:10.1109/ASE.2019.00164

Zhang K. A Machine Learning Based Approach to Identify SQL Injection Vulnerabilities. Proceedings of the 34th IEEE/ACM International Conference on Automated Software Engineering, 11‒15 November 2019, San Diego, USA. IEEE; 2019. p.1286‒1288. DOI:10.1109/ASE.2019.00164

Le Q.V., Mikolov T. Distributed Representations of Sentences and Documents // Proceedings of the 31st International Conference on Machine Learning (PMLR, Beijing, China, 21‒26 June 2014). 2014. Vol. 32. Iss. 2. PP. 1188‒1196.

Le Q.V., Mikolov T. Distributed Representations of Sentences and Documents. Proceedings of the 31st International Conference on Machine Learning, PMLR, 21‒26 June 2014, Beijing, China. 2014;32(2):1188‒1196.

Zheng W., Gao J., Wu X., Xun Y., Liu G., Chen X. An Empirical Study of High-Impact Factors for Machine Learning-Based Vulnerability Detection // Proceedings of the IEEE 2nd International Workshop on Intelligent Bug Fixing (IBF, London, ON, Canada, 18‒18 February 2020). IEEE, 2020. PP. 26‒34. DOI:10.1109/IBF50092.2020.9034888

Zheng W., Gao J., Wu X., Xun Y., Liu G., Chen X. An Empirical Study of High-Impact Factors for Machine Learning-Based Vulnerability Detection. Proceedings of the IEEE 2nd International Workshop on Intelligent Bug Fixing, IBF, 18‒18 Febru-ary 2020, London, ON, Canada. IEEE; 2020. p.26‒34. DOI:10.1109/IBF50092.2020.9034888

Выборнова О.Н., Рыжиков А.Н. Применение машинного обучения с подкреплением для автоматизированного поиска уязвимостей информационных систем // Математические методы в технике и технологиях ‒ ММТТ. 2020. Т. 4. С. 110‒113.

Vybornova O.N., Ryzhikov A.N. Reinforcement Learning for Automated Vulnerability Search. Matematicheskie metody v tekhnike i tekhnologiiakh ‒ MMTT. 2020;4:110‒113.

Буйневич М.В., Израилов К.Е. Обобщенная модель статического анализа программного кода на базе машинного обучения применительно к задаче поиска уязвимостей // Информатизация и связь. 2020. №. 2. С. 143‒152. DOI:10.34219/2078-8320-2020-11-2-143-152

Buinevich M.V., Izrailov K.E. Generalized model of software code`s static analysis based on machine learning for vulnerabilitys search. Informatization and communication. 2020;2:143‒152. DOI:10.34219/2078-8320-2020-11-2-143-152

Демидов Р.А. Поиск уязвимостей в машинном коде с помощью методов глубокого обучения // IV межрегиональная научно-практическая конференция «Перспективные направления развития отечественных информационных технологий» (Севастополь, Российская Федерация,18–22 сентября 2018). Севастопольский государственный университет, 2018. С. 237‒238.

Demidov R.A. Vulnerability Search in Machine Code Using Deep Learning Approach. Proceedings of the IVth interregional Scientific and Practical Conference on Promising Directions for the Development of Domestic Information Technologies, 18–22 September 2018, Sevastopol, Russian Federation. Sevastopol State University Publ.; 2018. p.237‒238.

Bottou L. From machine learning to machine reasoning // Machine Learning. 2014. Vol. 94. Iss. 2. PP. 133–149. DOI:10.1007/s10994-013-5335-x

Bottou L. From machine learning to machine reasoning. Machine Learning. 2014;94(2):133–149. DOI:10.1007/ s10994-013-5335-x

Осман С.Ш.О. Использование ИИ в поиске уязвимостей в локальных сетях или Веб-приложениях // IX международная научно-практическая конференция «Актуальные аспекты развития науки и общества в эпоху цифровой трансформации (шифр–МКАА)» (Москва, Российская Федерация, 25 июля 2023). Махачкала: Издательство АЛЕФ, 2023. С. 83‒88.

Osman S.Sh.O. Using AI in Searching for Vulnerabilities in Local Networks or Web Applications. IX International Scientific and Practical Conference on Current Aspects of the Development of Science and Society in the Era of Digital Transformation, Code – MCAA, 25 July 2023, Moscow, Russian Federation. Makhachkala: ALEF Publ., 2023. p.83‒88.

Максимова А.А., Гончаренко Л.Х., Бачевский А.Е., Гуртова К.С., Умеренко Г.С., Анистратенко М.А. Способ и Система выявления эксплуатируемых уязвимостей в программном коде. Патент на изобретение RUS 2790005 C1 от 10.03.2022. Опубл. 14.02.2023.

Maksimova A.A., Goncharenko L.Kh., Bachevsky A.E., Gurtova K.S., Umerenko G.S., Anistratenko M.A. Method and System for Identifying Exploitable Vulnerabilities in Program Code. Patent RF, no. 2790005 C1, 14.02.2023.

Левшун Д.С. Компонент анализа эффективности методов машинного обучения для предсказания значений метрик уязвимостей. Свидетельство о регистрации программы для ЭВМ № RU 2023619249 от 05.05.2023. Опубл. 05.05.2023.

Levshun D.S. Component for Analyzing the Effectiveness of Machine Learning Methods for Predicting the Values of Vulnerability Metrics. Patent RF, no. 2023619249, 05.05.2023.

Celisse A. Optimal cross-validation in density estimation with the L2-loss // The Annals of Statistics. 2014. Vol. 42. Iss. 5. PP. 1879‒1910. DOI:10.1214/14-AOS1240

Celisse A. Optimal cross-validation in density estimation with the L2-loss. The Annals of Statistics. 2014;42(5):1879‒1910. DOI:10.1214/14-AOS1240

Кустаров Д.А., Сорокин Л.А., Трухачев А.А. Прототип программного решения, реализующий перспективные технологии искусственного интеллекта применительно к тестированию на проникновение информационных систем. Свидетельство о регистрации программы для ЭВМ № RU 2022682324 от 22.11.2022. Опубл. 29.11.2022.

Kustarov D.A., Sorokin L.A., Trukhachev A.A. A Prototype of a Software Solution That Implements Promising Artificial Intelligence Technologies in Relation to Penetration Testing Of Information Systems. Patent RF, no. 2022682324, 29.11.2022.

The authors declare that there are no conflicts of interest present.