微軟最近宣布已經(jīng)成功創(chuàng)建了一種機(jī)器學(xué)習(xí)模型 可以準(zhǔn)確地識別出高優(yōu)先級的安全漏洞

自程序員Grace Murray Hopper報告早期哈佛Mark II計算機(jī)的錯誤原因這一天以來，軟件錯誤一直是程序員關(guān)注的問題已有75年了。因此，術(shù)語“ bug”誕生了。

錯誤的范圍從輕微的計算機(jī)故障到災(zāi)難。在80年代，由于無經(jīng)驗的程序員錯誤，Therac-25放射治療設(shè)備發(fā)生故障，導(dǎo)致至少五名患者死亡。1962年，太空總署(NASA)的任務(wù)控制摧毀了水手I號太空探測器，因為它偏離了預(yù)定的穿越大西洋的路徑;抄寫不正確的手寫代碼受到了指責(zé)。1982年，一個據(jù)稱后來由情報局植入蘇聯(lián)跨西伯利亞天然氣管道的軟件漏洞引發(fā)了歷史上最大的非核爆炸之一。

根據(jù)數(shù)據(jù)管理公司Coralogix的說法，程序員每1000行代碼產(chǎn)生70個錯誤，而每個錯誤解決方案所需的時間比最初編寫代碼要多30倍。該公司估計，每年在錯誤識別和修復(fù)方面的支出為1,130億美元。

因此，微軟最近宣布已經(jīng)成功創(chuàng)建了一種機(jī)器學(xué)習(xí)模型，可以準(zhǔn)確地識別出高優(yōu)先級的安全漏洞(97%的時間)，這是可喜的消息。

微軟高級安全計劃經(jīng)理斯科特·克里斯蒂安森(Scott Christiansen)在本月初在線發(fā)布的一份報告中說：“我們發(fā)現(xiàn)，通過將機(jī)器學(xué)習(xí)模型與安全專家配對，可以顯著改善安全漏洞的識別和分類。”

該模型具有更高的成功率(99%)，可以區(qū)分安全性和非安全性錯誤。

Microsoft使用了兩種統(tǒng)計技術(shù)來設(shè)計其錯誤檢測系統(tǒng)。一種稱為術(shù)語頻率逆文檔頻率算法(TF-IDF)，它檢查大量文檔集合中的關(guān)鍵字并計算其相關(guān)性。另一個是邏輯回歸模型，用于確定特定類別或事件存在的概率。

該程序首先對安全和非安全錯誤進(jìn)行分類，然后對其進(jìn)行了改進(jìn)，以將威脅程度分類為“嚴(yán)重”，“重要”或“低影響”。

克里斯蒂安森說，微軟的目標(biāo)是設(shè)計一個漏洞檢測系統(tǒng)，“其準(zhǔn)確性應(yīng)盡可能接近安全專家。”

Christiansen解釋說，該項目的一個關(guān)鍵突破是“即使僅提供標(biāo)題來進(jìn)行培訓(xùn)和評分，也可以執(zhí)行錯誤報告”。

他說：“據(jù)我們所知，這是這樣做的第一項工作。”