在这个数字化时代,软件安全变得越来越重要。为了发现软件中的漏洞,科学家们开发出了基于深度学习的检测系统。这些系统就像是软件的"安检员",能够快速识别出潜在的安全隐患。但最近,一项名为EaTVul的研究让这些"安检员"吃了一记闷棍。

想象一下,如果有人能让安检仪器看不出危险物品,那会有多可怕?来自 CSIRO 的 Data61、斯威本科技大学和澳大利亚 DST 集团的研究人员推出了 EaTVul,这是一种创新的规避攻击策略。EaTVul 旨在揭示基于深度学习的检测系统在对抗性攻击面前的脆弱性。

它能巧妙地修改有漏洞的代码,让检测系统误以为一切正常。这就好比是给危险品披上了一层"隐形衣",骗过了安检的"火眼金睛"。

EaTVul 经过严格测试,成功率令人吃惊。对于超过两行的代码片段,它的成功率超过了83%,而对于四行的代码,成功率甚至高达100%!在各种实验中,EaTVul 持续操纵模型预测,暴露出当前检测系统的重大漏洞。

image.png

EaTVul的工作原理颇为有趣。

它先是用一种叫做支持向量机的方法找出关键的非漏洞样本,就像是找出考试中最容易混淆的题目。然后,它使用一种叫做注意力机制的技术,找出影响检测系统判断的关键特征,这就像是找出考官最看重的答题要点。

image.png

接着,它利用ChatGPT这个AI聊天机器人来生成迷惑性的数据,就像是编造出看似正确实则有问题的答案。最后,它还用了一个叫做模糊遗传算法的方法来优化这些数据,确保它们能最大程度地欺骗检测系统。

这项研究的结果给软件安全领域敲响了警钟。它告诉我们,即使是最先进的检测系统也可能被蒙蔽。这就好比是在提醒我们,即使最严密的安保系统也可能存在漏洞。因此,我们需要不断改进和加强这些系统,就像是要不断升级安检设备一样,以应对越来越狡猾的"黑客"们。

论文地址:https://arxiv.org/abs/2407.19216

划重点:

🚨 EaTVul是一种新型攻击方法,能有效欺骗深度学习based软件漏洞检测系统,成功率高达83%-100%。

🔍 EaTVul利用支持向量机、注意力机制、ChatGPT和模糊遗传算法等技术,巧妙地修改有漏洞的代码以逃过检测。

⚠️ 这项研究暴露了当前软件漏洞检测系统的脆弱性,呼吁我们需要开发更强大的防御机制来应对这类攻击。