Pionnier d’une approche d’analyse de la cybersécurité basée sur l’IA

Une équipe de Northwestern Computer Science a remporté la première place au concours d’outils de fuzzing lors du 17e atelier international sur les tests basés sur la recherche et les tests de fuzz (SBFT 2024), qui s’est tenu du 14 au 20 avril et a eu lieu conjointement avec la Conférence internationale sur le génie logiciel à Lisbonne, au Portugal. .

Les tests fuzz, ou « fuzzing », sont une technique de test automatisée utilisée pour détecter les erreurs de codage et les vulnérabilités de sécurité dans les logiciels, les systèmes d’exploitation ou les réseaux en fournissant un grand volume d’entrées de données invalides ou aléatoires et en surveillant les pannes, les pannes ou la mémoire du système. des fuites.

L’équipe de Northwestern Engineering comprenait les doctorants en informatique Wenxuan Shi et Jiahao Yu et le professeur agrégé d’informatique Xinyu Xing, avec les collaborateurs Hongwei Li (Université Purdue) et Wenbo Guo (Université de Californie, Santa Barbara).

Leur outil, appelé BandFuzz, est un outil de fuzzing collaboratif alimenté par l’IA, conçu pour découvrir les vulnérabilités logicielles. Tirant parti d’un algorithme d’apprentissage par renforcement, BandFuzz augmente l’efficacité des pratiques de fuzzing et surpasse les outils largement utilisés dans l’industrie.

Contrairement aux stratégies de fuzzing traditionnelles qui sont statiques ou basées sur l’expérience humaine, a expliqué Shi, BandFuzz utilise l’IA pour sélectionner dynamiquement la stratégie de fuzzing la plus efficace en fonction de ses performances en temps réel. Cette approche basée sur l’IA permet une prise de décision plus intelligente pendant le processus de fuzzing, ce qui se traduit par une extension plus rapide de la couverture et des capacités améliorées de détection des bogues.

« BandFuzz marque une nouvelle direction par rapport à la recherche traditionnelle sur le fuzzing, offrant des preuves tangibles que l’IA peut faciliter la recherche et la correction automatiques des bogues », a déclaré Xing. « Cette avancée constitue non seulement un pas en avant pour la recherche en matière de sécurité, mais revêt également une importance capitale pour le grand public, car elle promet de renforcer la sécurité numérique dans un monde de plus en plus interconnecté. »

Grâce à une expérimentation approfondie, l’équipe BandFuzz a démontré que dépendre uniquement de l’IA ne suffit pas pour relever des défis de sécurité complexes.

« L’intégration de l’IA avec les outils traditionnels d’analyse de la sécurité des systèmes, tels que le fuzzing, l’analyse statique et la correction automatique des bogues, a démontré une efficacité remarquable », a déclaré Shi. « BandFuzz est un excellent exemple de la façon dont l’IA peut améliorer considérablement les processus de prise de décision automatisés et supplanter les fonctions heuristiques écrites par l’homme et basées sur des règles dans un large éventail de méthodes d’analyse de sécurité traditionnelles.

Les concurrents du concours SBFT 2024 ont été évalués à l’aide de FuzzBench, la plateforme open source de Google permettant de tester et de comparer les fuzzers dans un environnement authentique.

« Notre succès au concours est un phare pour la cybersécurité assistée par l’IA, mettant en valeur une approche pionnière de l’analyse logicielle », a déclaré Yu.

Xing et Yan Chen, professeur d’informatique à la McCormick School of Engineering, continueront de faire progresser l’intégration de l’IA dans les solutions de sécurité existantes en participant au concours Small Business Track de l’AI Cyber ​​Challenge.

Dans le cadre de l’AI Cyber ​​Challenge, l’équipe 42-b3yond-6ug, Net Shield LLC faisait partie des sept entreprises qui ont reçu 1 million de dollars par la Defense Advanced Research Projects Agency pour développer des systèmes de cyber-raisonnement basés sur l’IA qui détectent et corrigent automatiquement les vulnérabilités logicielles à grande échelle. . Xing et Chen collaboreront avec des chercheurs de l’Université Johns Hopkins, de l’Université du Colorado, de l’Université du New Hampshire, de l’Université de l’Utah et de l’Université de Waterloo.