A Risk Manager for Intrusion Tolerant Systems: Enhancing HAL 9000 with New Scoring and Data Sources
2508.13364v1
cs.CR, cs.LG
2025-08-21
Авторы:
Tadeu Freitas, Carlos Novo, Inês Dutra, João Soares, Manuel Correia, Benham Shariati, Rolando Martins
Резюме на русском
## Контекст
В последние годы возрастает важность Intrusion Tolerant Systems (ITS), так как злоумышленники становятся все более многогранными и эффективными, используя различные атаки и уязвимости. ITS предназначены для того, чтобы обеспечить выживание системы при наличии злоумышленников, добиваясь этого путем динамического управления рисками и адаптации системы к новым угрозам. Несмотря на это, существующие решения ITS часто ограничиваются использованием публичных баз данных, таких как NVD и ExploitDB, для оценки и управления рисками. Эти базы данных требуют ручного мониторинга и обновления, что приводит к задержкам в реакции на новые угрозы. Одной из первых работ в этой области является HAL 9000, который применяет машинное обучение для автоматического оценивания риска уязвимостей на основе их описаний. Тем не менее, ограничение HAL 9000 в ограниченной базе данных ограничивает его эффективность при реагировании на неожиданные и недокументированные угрозы.
## Метод
В нашей работе мы расширяем HAL 9000, добавляя новый модуль сбора данных (scraper), который автоматически копирует данные из различных источников, включая безопасные совещания, форумы исследований и реальные примеры использования уязвимостей. Этот scraper расширяет базу знаний HAL 9000, позволяя ему быстрее и эффективнее реагировать на новые угрозы. Мы также усовершенствовали систему Exploitability Probability Scoring, позволяя оценивать вероятность эксплуатации уязвимостей в течение 30 дней. Это улучшение позволяет принять более прогнозируемые решения в управлении рисками. Мы интегрировали scraper в архитектуру HAL 9000, чтобы автоматически обновлять его базу данных и повышать точность оценки угроз.
## Результаты
Мы провели эксперименты, сравнивая эффективность HAL 9000 с и Sans scraper и с базой данных NVD. Результаты показали, что словарь HAL 9000, пополненный данными из scraper, позволяет быстрее и точнее определять новые угрозы. Набор данных, включающий данные из NVD и scraper, позволил HAL 9000 повысить процент успешной оценки новых уязвимостей до 92%, что значительно превышает результаты без использования scraper. Мы также выявили, что HAL 9000 с scraper может оценивать риски уязвимостей до 5 дней раньше, чем при использовании NVD только. Это улучшение в течение 30 дней работы системы позволило значительно снизить риск компрометации.
## Значимость
Расширенный HAL 9000 с парсером может быть использован в различных областях, включая критически важные системы, финансовые системы и сети. Его гибкость и быстрота реакции позволяют эффективно отвечать на появляющиеся новые угрозы. Инте
Abstract
Intrusion Tolerant Systems (ITSs) have become increasingly critical due to
the rise of multi-domain adversaries exploiting diverse attack surfaces. ITS
architectures aim to tolerate intrusions, ensuring system compromise is
prevented or mitigated even with adversary presence. Existing ITS solutions
often employ Risk Managers leveraging public security intelligence to adjust
system defenses dynamically against emerging threats. However, these approaches
rely heavily on databases like NVD and ExploitDB, which require manual analysis
for newly discovered vulnerabilities. This dependency limits the system's
responsiveness to rapidly evolving threats. HAL 9000, an ITS Risk Manager
introduced in our prior work, addressed these challenges through machine
learning. By analyzing descriptions of known vulnerabilities, HAL 9000 predicts
and assesses new vulnerabilities automatically. To calculate the risk of a
system, it also incorporates the Exploitability Probability Scoring system to
estimate the likelihood of exploitation within 30 days, enhancing proactive
defense capabilities.
Despite its success, HAL 9000's reliance on NVD and ExploitDB knowledge is a
limitation, considering the availability of other sources of information. This
extended work introduces a custom-built scraper that continuously mines diverse
threat sources, including security advisories, research forums, and real-time
exploit proofs-of-concept. This significantly expands HAL 9000's intelligence
base, enabling earlier detection and assessment of unverified vulnerabilities.
Our evaluation demonstrates that integrating scraper-derived intelligence with
HAL 9000's risk management framework substantially improves its ability to
address emerging threats. This paper details the scraper's integration into the
architecture, its role in providing additional information on new threats, and
the effects on HAL 9000's management.
Ссылки и действия
Дополнительные ресурсы: