Inovasi GAVulExplainer: Prediksi Kerentanan Perangkat Lunak yang Lebih Terbuka
Â
Seiring dengan pesatnya perkembangan teknologi, serangan siber semakin mengancam organisasi, bisnis, dan individu di seluruh dunia. Tidak hanya menargetkan data pribadi, serangan ini seringkali mengeksploitasi kerentanan perangkat lunak untuk melumpuhkan sistem dan menimbulkan kerugian yang besar. Misalnya, serangan ransomware WannaCry pada tahun 2017 yang mengeksploitasi celah di sistem Microsoft Windows telah menginfeksi lebih dari 200.000 komputer di 150 negara, menimbulkan kerugian ekonomi yang diperkirakan mencapai miliaran dolar. Dalam menghadapi ancaman ini, kebutuhan untuk deteksi kerentanan perangkat lunak yang lebih canggih menjadi sangat mendesak.
Artikel ilmiah berjudul "Graph-based Explainable Vulnerability Prediction" karya Hong Quy Nguyen, Thong Hoang, Hoa Khanh Dam, dan Aditya Ghose yang diterbitkan di jurnal Information and Software Technology pada Agustus 2024 menawarkan solusi yang relevan. Penulis mengusulkan pendekatan baru berbasis algoritma genetika, yaitu GAVulExplainer, untuk memberikan penjelasan yang lebih transparan terhadap model prediksi kerentanan. Pendekatan ini penting karena banyak model deep learning saat ini beroperasi sebagai "kotak hitam," di mana hasil prediksi sering kali tidak dapat dijelaskan dengan mudah oleh para praktisi.
Keberadaan alat yang dapat menjelaskan alasan di balik prediksi model menjadi vital dalam meningkatkan kepercayaan pengguna terhadap sistem keamanan perangkat lunak. Artikel ini menggarisbawahi bagaimana model berbasis graf yang dikembangkan dapat memberikan penjelasan yang jelas dan akurat, dengan harapan dapat mendorong adopsi yang lebih luas dalam industri keamanan siber. Penelitian ini juga berfokus pada masalah mendasar dalam deteksi kerentanan perangkat lunak---yakni, bagaimana membuat proses deteksi tidak hanya lebih efisien tetapi juga lebih dapat dipahami oleh penggunanya.
***
Penelitian yang dilakukan oleh Nguyen, Hoang, Dam, dan Ghose menyoroti pentingnya keterbukaan dalam sistem prediksi kerentanan perangkat lunak. Dalam beberapa tahun terakhir, penggunaan model deep learning dalam mendeteksi kerentanan perangkat lunak telah meningkat signifikan, khususnya dengan metode berbasis jaringan saraf graf (GNN). Namun, salah satu tantangan terbesar yang dihadapi adalah keterbatasan penjelasan dari model-model tersebut, di mana seringkali pengguna tidak memahami bagaimana atau mengapa sebuah prediksi dibuat. Inilah yang disebut sebagai "kotak hitam" dalam kecerdasan buatan. Sebagai contoh, laporan menunjukkan bahwa 83.390 kerentanan siber terdaftar di Common Vulnerability Enumeration (CVE) pada Agustus 2022, dan banyak model prediksi yang mampu mendeteksi sebagian besar dari kerentanan ini, tetapi tidak dapat menjelaskan proses pengambilan keputusannya dengan baik.
GAVulExplainer yang dikembangkan dalam penelitian ini bertujuan untuk menjawab tantangan tersebut dengan menggunakan pendekatan berbasis algoritma genetika. Algoritma genetika ini memungkinkan sistem untuk menemukan subgraf yang menjelaskan prediksi kerentanan yang dihasilkan oleh model GNN. Pendekatan ini, seperti yang dijelaskan dalam artikel, memiliki beberapa keunggulan dibandingkan metode penjelasan lain seperti SubGraphX dan GNNExplainer. Secara empiris, GAVulExplainer menunjukkan hasil yang lebih baik dengan rata-rata *fidelity* sebesar 0,069 dalam representasi graf PDG, dibandingkan dengan SubGraphX (0,128) dan GNNExplainer (0,298). Hal ini menunjukkan bahwa subgraf yang dihasilkan oleh GAVulExplainer lebih akurat dalam menggambarkan alasan prediksi kerentanan.
Selain itu, artikel ini menjelaskan bahwa salah satu kontribusi utama dari GAVulExplainer adalah kemampuannya untuk bekerja secara independen dari model prediksi kerentanan yang digunakan. Artinya, pendekatan ini dapat diterapkan pada berbagai jenis model prediksi kerentanan berbasis graf, menjadikannya solusi yang sangat fleksibel. Hal ini berpotensi meningkatkan penerapan di dunia industri yang beragam, di mana berbagai jenis perangkat lunak digunakan dan membutuhkan pendekatan yang dapat diadaptasi secara luas.
Dalam studi ini, penulis juga menguji model pada dataset Reveal yang terdiri dari 18.168 fungsi kode, dan menunjukkan bahwa GAVulExplainer tidak hanya dapat meningkatkan interpretasi prediksi, tetapi juga memiliki kesetiaan (fidelity) yang lebih baik ketika diterapkan pada kode yang lebih kompleks. Misalnya, pada kode dengan lebih dari 50 node, GAVulExplainer tetap mampu mempertahankan fidelity yang relatif rendah sebesar 0,110 dalam representasi PDG, sedangkan metode lain menunjukkan peningkatan fidelity yang lebih tinggi ketika ukuran graf meningkat.
***
Secara keseluruhan, penelitian yang dilakukan oleh Nguyen, Hoang, Dam, dan Ghose melalui pengembangan GAVulExplainer menunjukkan kemajuan signifikan dalam bidang prediksi kerentanan perangkat lunak. Dengan meningkatkan transparansi model prediksi berbasis graf, GAVulExplainer memberikan solusi terhadap masalah interpretasi hasil yang sering kali menghalangi adopsi model kecerdasan buatan di industri. Data empiris menunjukkan bahwa alat ini secara konsisten menghasilkan hasil yang lebih baik dibandingkan metode lainnya, seperti yang terlihat dari rata-rata fidelity yang lebih rendah.
Dari perspektif praktis, implikasi dari penelitian ini sangat relevan untuk dunia industri, di mana keamanan perangkat lunak menjadi isu utama. Dengan kemampuan untuk memberikan penjelasan yang jelas terhadap prediksi kerentanan, GAVulExplainer dapat membantu meningkatkan kepercayaan pengguna dan mempercepat adopsi teknologi prediksi kerentanan berbasis deep learning. Tantangan yang dihadapi ke depan mungkin terletak pada implementasi skala besar dan integrasi dengan sistem yang sudah ada.
Kesimpulannya, artikel ini tidak hanya memperkenalkan sebuah alat yang inovatif tetapi juga menyoroti pentingnya keterbukaan dan interpretabilitas dalam sistem kecerdasan buatan. Dengan pendekatan yang fleksibel dan terbukti lebih akurat, GAVulExplainer berpotensi menjadi terobosan besar dalam bidang keamanan siber di masa depan.
Referensi
Nguyen, H. Q., Hoang, T., Dam, H. K., & Ghose, A. (2024). Graph-based explainable vulnerability prediction. Information and Software Technology, 177, 107566. https://doi.org/10.1016/j.infsof.2024.107566
