論文の概要: Generating Informative CVE Description From ExploitDB Posts by
Extractive Summarization
- arxiv url: http://arxiv.org/abs/2101.01431v1
- Date: Tue, 5 Jan 2021 09:52:05 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-11 11:27:01.635332
- Title: Generating Informative CVE Description From ExploitDB Posts by
Extractive Summarization
- Title(参考訳): ExploitDBポストからの抽出要約によるインフォームティブCVE記述の生成
- Authors: Jiamou Sun, Zhenchang Xing, Hao Guo, Deheng Ye, Xiaohong Li, Xiwei Xu,
Liming Zhu
- Abstract要約: ExploitDBは、公式CVEデータベースに多数の脆弱性を貢献する重要な公開Webサイトの1つである。
ExploitDBポストから9つの重要な脆弱性を抽出するオープン情報手法を提案する。
抽出されたアスペクトは、提案されたCVE記述テンプレートに従ってCVE記述に構成される。
27,230の参照CVE記述と比較すると,テキスト要約法を評価するための最長の共通サブシーケンス基準であるROUGH-L(0.38)が得られる。
- 参考スコア(独自算出の注目度): 20.0389824829107
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: ExploitDB is one of the important public websites, which contributes a large
number of vulnerabilities to official CVE database. Over 60\% of these
vulnerabilities have high- or critical-security risks. Unfortunately, over 73\%
of exploits appear publicly earlier than the corresponding CVEs, and about 40\%
of exploits do not even have CVEs. To assist in documenting CVEs for the
ExploitDB posts, we propose an open information method to extract 9 key
vulnerability aspects (vulnerable product/version/component, vulnerability
type, vendor, attacker type, root cause, attack vector and impact) from the
verbose and noisy ExploitDB posts. The extracted aspects from an ExploitDB post
are then composed into a CVE description according to the suggested CVE
description templates, which is must-provided information for requesting new
CVEs. Through the evaluation on 13,017 manually labeled sentences and the
statistically sampling of 3,456 extracted aspects, we confirm the high accuracy
of our extraction method. Compared with 27,230 reference CVE descriptions. Our
composed CVE descriptions achieve high ROUGH-L (0.38), a longest common
subsequence based metric for evaluating text summarization methods.
- Abstract(参考訳): ExploitDBは、公式CVEデータベースに多数の脆弱性を貢献する重要な公開Webサイトの1つである。
これらの脆弱性の60\%以上がセキュリティ上のリスクが高い。
残念なことに、73%以上のエクスプロイトが対応するCVEよりも公に早く現れており、約40%のエクスプロイトはCVEを持っていない。
ExploitDBポストのCVEの文書化を支援するために,提案するオープンインフォメーション手法は,動詞とノイズの多いExpploitDBポストから,9つの重要な脆弱性側面(脆弱性タイプ,ベンダー,アタッカータイプ,根本原因,攻撃ベクトルおよび影響)を抽出するものである。
ExploitDBポストから抽出されたアスペクトは、提案されたCVE記述テンプレートに従ってCVE記述に構成される。
手動ラベル付き13,017文の評価と抽出された3,456文の統計的サンプリングを行い,その抽出精度を確認した。
27,230の参照CVE記述と比較する。
構成したcve記述はテキスト要約法を評価するための最長の共通部分列ベースメトリクスであるhigh rough-l (0.38) を達成する。
関連論文リスト
- Unveiling Hidden Links Between Unseen Security Entities [3.7138962865789353]
VulnScopperは、知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチである。
我々は、National Vulnerability Database(NVD)とRed Hat CVEデータベースの2つの主要なセキュリティデータセットでVulnScopperを評価した。
VulnScopperは既存の手法よりも優れており、CVEをCWE(Common Vulnerabilities and Exposures)、CPE(Common Platform Languageions)にリンクする際の78%のHits@10精度を実現している。
論文 参考訳(メタデータ) (2024-03-04T13:14:39Z) - DrAttack: Prompt Decomposition and Reconstruction Makes Powerful LLM
Jailbreakers [80.18953043605696]
我々はjailbreak textbfAttack (DrAttack) のための自動プロンプト textbfDecomposition と textbfReconstruction フレームワークを導入する。
DrAttack には3つの重要な要素が含まれている: (a) プロンプトをサブプロンプトに分解する; (b) セマンティックに類似しているが無害な再組み立てデモで暗黙的にこれらのサブプロンプトを再構築する; (c) サブプロンプトのシンノニム検索する; サブプロンプトのシノニムを見つけることを目的としたサブプロンプトのシノニムを見つけること。
論文 参考訳(メタデータ) (2024-02-25T17:43:29Z) - Fast Adversarial Attacks on Language Models In One GPU Minute [49.615024989416355]
我々は、言語モデル(LM)のための高速ビームサーチに基づく敵攻撃(BEAST)の新たなクラスを導入する。
BEASTは解釈可能なパラメータを使用し、攻撃者は攻撃速度、成功率、敵のプロンプトの可読性の間でバランスをとることができる。
我々の勾配のない標的攻撃は、1分以内に高い攻撃成功率のLMをジェイルブレイクできる。
論文 参考訳(メタデータ) (2024-02-23T19:12:53Z) - The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors [39.01486277170386]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Instruct and Extract: Instruction Tuning for On-Demand Information
Extraction [86.29491354355356]
On-Demand Information extractは、現実世界のユーザのパーソナライズされた要求を満たすことを目的としている。
InstructIEというベンチマークを、自動生成したトレーニングデータと、人手による注釈付きテストセットの両方を含む形で提示する。
InstructIE 上に構築した On-Demand Information Extractor, ODIE をさらに発展させる。
論文 参考訳(メタデータ) (2023-10-24T17:54:25Z) - Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。
我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
論文 参考訳(メタデータ) (2023-08-25T14:02:12Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Enriching Vulnerability Reports Through Automated and Augmented
Description Summarization [6.3455238301221675]
脆弱性の説明は、脆弱性情報をセキュリティアナリストに伝える上で重要な役割を果たす。
本稿では、第三者参照(ハイパーリンク)スクラップによる脆弱性記述を強化するパイプラインを考案する。
論文 参考訳(メタデータ) (2022-10-03T22:46:35Z) - Instance-Conditional Knowledge Distillation for Object Detection [59.56780046291835]
所望の知識を求めるために,インスタンス条件蒸留フレームワークを提案する。
我々は、観測されたインスタンスを条件情報として使用し、検索プロセスをインスタンス条件の復号プロセスとして定式化する。
論文 参考訳(メタデータ) (2021-10-25T08:23:29Z) - CVEfixes: Automated Collection of Vulnerabilities and Their Fixes from
Open-Source Software [0.0]
完全に自動化されたデータセット収集ツールを実装し、CVEfixesという脆弱性データセットの初期リリースを共有します。
データセットには、プログラミング言語などのメタデータと、5つの抽象化レベルにおける詳細なコードとセキュリティメトリクスが組み込まれている。
CVEfixesは、脆弱性予測、脆弱性分類、脆弱性重大度予測、脆弱性関連コード変更の分析、自動脆弱性修正など、さまざまなタイプのデータ駆動型ソフトウェアセキュリティ研究をサポートしている。
論文 参考訳(メタデータ) (2021-07-19T11:34:09Z) - ThreatZoom: CVE2CWE using Hierarchical Neural Network [4.254099382808598]
1つ以上のCVEは、Common Weakness Exposureion (CWE)クラスにグループ化される。
何千もの重要なCVEと新しいCVEは未分類のままだが、パッチできない。
本稿では,CVEをCWEに分類する最初の自動ツールを提案する。
論文 参考訳(メタデータ) (2020-09-24T06:04:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。