論文の概要: Generating Informative CVE Description From ExploitDB Posts by
Extractive Summarization
- arxiv url: http://arxiv.org/abs/2101.01431v1
- Date: Tue, 5 Jan 2021 09:52:05 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-11 11:27:01.635332
- Title: Generating Informative CVE Description From ExploitDB Posts by
Extractive Summarization
- Title(参考訳): ExploitDBポストからの抽出要約によるインフォームティブCVE記述の生成
- Authors: Jiamou Sun, Zhenchang Xing, Hao Guo, Deheng Ye, Xiaohong Li, Xiwei Xu,
Liming Zhu
- Abstract要約: ExploitDBは、公式CVEデータベースに多数の脆弱性を貢献する重要な公開Webサイトの1つである。
ExploitDBポストから9つの重要な脆弱性を抽出するオープン情報手法を提案する。
抽出されたアスペクトは、提案されたCVE記述テンプレートに従ってCVE記述に構成される。
27,230の参照CVE記述と比較すると,テキスト要約法を評価するための最長の共通サブシーケンス基準であるROUGH-L(0.38)が得られる。
- 参考スコア(独自算出の注目度): 20.0389824829107
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: ExploitDB is one of the important public websites, which contributes a large
number of vulnerabilities to official CVE database. Over 60\% of these
vulnerabilities have high- or critical-security risks. Unfortunately, over 73\%
of exploits appear publicly earlier than the corresponding CVEs, and about 40\%
of exploits do not even have CVEs. To assist in documenting CVEs for the
ExploitDB posts, we propose an open information method to extract 9 key
vulnerability aspects (vulnerable product/version/component, vulnerability
type, vendor, attacker type, root cause, attack vector and impact) from the
verbose and noisy ExploitDB posts. The extracted aspects from an ExploitDB post
are then composed into a CVE description according to the suggested CVE
description templates, which is must-provided information for requesting new
CVEs. Through the evaluation on 13,017 manually labeled sentences and the
statistically sampling of 3,456 extracted aspects, we confirm the high accuracy
of our extraction method. Compared with 27,230 reference CVE descriptions. Our
composed CVE descriptions achieve high ROUGH-L (0.38), a longest common
subsequence based metric for evaluating text summarization methods.
- Abstract(参考訳): ExploitDBは、公式CVEデータベースに多数の脆弱性を貢献する重要な公開Webサイトの1つである。
これらの脆弱性の60\%以上がセキュリティ上のリスクが高い。
残念なことに、73%以上のエクスプロイトが対応するCVEよりも公に早く現れており、約40%のエクスプロイトはCVEを持っていない。
ExploitDBポストのCVEの文書化を支援するために,提案するオープンインフォメーション手法は,動詞とノイズの多いExpploitDBポストから,9つの重要な脆弱性側面(脆弱性タイプ,ベンダー,アタッカータイプ,根本原因,攻撃ベクトルおよび影響)を抽出するものである。
ExploitDBポストから抽出されたアスペクトは、提案されたCVE記述テンプレートに従ってCVE記述に構成される。
手動ラベル付き13,017文の評価と抽出された3,456文の統計的サンプリングを行い,その抽出精度を確認した。
27,230の参照CVE記述と比較する。
構成したcve記述はテキスト要約法を評価するための最長の共通部分列ベースメトリクスであるhigh rough-l (0.38) を達成する。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - Instructional Segment Embedding: Improving LLM Safety with Instruction Hierarchy [53.54777131440989]
LLM(Large Language Models)は、セキュリティや安全性の脅威を受けやすい言語である。
これらの脆弱性の大きな原因の1つは、命令階層の欠如である。
本稿では,BERTにインスパイアされた命令セグメント埋め込み(ISE)技法を,現代の大規模言語モデルに導入する。
論文 参考訳(メタデータ) (2024-10-09T12:52:41Z) - Cybersecurity Defenses: Exploration of CVE Types through Attack Descriptions [1.0474508494260908]
VULDATは、文変換器MPNETを使用して、攻撃記述からシステムの脆弱性を識別する分類ツールである。
また,ATT&CKレポジトリから100件,CVEレポジトリから685件のアタック手法を適用した。
以上の結果より,F1スコア0.85,精度0.86,リコール0.83,F1スコア0.83,F1スコア0.85,F1スコア0.86,F1スコア0.83,F1スコア0。
論文 参考訳(メタデータ) (2024-07-09T11:08:35Z) - WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。
WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
論文 参考訳(メタデータ) (2024-06-26T17:31:22Z) - Unveiling Hidden Links Between Unseen Security Entities [3.7138962865789353]
VulnScopperは、知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチである。
我々は、National Vulnerability Database(NVD)とRed Hat CVEデータベースの2つの主要なセキュリティデータセットでVulnScopperを評価した。
VulnScopperは既存の手法よりも優れており、CVEをCWE(Common Vulnerabilities and Exposures)、CPE(Common Platform Languageions)にリンクする際の78%のHits@10精度を実現している。
論文 参考訳(メタデータ) (2024-03-04T13:14:39Z) - DrAttack: Prompt Decomposition and Reconstruction Makes Powerful LLM Jailbreakers [74.7446827091938]
我々はjailbreak textbfAttack (DrAttack) のための自動プロンプト textbfDecomposition と textbfReconstruction フレームワークを導入する。
DrAttack には3つの重要な要素が含まれている: (a) プロンプトをサブプロンプトに分解する; (b) セマンティックに類似しているが無害な再組み立てデモで暗黙的にこれらのサブプロンプトを再構築する; (c) サブプロンプトのシンノニム検索する; サブプロンプトのシノニムを見つけることを目的としたサブプロンプトのシノニムを見つけること。
論文 参考訳(メタデータ) (2024-02-25T17:43:29Z) - Fast Adversarial Attacks on Language Models In One GPU Minute [49.615024989416355]
我々は、言語モデル(LM)のための高速ビームサーチに基づく敵攻撃(BEAST)の新たなクラスを導入する。
BEASTは解釈可能なパラメータを使用し、攻撃者は攻撃速度、成功率、敵のプロンプトの可読性の間でバランスをとることができる。
我々の勾配のない標的攻撃は、1分以内に高い攻撃成功率のLMをジェイルブレイクできる。
論文 参考訳(メタデータ) (2024-02-23T19:12:53Z) - CVE representation to build attack positions graphs [0.39945675027960637]
サイバーセキュリティにおいて、CVE(Common Vulnerabilities and Exposures)は、ハードウェアまたはソフトウェアの脆弱性を公開している。
この記事では、これらの脆弱性は、完全な攻撃シナリオにおいてどのようにチェーン化されるのかを理解するために、より詳細に記述されるべきである、と指摘する。
論文 参考訳(メタデータ) (2023-12-05T08:57:14Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Enriching Vulnerability Reports Through Automated and Augmented
Description Summarization [6.3455238301221675]
脆弱性の説明は、脆弱性情報をセキュリティアナリストに伝える上で重要な役割を果たす。
本稿では、第三者参照(ハイパーリンク)スクラップによる脆弱性記述を強化するパイプラインを考案する。
論文 参考訳(メタデータ) (2022-10-03T22:46:35Z) - ThreatZoom: CVE2CWE using Hierarchical Neural Network [4.254099382808598]
1つ以上のCVEは、Common Weakness Exposureion (CWE)クラスにグループ化される。
何千もの重要なCVEと新しいCVEは未分類のままだが、パッチできない。
本稿では,CVEをCWEに分類する最初の自動ツールを提案する。
論文 参考訳(メタデータ) (2020-09-24T06:04:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。