論文の概要: CVSS-BERT: Explainable Natural Language Processing to Determine the
Severity of a Computer Security Vulnerability from its Description
- arxiv url: http://arxiv.org/abs/2111.08510v1
- Date: Tue, 16 Nov 2021 14:31:09 GMT
- ステータス: 処理完了
- システム内更新日: 2021-11-17 13:32:01.913344
- Title: CVSS-BERT: Explainable Natural Language Processing to Determine the
Severity of a Computer Security Vulnerability from its Description
- Title(参考訳): CVSS-BERT: 説明からコンピュータセキュリティ脆弱性の深刻度を決定するための説明可能な自然言語処理
- Authors: Mustafizur Shahid (IP Paris), Herv\'e Debar
- Abstract要約: サイバーセキュリティの専門家は、CVSS(Common Vulnerability Scoring System)を用いて脆弱性の深刻度を分析する。
本稿では,NLP(Natural Language Processing)分野の最近の進歩を活用して,脆弱性のCVSSベクトルと関連する重大度スコアを説明可能な方法で決定することを提案する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: When a new computer security vulnerability is publicly disclosed, only a
textual description of it is available. Cybersecurity experts later provide an
analysis of the severity of the vulnerability using the Common Vulnerability
Scoring System (CVSS). Specifically, the different characteristics of the
vulnerability are summarized into a vector (consisting of a set of metrics),
from which a severity score is computed. However, because of the high number of
vulnerabilities disclosed everyday this process requires lot of manpower, and
several days may pass before a vulnerability is analyzed. We propose to
leverage recent advances in the field of Natural Language Processing (NLP) to
determine the CVSS vector and the associated severity score of a vulnerability
from its textual description in an explainable manner. To this purpose, we
trained multiple BERT classifiers, one for each metric composing the CVSS
vector. Experimental results show that our trained classifiers are able to
determine the value of the metrics of the CVSS vector with high accuracy. The
severity score computed from the predicted CVSS vector is also very close to
the real severity score attributed by a human expert. For explainability
purpose, gradient-based input saliency method was used to determine the most
relevant input words for a given prediction made by our classifiers. Often, the
top relevant words include terms in agreement with the rationales of a human
cybersecurity expert, making the explanation comprehensible for end-users.
- Abstract(参考訳): 新たなコンピュータセキュリティ脆弱性が公開された場合、そのテキスト記述のみが利用可能である。
サイバーセキュリティの専門家は後にcommon vulnerability scoring system(cvss)を使用して脆弱性の深刻度を分析する。
具体的には、脆弱性の異なる特性をベクトル(メトリクスの集合を構成する)に要約し、重大度スコアが計算される。
しかし、毎日多くの脆弱性が開示されているため、このプロセスには多くの人力が必要であり、脆弱性の分析の前に数日が経過する可能性がある。
本稿では,自然言語処理(NLP)分野における最近の進歩を活用し,そのテキスト記述から脆弱性のCVSSベクトルと関連する重大度スコアを決定することを提案する。
この目的のために,CVSSベクトルを構成するメトリクス毎に複数のBERT分類器を訓練した。
実験の結果,訓練された分類器は,cvssベクトルの指標の値を高精度に決定できることがわかった。
予測されたCVSSベクトルから算出された重大度スコアも、人間の専門家による真の重大度スコアに非常に近い。
説明可能性のために, 分類器によって与えられた予測に対して, 最も関連する入力語を決定するために, 勾配に基づく入力サリエンシー法が用いられた。
もっとも関連性の高い言葉は、人間のサイバーセキュリティ専門家の理屈に合致する条件を含んでおり、エンドユーザーにとって説明は理解しやすい。
関連論文リスト
- CTINEXUS: Leveraging Optimized LLM In-Context Learning for Constructing Cybersecurity Knowledge Graphs Under Data Scarcity [49.657358248788945]
サイバー脅威インテリジェンス(CTI)レポートのテキスト記述は、サイバー脅威に関する豊富な知識源である。
現在のCTI抽出法は柔軟性と一般化性に欠けており、しばしば不正確で不完全な知識抽出をもたらす。
CTINexusは,大規模言語モデルのテキスト内学習(ICL)を最適化した新しいフレームワークである。
論文 参考訳(メタデータ) (2024-10-28T14:18:32Z) - Vulnerability of LLMs to Vertically Aligned Text Manipulations [108.6908427615402]
大規模言語モデル(LLM)は、テキスト分類タスクの実行に非常に効果的である。
エンコーダベースのモデルのために単語を垂直に整列させるような入力形式を変更することは、テキスト分類タスクにおいてかなり精度を低下させる。
デコーダベースのLLMは、垂直フォーマットのテキスト入力と同じような脆弱性を示すか?
論文 参考訳(メタデータ) (2024-10-26T00:16:08Z) - Con-ReCall: Detecting Pre-training Data in LLMs via Contrastive Decoding [118.75567341513897]
既存のメソッドは通常、ターゲットテキストを分離して分析するか、非メンバーコンテキストでのみ分析する。
Con-ReCallは、メンバと非メンバのコンテキストによって誘導される非対称な分布シフトを利用する新しいアプローチである。
論文 参考訳(メタデータ) (2024-09-05T09:10:38Z) - The Vulnerability Is in the Details: Locating Fine-grained Information of Vulnerable Code Identified by Graph-based Detectors [33.395068754566935]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Gotta Catch 'em All: Aggregating CVSS Scores [1.5839621757142595]
本稿では, SUTの機能, エクスプロイトの難しさ, エクスプロイトの存在, SUT の動作状況などの情報を統合した ACVSS 集約アルゴリズムを提案する。
このアグリゲーションアルゴリズムはOpenPLC V3に適用され、実際のデプロイメント環境では発見できない脆弱性をフィルタリングできることを示した。
論文 参考訳(メタデータ) (2023-10-03T14:04:40Z) - Automated CVE Analysis for Threat Prioritization and Impact Prediction [4.540236408836132]
CVE分析と脅威優先順位付けに革命をもたらす新しい予測モデルとツール(CVEDrill)を導入する。
CVEDrillは、正確な脅威軽減と優先順位付けのために、CVSSベクターを正確に推定する。
CVEを適切なCommon Weaknession(CWE)階層クラスにシームレスに分類する。
論文 参考訳(メタデータ) (2023-09-06T14:34:03Z) - Vulnerability Clustering and other Machine Learning Applications of
Semantic Vulnerability Embeddings [23.143031911859847]
自然言語処理(NLP)技術に基づく意味的脆弱性の埋め込みについて検討した。
また、サイバーセキュリティ研究者やアナリストを支援する機械学習アプリケーションの基礎としての利用を評価した。
私たちが調査し、簡単に要約した特定のアプリケーションは、クラスタリング、分類、可視化です。
論文 参考訳(メタデータ) (2023-08-23T21:39:48Z) - Common Vulnerability Scoring System Prediction based on Open Source
Intelligence Information Sources [0.0]
この研究は、National Vulnerability Databaseの参照テキストを、それらのテキストの適合性とクローラビリティに基づいて分類する。
追加テキストの全体的な影響は無視できるが、Deep Learning予測モデルでは最先端の予測よりも優れていた。
論文 参考訳(メタデータ) (2022-10-05T10:54:15Z) - Spotting adversarial samples for speaker verification by neural vocoders [102.1486475058963]
我々は、自動話者検証(ASV)のための敵対サンプルを見つけるために、ニューラルボコーダを採用する。
元の音声と再合成音声のASVスコアの違いは、真正と逆正のサンプルの識別に良い指標であることがわかった。
私たちのコードは、将来的な比較作業のためにオープンソースにされます。
論文 参考訳(メタデータ) (2021-07-01T08:58:16Z) - Certified Robustness to Label-Flipping Attacks via Randomized Smoothing [105.91827623768724]
機械学習アルゴリズムは、データ中毒攻撃の影響を受けやすい。
任意の関数に対するランダム化スムージングの統一的なビューを示す。
本稿では,一般的なデータ中毒攻撃に対して,ポイントワイズで確実に堅牢な分類器を構築するための新しい戦略を提案する。
論文 参考訳(メタデータ) (2020-02-07T21:28:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。