論文の概要: On the Use of Fine-grained Vulnerable Code Statements for Software
Vulnerability Assessment Models
- arxiv url: http://arxiv.org/abs/2203.08417v1
- Date: Wed, 16 Mar 2022 06:29:40 GMT
- ステータス: 処理完了
- システム内更新日: 2022-03-18 02:00:46.696080
- Title: On the Use of Fine-grained Vulnerable Code Statements for Software
Vulnerability Assessment Models
- Title(参考訳): ソフトウェア脆弱性評価モデルにおけるきめ細かい脆弱性コード文の利用について
- Authors: Triet H. M. Le, M. Ali Babar
- Abstract要約: 実世界の200のプロジェクトで429のSVの1,782の関数から得られた大規模データを用いて,関数レベルのSVアセスメントタスクのための機械学習モデルを開発した。
脆弱な文のサイズは5.8倍小さいが、7.5-114.5%以上の評価性能を示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Many studies have developed Machine Learning (ML) approaches to detect
Software Vulnerabilities (SVs) in functions and fine-grained code statements
that cause such SVs. However, there is little work on leveraging such detection
outputs for data-driven SV assessment to give information about exploitability,
impact, and severity of SVs. The information is important to understand SVs and
prioritize their fixing. Using large-scale data from 1,782 functions of 429 SVs
in 200 real-world projects, we investigate ML models for automating
function-level SV assessment tasks, i.e., predicting seven Common Vulnerability
Scoring System (CVSS) metrics. We particularly study the value and use of
vulnerable statements as inputs for developing the assessment models because
SVs in functions are originated in these statements. We show that vulnerable
statements are 5.8 times smaller in size, yet exhibit 7.5-114.5% stronger
assessment performance (Matthews Correlation Coefficient (MCC)) than
non-vulnerable statements. Incorporating context of vulnerable statements
further increases the performance by up to 8.9% (0.64 MCC and 0.75 F1-Score).
Overall, we provide the initial yet promising ML-based baselines for
function-level SV assessment, paving the way for further research in this
direction.
- Abstract(参考訳): 多くの研究が、ソフトウェア脆弱性(SV)を関数で検出する機械学習(ML)アプローチと、そのようなSVを引き起こす細かいコード文を開発した。
しかし、データ駆動型SVアセスメントにそのような検出出力を活用することで、SVのエクスプロイラビリティ、影響、重大さに関する情報を提供することはほとんどない。
情報はSVを理解し、修正を優先順位付けすることが重要です。
実世界の200のプロジェクトで429のSVの1,782の関数の大規模データを用いて,機能レベルのSVアセスメントタスクを自動化するMLモデル,すなわち,CVSS(Common Vulnerability Scoring System)の7つのメトリクスを予測する。
特に,機能内のSVがこれらのステートメントに起源を持つため,アセスメントモデルを開発するための入力として脆弱なステートメントの価値と使用について検討する。
脆弱なステートメントはサイズが5.8倍小さいが,評価性能が7.5-114.5%向上している(matthews correlation coefficient (mcc))。
脆弱なステートメントを組み込むと、パフォーマンスはさらに8.9%向上する(0.64 MCCと0.75 F1-Score)。
全体として、機能レベルのSV評価のためのMLベースのベースラインを最初に提供し、この方向へのさらなる研究の道を開く。
関連論文リスト
- How Easy is It to Fool Your Multimodal LLMs? An Empirical Analysis on
Deceptive Prompts [59.07350713048311]
提案するMAD-Benchは,既存オブジェクト,オブジェクト数,空間関係,視覚的混乱など,850の試験サンプルを6つのカテゴリに分けたベンチマークである。
GPT-4V, Gemini-Pro から LLaVA-1.5 や CogVLM などのオープンソースモデルに至るまで,一般的な MLLM を包括的に分析する。
GPT-4VはMAD-Benchで75.02%の精度を達成するが、実験中の他のモデルの精度は5%から35%である。
論文 参考訳(メタデータ) (2024-02-20T18:31:27Z) - Are Latent Vulnerabilities Hidden Gems for Software Vulnerability
Prediction? An Empirical Study [4.830367174383139]
潜伏脆弱な関数は、平均でSVの数を4倍増やし、5kの誤ラベル関数を修正できる。
ノイズにもかかわらず、最先端のSV予測モデルがそのような潜伏SVの利点を大いに享受できることが示される。
論文 参考訳(メタデータ) (2024-01-20T03:36:01Z) - Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。
我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
論文 参考訳(メタデータ) (2023-08-25T14:02:12Z) - Distinguishing Look-Alike Innocent and Vulnerable Code by Subtle
Semantic Representation Learning and Explanation [19.16930806875121]
SVulDは、直感的な説明とともに、脆弱性検出のための関数レベルのセマンティック埋め込みである。
我々は、広く使われている実用的脆弱性データセット上で大規模な実験を行い、それを4つの最先端(SOTA)アプローチと比較する。
実験結果から,SVulD は SOTA を著しく改善し,全ての SOTA よりも優れていた。
論文 参考訳(メタデータ) (2023-08-22T07:23:12Z) - Bring Your Own Data! Self-Supervised Evaluation for Large Language
Models [52.15056231665816]
大規模言語モデル(LLM)の自己教師型評価のためのフレームワークを提案する。
閉書知識,毒性,長期文脈依存性を測定するための自己指導型評価戦略を実証する。
自己監督評価と人監督評価との間には強い相関関係が認められた。
論文 参考訳(メタデータ) (2023-06-23T17:59:09Z) - Conservative Prediction via Data-Driven Confidence Minimization [66.35245313125934]
機械学習モデルのエラーは、特に医療のような安全クリティカルな領域では、コストがかかる。
本稿では、不確実性データセットに対する信頼性を最小化するデータ駆動型信頼性最小化(DCM)を提案する。
実験の結果、DCMは8つのID-OODデータセットペアに対して、最先端のOOD検出方法よりも一貫して優れていることがわかった。
論文 参考訳(メタデータ) (2023-06-08T07:05:36Z) - Revisiting Out-of-distribution Robustness in NLP: Benchmark, Analysis,
and LLMs Evaluations [111.88727295707454]
本稿では,NLP分野におけるアウト・オブ・ディストリビューション(OOD)のロバスト性に関する研究を再検討する。
本稿では, 明確な分化と分散の困難さを保証するための, ベンチマーク構築プロトコルを提案する。
我々は,OODロバスト性の分析と評価のための事前学習言語モデルの実験を行った。
論文 参考訳(メタデータ) (2023-06-07T17:47:03Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - DeepCVA: Automated Commit-level Vulnerability Assessment with Deep
Multi-task Learning [0.0]
本稿では、7つのコミットレベルの脆弱性評価タスクを同時に自動化する新しいDeep Multi-task Learning Model、DeepCVAを提案する。
実際のソフトウェアプロジェクト246のプロジェクトで,542の異なるSVを含む1,229の脆弱性コントリビュートコミットに対して大規模な実験を行った。
DeepCVAは、多くの教師なしベースラインモデルよりも38%から59.8%高いマシューズ相関係数を持つ最高の性能モデルである。
論文 参考訳(メタデータ) (2021-08-18T08:43:36Z) - Few-Sample Named Entity Recognition for Security Vulnerability Reports
by Fine-Tuning Pre-Trained Language Models [1.9744907811058785]
セキュリティ上の脆弱性の報告(例えばCVEレポート)は、コンピュータやネットワークシステムのメンテナンスにおいて重要な役割を果たしている。
これらのレポートは構造化されていないテキストであるため、自動情報抽出(IE)は処理のスケールアップに役立つ。
セキュリティ脆弱性レポートのための自動IEに関する既存の作業は、しばしば多数のラベル付きトレーニングサンプルに依存している。
論文 参考訳(メタデータ) (2021-08-14T17:08:03Z) - A Survey on Data-driven Software Vulnerability Assessment and
Prioritization [0.0]
ソフトウェア脆弱性(SV)は複雑さと規模が増加しており、多くのソフトウェアシステムに重大なセキュリティリスクを生じさせている。
機械学習やディープラーニングといったデータ駆動技術は、SVの評価と優先順位付けを次のレベルに引き上げた。
論文 参考訳(メタデータ) (2021-07-18T04:49:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。