論文の概要: Enriching Vulnerability Reports Through Automated and Augmented
Description Summarization
- arxiv url: http://arxiv.org/abs/2210.01260v1
- Date: Mon, 3 Oct 2022 22:46:35 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-05 15:25:55.826299
- Title: Enriching Vulnerability Reports Through Automated and Augmented
Description Summarization
- Title(参考訳): 自動および拡張記述要約による脆弱性レポートの強化
- Authors: Hattan Althebeiti and David Mohaisen
- Abstract要約: 脆弱性の説明は、脆弱性情報をセキュリティアナリストに伝える上で重要な役割を果たす。
本稿では、第三者参照(ハイパーリンク)スクラップによる脆弱性記述を強化するパイプラインを考案する。
- 参考スコア(独自算出の注目度): 6.3455238301221675
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Security incidents and data breaches are increasing rapidly, and only a
fraction of them is being reported. Public vulnerability databases, e.g.,
national vulnerability database (NVD) and common vulnerability and exposure
(CVE), have been leading the effort in documenting vulnerabilities and sharing
them to aid defenses. Both are known for many issues, including brief
vulnerability descriptions. Those descriptions play an important role in
communicating the vulnerability information to security analysts in order to
develop the appropriate countermeasure. Many resources provide additional
information about vulnerabilities, however, they are not utilized to boost
public repositories. In this paper, we devise a pipeline to augment
vulnerability description through third party reference (hyperlink) scrapping.
To normalize the description, we build a natural language summarization
pipeline utilizing a pretrained language model that is fine-tuned using labeled
instances and evaluate its performance against both human evaluation (golden
standard) and computational metrics, showing initial promising results in terms
of summary fluency, completeness, correctness, and understanding.
- Abstract(参考訳): セキュリティインシデントとデータ漏洩は急速に増加しており、そのごく一部が報告されている。
公開脆弱性データベース、例えばnational vulnerability database(nvd)とcommon vulnerability and exposure(cve)は、脆弱性を文書化し、防御を支援するためにそれらを共有する取り組みをリードしている。
どちらも、簡単な脆弱性記述を含む多くの問題で知られている。
これらの記述は、適切な対策を開発するために、脆弱性情報をセキュリティアナリストに伝える上で重要な役割を果たす。
多くのリソースは脆弱性に関する追加情報を提供するが、公開リポジトリの強化には利用されない。
本稿では,サードパーティ参照(ハイパーリンク)スクラップによる脆弱性記述を強化するパイプラインを考案する。
この記述を正規化するために,ラベル付きインスタンスを用いて微調整された事前学習された言語モデルを用いた自然言語要約パイプラインを構築し,人間の評価(金本位制)と計算メトリクスの両方に対する性能評価を行い,要約流動性,完全性,正確性,理解という観点から最初の有望な結果を示す。
関連論文リスト
- Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。
無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。
本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
論文 参考訳(メタデータ) (2024-09-13T03:23:11Z) - Con-ReCall: Detecting Pre-training Data in LLMs via Contrastive Decoding [118.75567341513897]
既存のメソッドは通常、ターゲットテキストを分離して分析するか、非メンバーコンテキストでのみ分析する。
Con-ReCallは、メンバと非メンバのコンテキストによって誘導される非対称な分布シフトを利用する新しいアプローチである。
論文 参考訳(メタデータ) (2024-09-05T09:10:38Z) - Robust Utility-Preserving Text Anonymization Based on Large Language Models [80.5266278002083]
テキストの匿名化は、プライバシーを維持しながら機密データを共有するために重要である。
既存の技術は、大規模言語モデルの再識別攻撃能力の新たな課題に直面している。
本稿では,3つのLCMベースコンポーネント – プライバシ評価器,ユーティリティ評価器,最適化コンポーネント – で構成されるフレームワークを提案する。
論文 参考訳(メタデータ) (2024-07-16T14:28:56Z) - "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される
本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
論文 参考訳(メタデータ) (2024-06-26T05:36:23Z) - VulZoo: A Comprehensive Vulnerability Intelligence Dataset [12.229092589037808]
VulZooは17の人気の脆弱性情報ソースをカバーする、包括的な脆弱性インテリジェンスデータセットである。
VulZooを一般公開し、今後の研究を容易にするためにインクリメンタルアップデートでメンテナンスしています。
論文 参考訳(メタデータ) (2024-06-24T06:39:07Z) - CVE representation to build attack positions graphs [0.39945675027960637]
サイバーセキュリティにおいて、CVE(Common Vulnerabilities and Exposures)は、ハードウェアまたはソフトウェアの脆弱性を公開している。
この記事では、これらの脆弱性は、完全な攻撃シナリオにおいてどのようにチェーン化されるのかを理解するために、より詳細に記述されるべきである、と指摘する。
論文 参考訳(メタデータ) (2023-12-05T08:57:14Z) - Just-in-Time Detection of Silent Security Patches [7.840762542485285]
セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。
この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。
本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
論文 参考訳(メタデータ) (2023-12-02T22:53:26Z) - Vulnerability Clustering and other Machine Learning Applications of
Semantic Vulnerability Embeddings [23.143031911859847]
自然言語処理(NLP)技術に基づく意味的脆弱性の埋め込みについて検討した。
また、サイバーセキュリティ研究者やアナリストを支援する機械学習アプリケーションの基礎としての利用を評価した。
私たちが調査し、簡単に要約した特定のアプリケーションは、クラスタリング、分類、可視化です。
論文 参考訳(メタデータ) (2023-08-23T21:39:48Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Reinforcement Learning on Encrypted Data [58.39270571778521]
本稿では,DQNエージェントが,離散的かつ連続的な状態空間を持つ環境でどのように動作するかを予備的,実験的に検討する。
その結果,非決定論的暗号が存在する場合でも,エージェントは依然として小さな状態空間で学習することができるが,より複雑な環境では性能が低下することがわかった。
論文 参考訳(メタデータ) (2021-09-16T21:59:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。