論文の概要: CHRONOS: Time-Aware Zero-Shot Identification of Libraries from
Vulnerability Reports
- arxiv url: http://arxiv.org/abs/2301.03944v4
- Date: Sat, 29 Jul 2023 04:33:44 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 13:35:47.261486
- Title: CHRONOS: Time-Aware Zero-Shot Identification of Libraries from
Vulnerability Reports
- Title(参考訳): CHRONOS: 脆弱性レポートによるライブラリのゼロショット識別
- Authors: Yunbo Lyu, Thanh Le-Cong, Hong Jin Kang, Ratnadira Widyasari, Zhipeng
Zhao, Xuan-Bach D. Le, Ming Li, David Lo
- Abstract要約: ゼロショット学習に基づく実用的なライブラリ識別手法であるCHRONOSを提案する。
CHRONOSの新規性は3倍である。まず、CRONOSは脆弱性レポートの時系列順序を考慮し、実用的なパイプラインに適合する。
- 参考スコア(独自算出の注目度): 12.257538059511424
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Tools that alert developers about library vulnerabilities depend on accurate,
up-to-date vulnerability databases which are maintained by security
researchers. These databases record the libraries related to each
vulnerability. However, the vulnerability reports may not explicitly list every
library and human analysis is required to determine all the relevant libraries.
Human analysis may be slow and expensive, which motivates the need for
automated approaches. Researchers and practitioners have proposed to
automatically identify libraries from vulnerability reports using extreme
multi-label learning (XML).
While state-of-the-art XML techniques showed promising performance, their
experiment settings do not practically fit what happens in reality. Previous
studies randomly split the vulnerability reports data for training and testing
their models without considering the chronological order of the reports. This
may unduly train the models on chronologically newer reports while testing the
models on chronologically older ones. However, in practice, one often receives
chronologically new reports, which may be related to previously unseen
libraries. Under this practical setting, we observe that the performance of
current XML techniques declines substantially, e.g., F1 decreased from 0.7 to
0.28 under experiments without and with consideration of chronological order of
vulnerability reports.
We propose a practical library identification approach, namely CHRONOS, based
on zero-shot learning. The novelty of CHRONOS is three-fold. First, CHRONOS
fits into the practical pipeline by considering the chronological order of
vulnerability reports. Second, CHRONOS enriches the data of the vulnerability
descriptions and labels using a carefully designed data enhancement step.
Third, CHRONOS exploits the temporal ordering of the vulnerability reports
using a cache to prioritize prediction of...
- Abstract(参考訳): ライブラリの脆弱性を開発者に警告するツールは、セキュリティ研究者がメンテナンスする最新の脆弱性データベースに依存する。
これらのデータベースは、各脆弱性に関連するライブラリを記録する。
しかしながら、脆弱性レポートはすべてのライブラリを明示的にリストするものではなく、人間による分析がすべての関連するライブラリを決定する必要がある。
人間の分析は遅くて費用がかかるため、自動化アプローチの必要性が高まる。
研究者や実践者は、極端なマルチラベル学習(XML)を使用して脆弱性レポートからライブラリを自動的に識別することを提案した。
最先端のxml技術は有望なパフォーマンスを示したが、実験の設定は現実に何が起こるかに実際に適合しない。
以前の研究では、レポートの時系列順序を考慮せずに、モデルのトレーニングとテストのための脆弱性レポートデータをランダムに分割していた。
これは、時系列的に新しいレポートでモデルをトレーニングし、時系列的に古いレポートでモデルをテストする可能性がある。
しかし、実際には、しばしば時系列的に新しい報告を受け取り、これは以前に見つからなかった図書館に関連している可能性がある。
この実践的な環境下では、脆弱性報告の時系列順序を考慮して、F1が0.7から0.28に減少するなど、現在のXML技術の性能が大幅に低下するのを観察する。
ゼロショット学習に基づく実用的なライブラリ識別手法であるCHRONOSを提案する。
クロノスの斬新さは3倍である。
まず、chronosは脆弱性レポートの時系列順を考慮し、実用的なパイプラインに適合する。
第二に、CHRONOSは慎重に設計されたデータ拡張ステップを使用して脆弱性記述とラベルのデータを強化する。
第三に、Chronosは、キャッシュを使用して脆弱性レポートの時間的順序付けを利用して、予測を優先順位付けする。
関連論文リスト
- PriRoAgg: Achieving Robust Model Aggregation with Minimum Privacy Leakage for Federated Learning [49.916365792036636]
フェデレートラーニング(FL)は、大規模分散ユーザデータを活用する可能性から、最近大きな勢いを増している。
送信されたモデル更新は、センシティブなユーザ情報をリークする可能性があり、ローカルなトレーニングプロセスの集中的な制御の欠如は、モデル更新に対する悪意のある操作の影響を受けやすいグローバルモデルを残します。
我々は、Lagrange符号化計算と分散ゼロ知識証明を利用した汎用フレームワークPriRoAggを開発し、集約されたプライバシを満たすとともに、幅広いロバストな集約アルゴリズムを実行する。
論文 参考訳(メタデータ) (2024-07-12T03:18:08Z) - TESSERACT: Eliminating Experimental Bias in Malware Classification
across Space and Time (Extended Version) [18.146377453918724]
マルウェア検知器は、常に進化するオペレーティングシステムや攻撃方法によって、しばしば性能劣化を経験する。
本論文は, 検出作業における2つの実験バイアス源により, 一般的に報告される結果が膨らんでいることを論じる。
論文 参考訳(メタデータ) (2024-02-02T12:27:32Z) - VULNERLIZER: Cross-analysis Between Vulnerabilities and Software
Libraries [4.2755847332268235]
VULNERLIZERは脆弱性とソフトウェアライブラリ間のクロス分析のための新しいフレームワークである。
CVEとソフトウェアライブラリのデータとクラスタリングアルゴリズムを使用して、脆弱性とライブラリ間のリンクを生成する。
トレーニングされたモデルは、75%以上の予測精度に達する。
論文 参考訳(メタデータ) (2023-09-18T10:34:47Z) - ESRO: Experience Assisted Service Reliability against Outages [2.647000585570866]
私たちは、障害の根本原因と修復を推奨するESROと呼ばれる診断サービスを構築しています。
当社のモデルは,大企業のいくつかのクラウドサービス障害に対して,2年間にわたって評価を行った。
論文 参考訳(メタデータ) (2023-09-13T18:04:52Z) - Identifying Vulnerable Third-Party Java Libraries from Textual
Descriptions of Vulnerabilities and Libraries [15.573551625937556]
VulLibMinerは、脆弱性とライブラリの両方のテキスト記述から、脆弱性のあるライブラリを最初に識別する。
VulLibMinerの評価には,VeraJavaというデータセットと当社のVulLibデータセットの両方で脆弱性のあるライブラリを識別する,最先端/実践の4つのアプローチを用いる。
論文 参考訳(メタデータ) (2023-07-17T02:54:07Z) - Automated Labeling of German Chest X-Ray Radiology Reports using Deep
Learning [50.591267188664666]
本稿では,ルールベースのドイツ語CheXpertモデルによってラベル付けされたレポートに基づいて,ディープラーニングに基づくCheXpertラベル予測モデルを提案する。
その結果,3つのタスクすべてにおいて,ルールベースモデルを大幅に上回ったアプローチの有効性が示された。
論文 参考訳(メタデータ) (2023-06-09T16:08:35Z) - Queried Unlabeled Data Improves and Robustifies Class-Incremental
Learning [133.39254981496146]
クラス増分学習(Class-incremental Learning, CIL)は、新たに追加されたクラスを学習することと、以前に学習したクラス知識を保存することの間の悪名高いジレンマに悩まされる。
我々は、連続学習において「自由」な外部ラベル付きデータクエリを活用することを提案する。
CIL-QUDを堅牢化したバージョンにシームレスに拡張する。
論文 参考訳(メタデータ) (2022-06-15T22:53:23Z) - Annotation Error Detection: Analyzing the Past and Present for a More
Coherent Future [63.99570204416711]
我々は、潜在的なアノテーションの誤りを検知するための18の手法を再実装し、9つの英語データセット上で評価する。
アノテーションエラー検出タスクの新しい形式化を含む一様評価設定を定義する。
私たちはデータセットと実装を,使いやすく,オープンソースのソフトウェアパッケージとしてリリースしています。
論文 参考訳(メタデータ) (2022-06-05T22:31:45Z) - Autoregressive Search Engines: Generating Substrings as Document
Identifiers [53.0729058170278]
自動回帰言語モデルは、回答を生成するデファクト標準として現れています。
これまでの研究は、探索空間を階層構造に分割する方法を探究してきた。
本研究では,検索空間の任意の構造を強制しない代替として,経路内のすべてのngramを識別子として使用することを提案する。
論文 参考訳(メタデータ) (2022-04-22T10:45:01Z) - Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We? [6.438136820117887]
典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
論文 参考訳(メタデータ) (2021-12-19T11:30:29Z) - D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using
Differential Analysis [55.15995704119158]
静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。
D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
論文 参考訳(メタデータ) (2021-02-16T07:46:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。