論文の概要: Silent Vulnerability-fixing Commit Identification Based on Graph Neural
Networks
- arxiv url: http://arxiv.org/abs/2309.08225v1
- Date: Fri, 15 Sep 2023 07:51:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 07:28:04.688622
- Title: Silent Vulnerability-fixing Commit Identification Based on Graph Neural
Networks
- Title(参考訳): グラフニューラルネットワークに基づくサイレント脆弱性修正コミット識別
- Authors: Hieu Dinh Vo, Thanh Trong Vu, and Son Nguyen
- Abstract要約: VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
- 参考スコア(独自算出の注目度): 4.837912059099674
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The growing dependence of software projects on external libraries has
generated apprehensions regarding the security of these libraries because of
concealed vulnerabilities. Handling these vulnerabilities presents difficulties
due to the temporal delay between remediation and public exposure. Furthermore,
a substantial fraction of open-source projects covertly address vulnerabilities
without any formal notification, influencing vulnerability management.
Established solutions like OWASP predominantly hinge on public announcements,
limiting their efficacy in uncovering undisclosed vulnerabilities. To address
this challenge, the automated identification of vulnerability-fixing commits
has come to the forefront. In this paper, we present VFFINDER, a novel
graph-based approach for automated silent vulnerability fix identification.
VFFINDER captures structural changes using Abstract Syntax Trees (ASTs) and
represents them in annotated ASTs. To precisely capture the meaning of code
changes, the changed code is represented in connection with the related
unchanged code. In VFFINDER, the structure of the changed code and related
unchanged code are captured and the structural changes are represented in
annotated Abstract Syntax Trees (aAST). VFFINDER distinguishes
vulnerability-fixing commits from non-fixing ones using attention-based graph
neural network models to extract structural features expressed in aASTs. We
conducted experiments to evaluate VFFINDER on a dataset of 11K+ vulnerability
fixing commits in 507 real-world C/C++ projects. Our results show that VFFINDER
significantly improves the state-of-the-art methods by 272-420% in Precision,
22-70% in Recall, and 3.2X-8.2X in F1. Especially, VFFINDER speeds up the
silent fix identification process by up to 121% with the same effort reviewing
50K LOC compared to the existing approaches.
- Abstract(参考訳): ソフトウェアプロジェクトの外部ライブラリへの依存度が高まっているため、これらのライブラリのセキュリティに対する不安が生じている。
これらの脆弱性の処理は、修復と公開の時間的遅延のために難しい。
さらに、かなりの数のオープンソースプロジェクトが、正式な通知なしで脆弱性を隠蔽し、脆弱性管理に影響を与える。
owaspのような確立されたソリューションは、主に公開発表に依存し、非公開の脆弱性を明らかにする効果を制限している。
この課題に対処するために、脆弱性フィックスコミットの自動識別が最前線にある。
本稿では,自動無声脆弱性検出のためのグラフベースの新しいアプローチであるVFFINDERを提案する。
VFFINDERは抽象構文木(AST)を使用して構造変化をキャプチャし、アノテーション付きASTでそれらを表現する。
変更コードの意味を正確に把握するために、変更コードと関連する変更コードとを関連付けて表現する。
VFFINDERでは、変更コードと関連する変更コードの構造をキャプチャし、構造変更を注釈付き抽象構文木(aAST)で表現する。
VFFINDERは、AASTで表現された構造的特徴を抽出するために注意ベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
我々は,507の現実世界のC/C++プロジェクトにおいて,11K以上の脆弱性修正コミットのデータセット上でVFFINDERを評価する実験を行った。
以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
特に、VFFINDERは、既存のアプローチと比較して50KLOCをレビューするのと同じ努力で、サイレントフィクス識別プロセスを最大121%高速化する。
関連論文リスト
- Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。
拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。
MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
論文 参考訳(メタデータ) (2024-05-01T12:03:39Z) - FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [54.27040631527217]
削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。
FoC-BinLLMは、ROUGE-LスコアでChatGPTを14.61%上回った。
FoC-Simは52%高いRecall@1で過去のベストメソッドを上回っている。
論文 参考訳(メタデータ) (2024-03-27T09:45:33Z) - Vignat: Vulnerability identification by learning code semantics via
graph attention networks [6.433019933439612]
コードのグラフレベルのセマンティック表現を学習することで脆弱性を識別する新しいアテンションベースのフレームワークである textitVignat を提案する。
コードプロパティグラフ(CPG)を粒度で表現し,脆弱性検出にグラフアテンションネットワーク(GAT)を用いる。
論文 参考訳(メタデータ) (2023-10-30T22:31:38Z) - Identifying Vulnerability Patches by Comprehending Code Commits with Comprehensive Change Contexts [15.95646104591207]
CompVPDは、コードコミットを包括的なコンテキストで理解するために、大きな言語モデル(LLM)であるStarCoderを微調整することで、脆弱性のパッチを特定するための最初のアプローチである。
CompVPDと、脆弱性のパッチを特定する4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
CompVPDはAUCのスコアを11%改善し、SOTAのベストスコアと比較するとF1のスコアを30%改善する。
論文 参考訳(メタデータ) (2023-10-04T02:08:18Z) - VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix
Identification [4.837912059099674]
VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERの精度は39~83%,リコール率19~148%,F1では30~109%向上した。
論文 参考訳(メタデータ) (2023-09-05T05:55:18Z) - Multi-Granularity Detector for Vulnerability Fixes [13.653249890867222]
脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。
MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。
MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
論文 参考訳(メタデータ) (2023-05-23T10:06:28Z) - UIA-ViT: Unsupervised Inconsistency-Aware Method based on Vision
Transformer for Face Forgery Detection [52.91782218300844]
そこで我々は、UIA-ViTと呼ばれるビジョン変換器に基づく教師なし不整合認識手法を提案する。
自己注意機構により、パッチ埋め込み間の注意マップは自然に一貫性関係を表現し、一貫性表現学習に適した視覚変換器となる。
論文 参考訳(メタデータ) (2022-10-23T15:24:47Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z) - Suppressing Uncertainties for Large-Scale Facial Expression Recognition [81.51495681011404]
本稿では,不確実性を効果的に抑制し,深層ネットワークが不確実な顔画像に過度に収まらないような,シンプルで効率的なセルフキュアネットワーク(SCN)を提案する。
公開ベンチマークの結果、我々のSCNは現在の最先端メソッドよりも、RAF-DBで textbf88.14%、AffectNetで textbf60.23%、FERPlusで textbf89.35% を上回りました。
論文 参考訳(メタデータ) (2020-02-24T17:24:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。