論文の概要: The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors
- arxiv url: http://arxiv.org/abs/2401.02737v1
- Date: Fri, 5 Jan 2024 10:15:04 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-08 15:15:56.494374
- Title: The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors
- Title(参考訳): 脆弱性の詳細:グラフベースの検出器で識別された脆弱性コードのきめ細かい情報を見つける
- Authors: Baijun Cheng, Kailong Wang, Cuiyun Gao, Xiapu Luo, Yulei Sui, Li Li,
Yao Guo, Xiangqun Chen, Haoyu Wang
- Abstract要約: VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
- 参考スコア(独自算出の注目度): 39.01486277170386
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Vulnerability detection is a crucial component in the software development
lifecycle. Existing vulnerability detectors, especially those based on deep
learning (DL) models, have achieved high effectiveness. Despite their
capability of detecting vulnerable code snippets from given code fragments, the
detectors are typically unable to further locate the fine-grained information
pertaining to the vulnerability, such as the precise vulnerability triggering
locations.In this paper, we propose VULEXPLAINER, a tool for automatically
locating vulnerability-critical code lines from coarse-level vulnerable code
snippets reported by DL-based detectors.Our approach takes advantage of the
code structure and the semantics of the vulnerabilities. Specifically, we
leverage program slicing to get a set of critical program paths containing
vulnerability-triggering and vulnerability-dependent statements and rank them
to pinpoint the most important one (i.e., sub-graph) as the data flow
associated with the vulnerability. We demonstrate that VULEXPLAINER performs
consistently well on four state-of-the-art graph-representation(GP)-based
vulnerability detectors, i.e., it can flag the vulnerability-triggering code
statements with an accuracy of around 90% against eight common C/C++
vulnerabilities, outperforming five widely used GNN-based explanation
approaches. The experimental results demonstrate the effectiveness of
VULEXPLAINER, which provides insights into a promising research line:
integrating program slicing and deep learning for the interpretation of
vulnerable code fragments.
- Abstract(参考訳): 脆弱性検出はソフトウェア開発ライフサイクルにおいて重要なコンポーネントです。
既存の脆弱性検出装置、特にディープラーニング(DL)モデルに基づく検出は、高い有効性を実現している。
Despite their capability of detecting vulnerable code snippets from given code fragments, the detectors are typically unable to further locate the fine-grained information pertaining to the vulnerability, such as the precise vulnerability triggering locations.In this paper, we propose VULEXPLAINER, a tool for automatically locating vulnerability-critical code lines from coarse-level vulnerable code snippets reported by DL-based detectors.Our approach takes advantage of the code structure and the semantics of the vulnerabilities.
具体的には、プログラムスライシングを利用して脆弱性トリガーと脆弱性依存のステートメントを含む重要なプログラムパスのセットを取得し、脆弱性に関連するデータフローとして最も重要なもの(サブグラフ)をランク付けします。
vulexplainerは、最先端のグラフ表現(gp)ベースの脆弱性検出器4つ、つまり、脆弱性をトリガーするコードステートメントを8つの一般的なc/c++脆弱性に対して90%の精度でフラグ付けし、広く使用されている5つのgnnベースの説明アプローチよりも優れていることを実証する。
vulexplainerは、プログラムスライシングとディープラーニングを統合することで、脆弱なコードフラグメントの解釈を可能にするという、有望な研究ラインへの洞察を提供するものだ。
関連論文リスト
- The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Graph Neural Networks for Vulnerability Detection: A Counterfactual Explanation [41.831831628421675]
グラフニューラルネットワーク(GNN)は、脆弱性検出のための顕著なコード埋め込みアプローチとして登場した。
本稿では,GNNに基づく脆弱性検出のための新しいファクト・ファクト・アナライザCFExplainerを提案する。
論文 参考訳(メタデータ) (2024-04-24T06:52:53Z) - Enhancing Code Vulnerability Detection via Vulnerability-Preserving Data Augmentation [29.72520866016839]
ソースコードの脆弱性検出は、潜在的な攻撃からソフトウェアシステムを保護するための固有の脆弱性を特定することを目的としている。
多くの先行研究は、様々な脆弱性の特徴を見落とし、問題をバイナリ(0-1)分類タスクに単純化した。
FGVulDetは、さまざまな脆弱性タイプの特徴を識別するために複数の分類器を使用し、その出力を組み合わせて特定の脆弱性タイプを特定する。
FGVulDetはGitHubの大規模なデータセットでトレーニングされており、5種類の脆弱性を含んでいる。
論文 参考訳(メタデータ) (2024-04-15T09:10:52Z) - Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。
これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。
また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
論文 参考訳(メタデータ) (2024-03-27T14:34:29Z) - Toward Improved Deep Learning-based Vulnerability Detection [6.212044762686268]
データセットの脆弱性は、コード行、関数、あるいは脆弱性が存在するプログラムスライスなど、特定の方法で表現する必要がある。
検出器は、基地ユニットがどのように脆弱であるかを学び、その後、他の基地ユニットが脆弱かどうかを予測する。
我々は、個々のベースユニットに焦点をあてることが、複数のベースユニットにまたがる脆弱性を正しく検出する検出器の能力を損なうと仮定した。
本研究は,MBU脆弱性の適切な適用に向けて,DLベースの検出を支援するためのフレームワークについて紹介する。
論文 参考訳(メタデータ) (2024-03-05T14:57:28Z) - Vignat: Vulnerability identification by learning code semantics via
graph attention networks [6.433019933439612]
コードのグラフレベルのセマンティック表現を学習することで脆弱性を識別する新しいアテンションベースのフレームワークである textitVignat を提案する。
コードプロパティグラフ(CPG)を粒度で表現し,脆弱性検出にグラフアテンションネットワーク(GAT)を用いる。
論文 参考訳(メタデータ) (2023-10-30T22:31:38Z) - A Hierarchical Deep Neural Network for Detecting Lines of Codes with
Vulnerabilities [6.09170287691728]
ソースコードの意図しない欠陥によって引き起こされるソフトウェア脆弱性は、サイバー攻撃の根本原因である。
本稿では,自然言語処理で使用されている手法に基づいて,LLVM IR表現から脆弱性を検出するためのディープラーニング手法を提案する。
論文 参考訳(メタデータ) (2022-11-15T21:21:27Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。