論文の概要: Unveiling Hidden Links Between Unseen Security Entities

• arxiv url: http://arxiv.org/abs/2403.02014v1
• Date: Mon, 4 Mar 2024 13:14:39 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-06 18:48:34.420150
• Title: Unveiling Hidden Links Between Unseen Security Entities
• Title（参考訳）: 未確認のセキュリティエンティティ間の隠れたリンクを公開
• Authors: Daniel Alfasi, Tal Shapira, Anat Bremler Barr
• Abstract要約: VulnScopperは、知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチである。 我々は、National Vulnerability Database(NVD)とRed Hat CVEデータベースの2つの主要なセキュリティデータセットでVulnScopperを評価した。 VulnScopperは既存の手法よりも優れており、CVEをCWE(Common Vulnerabilities and Exposures)、CPE(Common Platform Languageions)にリンクする際の78%のHits@10精度を実現している。
• 参考スコア（独自算出の注目度）: 3.7138962865789353
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The proliferation of software vulnerabilities poses a significant challenge for security databases and analysts tasked with their timely identification, classification, and remediation. With the National Vulnerability Database (NVD) reporting an ever-increasing number of vulnerabilities, the traditional manual analysis becomes untenably time-consuming and prone to errors. This paper introduces VulnScopper, an innovative approach that utilizes multi-modal representation learning, combining Knowledge Graphs (KG) and Natural Language Processing (NLP), to automate and enhance the analysis of software vulnerabilities. Leveraging ULTRA, a knowledge graph foundation model, combined with a Large Language Model (LLM), VulnScopper effectively handles unseen entities, overcoming the limitations of previous KG approaches. We evaluate VulnScopper on two major security datasets, the NVD and the Red Hat CVE database. Our method significantly improves the link prediction accuracy between Common Vulnerabilities and Exposures (CVEs), Common Weakness Enumeration (CWEs), and Common Platform Enumerations (CPEs). Our results show that VulnScopper outperforms existing methods, achieving up to 78% Hits@10 accuracy in linking CVEs to CPEs and CWEs and presenting an 11.7% improvement over large language models in predicting CWE labels based on the Red Hat database. Based on the NVD, only 6.37% of the linked CPEs are being published during the first 30 days; many of them are related to critical and high-risk vulnerabilities which, according to multiple compliance frameworks (such as CISA and PCI), should be remediated within 15-30 days. Our model can uncover new products linked to vulnerabilities, reducing remediation time and improving vulnerability management. We analyzed several CVEs from 2023 to showcase this ability.
• Abstract（参考訳）: ソフトウェアの脆弱性の拡散は、セキュリティデータベースやアナリストがタイムリーな識別、分類、修復を行う上で大きな課題となる。 National Vulnerability Database (NVD)が継続的に増加する脆弱性を報告しているので、従来の手動分析は時間がかかり、エラーが発生しやすい。 本稿では,知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチであるVulnScopperを紹介し,ソフトウェア脆弱性の分析の自動化と強化を行う。 知識グラフ基盤モデルであるULTRAをLarge Language Model (LLM)と組み合わせることで、VulnScopperは目に見えないエンティティを効果的に処理し、従来のKGアプローチの制限を克服する。 我々は、NVDとRed Hat CVEデータベースの2つの主要なセキュリティデータセット上でVulnScopperを評価する。 提案手法は,CVE(Common Vulnerabilities and Exposures),CWE(Common Weakness Enumeration),CPE(Common Platform Enumeration)のリンク予測精度を大幅に向上させる。 我々の結果は、VulnScopperが既存の手法より優れており、CVEをCPEやCWEにリンクし、Red Hatデータベースに基づいてCWEラベルを予測する場合、11.7%の改善が達成されていることを示している。 NVDに基づいて、リンクされたCPEの6.37%は、最初の30日間で公開され、その多くは、複数のコンプライアンスフレームワーク(CISAやPCIなど)に従えば、15日から30日以内に再通信される、クリティカルかつリスクの高い脆弱性に関連している。 我々のモデルは、脆弱性に関連する新製品を発見でき、修復時間を短縮し、脆弱性管理を改善します。 我々は2023年からいくつかのCVEを分析し,その能力を実証した。

関連論文リスト

• Provable Robustness of (Graph) Neural Networks Against Data Poisoning and Backdoor Attacks [50.87615167799367]
  グラフニューラルネットワーク(GNN)は、特定のグラフのノード特徴をターゲットとした中毒やバックドア攻撃に対して認証する。 コンボリューションベースのGNNとPageRankベースのGNNの最悪の動作におけるグラフ構造の役割とその接続性に関する基本的な知見を提供する。
  論文  参考訳（メタデータ） (2024-07-15T16:12:51Z)
• PriRoAgg: Achieving Robust Model Aggregation with Minimum Privacy Leakage for Federated Learning [49.916365792036636]
  フェデレートラーニング(FL)は、大規模分散ユーザデータを活用する可能性から、最近大きな勢いを増している。 送信されたモデル更新は、センシティブなユーザ情報をリークする可能性があり、ローカルなトレーニングプロセスの集中的な制御の欠如は、モデル更新に対する悪意のある操作の影響を受けやすいグローバルモデルを残します。 我々は、Lagrange符号化計算と分散ゼロ知識証明を利用した汎用フレームワークPriRoAggを開発し、集約されたプライバシを満たすとともに、幅広いロバストな集約アルゴリズムを実行する。
  論文  参考訳（メタデータ） (2024-07-12T03:18:08Z)
• VulZoo: A Comprehensive Vulnerability Intelligence Dataset [12.229092589037808]
  VulZooは17の人気の脆弱性情報ソースをカバーする、包括的な脆弱性インテリジェンスデータセットである。 VulZooを一般公開し、今後の研究を容易にするためにインクリメンタルアップデートでメンテナンスしています。
  論文  参考訳（メタデータ） (2024-06-24T06:39:07Z)
• CPE-Identifier: Automated CPE identification and CVE summaries annotation with Deep Learning and NLP [0.28281736775010774]
  本稿では,CVE要約から自動CPE注釈抽出システムであるCPE-Identifierシステムを提案する。 このシステムは、新しいCVEテキスト入力からCPEエンティティを識別するツールとして使用できる。 また,NLP (Natural Language Processing) Named Entity Recognition (NER) を用いて,テキスト中の新しい技術用語を識別する。
  論文  参考訳（メタデータ） (2024-05-22T12:05:17Z)
• SecScore: Enhancing the CVSS Threat Metric Group with Empirical Evidences [0.0]
  最も広く使用されている脆弱性スコアリングシステム(CVSS)の1つは、エクスプロイトコードが出現する可能性の増大に対処していない。 本稿では,CVSS Threatメトリックグループを強化した,革新的な脆弱性重大度スコアであるSecScoreを提案する。
  論文  参考訳（メタデータ） (2024-05-14T12:25:55Z)
• FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
  FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。 本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。 本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
  論文  参考訳（メタデータ） (2024-03-26T08:51:23Z)
• Automated CVE Analysis for Threat Prioritization and Impact Prediction [4.540236408836132]
  CVE分析と脅威優先順位付けに革命をもたらす新しい予測モデルとツール(CVEDrill)を導入する。 CVEDrillは、正確な脅威軽減と優先順位付けのために、CVSSベクターを正確に推定する。 CVEを適切なCommon Weaknession(CWE)階層クラスにシームレスに分類する。
  論文  参考訳（メタデータ） (2023-09-06T14:34:03Z)
• G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks through Attributed Client Graph Clustering [116.4277292854053]
  Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。 FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。 本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:15:04Z)
• Confidence Attention and Generalization Enhanced Distillation for Continuous Video Domain Adaptation [62.458968086881555]
  連続ビデオドメイン適応(CVDA、Continuous Video Domain Adaptation)は、ソースモデルが個々の変更対象ドメインに適応する必要があるシナリオである。 CVDAの課題に対処するため,遺伝子組み換え型自己知識解離(CART)を用いた信頼性保証ネットワークを提案する。
  論文  参考訳（メタデータ） (2023-03-18T16:40:10Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• V2W-BERT: A Framework for Effective Hierarchical Multiclass Classification of Software Vulnerabilities [7.906207218788341]
  本稿では,Transformer-based learning framework(V2W-BERT)を提案する。 自然言語処理,リンク予測,転送学習のアイデアを用いることで,従来の手法よりも優れる。 ランダムに分割されたデータの予測精度は最大97%、一時分割されたデータの予測精度は最大94%です。
  論文  参考訳（メタデータ） (2021-02-23T05:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。