論文の概要: Improving Data Curation of Software Vulnerability Patches through Uncertainty Quantification

• arxiv url: http://arxiv.org/abs/2411.11659v1
• Date: Mon, 18 Nov 2024 15:37:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-19 14:34:52.143304
• Title: Improving Data Curation of Software Vulnerability Patches through Uncertainty Quantification
• Title（参考訳）: 不確実性定量化によるソフトウェア脆弱性パッチのデータキュレーションの改善
• Authors: Hui Chen, Yunhua Zhao, Kostadin Damevski,
• Abstract要約: 本稿では、不確実性定量化(UQ)を用いて、公開可能なソフトウェア脆弱性パッチのデータセットをキュレートする手法を提案する。 Model EnsembleとHerescedasticモデルは、脆弱性パッチデータセットのベストチョイスです。
• 参考スコア（独自算出の注目度）: 6.916509590637601
• License:
• Abstract: The changesets (or patches) that fix open source software vulnerabilities form critical datasets for various machine learning security-enhancing applications, such as automated vulnerability patching and silent fix detection. These patch datasets are derived from extensive collections of historical vulnerability fixes, maintained in databases like the Common Vulnerabilities and Exposures list and the National Vulnerability Database. However, since these databases focus on rapid notification to the security community, they contain significant inaccuracies and omissions that have a negative impact on downstream software security quality assurance tasks. In this paper, we propose an approach employing Uncertainty Quantification (UQ) to curate datasets of publicly-available software vulnerability patches. Our methodology leverages machine learning models that incorporate UQ to differentiate between patches based on their potential utility. We begin by evaluating a number of popular UQ techniques, including Vanilla, Monte Carlo Dropout, and Model Ensemble, as well as homoscedastic and heteroscedastic models of noise. Our findings indicate that Model Ensemble and heteroscedastic models are the best choices for vulnerability patch datasets. Based on these UQ modeling choices, we propose a heuristic that uses UQ to filter out lower quality instances and select instances with high utility value from the vulnerability dataset. Using our approach, we observe an improvement in predictive performance and significant reduction of model training time (i.e., energy consumption) for a state-of-the-art vulnerability prediction model.
• Abstract（参考訳）: オープンソースソフトウェアの脆弱性を修正する変更セット(あるいはパッチ)は、自動脆弱性パッチやサイレントフィックス検出など、さまざまな機械学習セキュリティ強化アプリケーションの重要なデータセットを形成する。 これらのパッチデータセットは、Common Vulnerabilities and Exposures ListやNational Vulnerability Databaseなどのデータベースでメンテナンスされている、歴史的な脆弱性修正の広範なコレクションに由来する。 しかし、これらのデータベースはセキュリティコミュニティへの迅速な通知に重点を置いているため、下流のソフトウェアセキュリティ品質保証タスクに悪影響を及ぼす重大な不正確さや欠落が含まれている。 本稿では,Uncertainty Quantification(UQ)を用いて,公開可能なソフトウェア脆弱性のデータセットをキュレートする手法を提案する。 我々の手法は、UQを組み込んだ機械学習モデルを利用して、潜在的なユーティリティに基づいてパッチを区別する。 まず、Vanilla、Monte Carlo Dropout、Model Ensembleなど、一般的なUQ技術の評価から始めます。 この結果から, Model Ensemble と heteroscedastic モデルが脆弱性パッチデータセットに最適な選択肢であることが示唆された。 これらのUQモデリング選択に基づいて、UQを用いて低品質のインスタンスをフィルタリングし、脆弱性データセットから高い実用価値のインスタンスを選択するヒューリスティックを提案する。 提案手法を用いて,現状の脆弱性予測モデルにおいて,予測性能の向上とモデルトレーニング時間(すなわちエネルギー消費)の大幅な削減を観察する。

関連論文リスト

• DFEPT: Data Flow Embedding for Enhancing Pre-Trained Model Based Vulnerability Detection [7.802093464108404]
  本稿では,脆弱性検出タスクにおける事前学習モデルの性能向上を目的としたデータフロー埋め込み手法を提案する。 具体的には,関数レベルのソースコードからデータフローグラフを解析し,DFGのノード特性として変数のデータ型を使用する。 我々の研究は、DFEPTが事前訓練されたモデルに効果的な脆弱性セマンティック情報を提供し、Devignデータセットで64.97%、Revealデータセットで47.9%のF1スコアを達成できることを示している。
  論文  参考訳（メタデータ） (2024-10-24T07:05:07Z)
• VulZoo: A Comprehensive Vulnerability Intelligence Dataset [12.229092589037808]
  VulZooは17の人気の脆弱性情報ソースをカバーする、包括的な脆弱性インテリジェンスデータセットである。 VulZooを一般公開し、今後の研究を容易にするためにインクリメンタルアップデートでメンテナンスしています。
  論文  参考訳（メタデータ） (2024-06-24T06:39:07Z)
• Privacy Backdoors: Enhancing Membership Inference through Poisoning Pre-trained Models [112.48136829374741]
  本稿では、プライバシーバックドア攻撃という新たな脆弱性を明らかにします。 被害者がバックドアモデルに微調整を行った場合、トレーニングデータは通常のモデルに微調整された場合よりも大幅に高い速度でリークされる。 我々の発見は、機械学習コミュニティにおける重要なプライバシー上の懸念を浮き彫りにし、オープンソースの事前訓練モデルの使用における安全性プロトコルの再評価を求めている。
  論文  参考訳（メタデータ） (2024-04-01T16:50:54Z)
• REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
  本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。 脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。 大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
  論文  参考訳（メタデータ） (2023-09-15T02:50:08Z)
• Learning to Quantize Vulnerability Patterns and Match to Locate Statement-Level Vulnerabilities [19.6975205650411]
  さまざまな脆弱性パターンを表す量子化されたベクトルで構成される脆弱性コードブックが学習される。 推論の間、コードブックは、すべての学習パターンにマッチし、潜在的な脆弱性の存在を予測するために反復される。 提案手法は188,000以上のC/C++関数からなる実世界のデータセットに対して広範に評価された。
  論文  参考訳（メタデータ） (2023-05-26T04:13:31Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Certified Adversarial Defenses Meet Out-of-Distribution Corruptions: Benchmarking Robustness and Simple Baselines [65.0803400763215]
  この研究は、最先端のロバストモデルがアウト・オブ・ディストリビューションデータに遭遇した場合、敵のロバスト性がどのように変化を保証しているかを批判的に検証する。 本稿では,トレーニングデータのスペクトルカバレッジを改善するために,新たなデータ拡張方式であるFourierMixを提案する。 また,FourierMixの拡張により,様々なOODベンチマークにおいて,より優れたロバスト性保証を実現することが可能となる。
  論文  参考訳（メタデータ） (2021-12-01T17:11:22Z)
• Robust and Transferable Anomaly Detection in Log Data using Pre-Trained Language Models [59.04636530383049]
  クラウドのような大規模コンピュータシステムにおける異常や障害は、多くのユーザに影響を与える。 システム情報の主要なトラブルシューティングソースとして,ログデータの異常検出のためのフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-02-23T09:17:05Z)
• V2W-BERT: A Framework for Effective Hierarchical Multiclass Classification of Software Vulnerabilities [7.906207218788341]
  本稿では,Transformer-based learning framework(V2W-BERT)を提案する。 自然言語処理,リンク予測,転送学習のアイデアを用いることで,従来の手法よりも優れる。 ランダムに分割されたデータの予測精度は最大97%、一時分割されたデータの予測精度は最大94%です。
  論文  参考訳（メタデータ） (2021-02-23T05:16:57Z)
• RobustBench: a standardized adversarial robustness benchmark [84.50044645539305]
  ロバストネスのベンチマークにおける主な課題は、その評価がしばしばエラーを起こし、ロバストネス過大評価につながることである。 我々は,白箱攻撃と黒箱攻撃のアンサンブルであるAutoAttackを用いて,敵対的ロバスト性を評価する。 分散シフト,キャリブレーション,アウト・オブ・ディストリビューション検出,フェアネス,プライバシリーク,スムースネス,転送性に対するロバスト性の影響を解析した。
  論文  参考訳（メタデータ） (2020-10-19T17:06:18Z)
• An Empirical Analysis of Backward Compatibility in Machine Learning Systems [47.04803977692586]
  MLモデルの改善を目的としたアップデートでは,下流システムやユーザに大きな影響を及ぼす可能性のある,新たなエラーが発生する可能性がある。 例えば、画像認識などのクラウドベースの分類サービスで使用されるモデルの更新は、予期しない誤った振る舞いを引き起こす可能性がある。
  論文  参考訳（メタデータ） (2020-08-11T08:10:58Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。