揭示未见安全实体之间的隐藏链接
针对国家漏洞数据库(NVD)每年新漏洞数量的急剧增加,导致 NVD 分析师将通用平台枚举(CPE)与公共漏洞和暴露(CVE)摘要相关联的工作量越发繁重和缓慢,本研究提出了自动标注和提取 CPE 的 CPE-Identifier 系统,通过深度学习模型,自动生成和标注数据,应用自然语言处理(NLP)命名实体识别(NER)识别文本中的新技术术语,并在自动化 CVE-CPE 标注方面表现优异。
May, 2024
本文介绍了一种基于 Transformer 学习框架的新方法 (V2W-BERT),通过自然语言处理、链接预测和迁移学习等思想,自动将 Common Vulnerabilities and Exposures (CVE) 映射到 Common Weakness Enumerations (CWE),准确地解决了在网络安全方面的问题,可应用于寻找软件漏洞和缓解网络攻击。
Feb, 2021
本文介绍了一种基于知识图谱构建漏洞图谱的新方法,结合了命名实体识别、关系提取和实体预测,以及神经模型、启发式规则和知识图谱嵌入。我们展示了这种方法如何帮助修复用于网络安全的知识图谱中缺失项,并评估了其性能。
Apr, 2023
利用机器学习和深度神经网络,针对 C++ 程序开发了一种基于数据驱动的漏洞检测方法,研究结果表明结合源代码和神经网络特征,可以获得更可靠的漏洞检测结果,最高检测能力达到 0.87。
Feb, 2018
提出并发布了一个新的易受攻击源代码数据集,通过获取安全问题网站、提取 缺陷修复提交和相应项目的源代码进行数据处理。使用此数据集与先前数据集相结合,研究使用深度学习检测软件漏洞的挑战和未来研究方向。同时,研究发现大型语言模型是未来漏洞检测的方向,在检测性能上优于手动特征工程的图神经网络。
Apr, 2023
提出了一种结合 RoBERTa 模型和 GCN 模型的关于代码漏洞检测的多任务分类器,该模型采用了一个语义性漏洞图来降低偏差,并通过结合 Focal Loss 目标函数降低数据集不平衡的影响。在多个数据集的测试中,该模型表现优异,能够在最好的情况下提高 2.41% 和 18.75% 的检测效果,并且在针对知名 Github 代码库的 N-day 程序样本的测试中表现出 93% 的准确率,能够检测出 4 种零日漏洞。
Apr, 2023
本研究介绍了一种名为 CVEDrill 的创新预测模型与工具,能够革新 CVE 分析和威胁优先级排序,实现精确威胁缓解和自动分类 CVE 至适当的 CWE 层级类别,从而开创了在此领域超越 ChaptGPT 等最先进工具的组织实施网络安全对策缓解的精确度和及时性。
Sep, 2023
提出了一种新颖的跨漏洞与软件库分析框架 VULNERLIZER,使用 CVE 数据和软件库数据结合聚类算法生成漏洞与库之间的关联;通过更新权重重新评估生成的关联,并使用测试集的 CVE 数据进行预测,结果显示 VULNERLIZER 具有预测未来脆弱库的潜力,训练模型的准确率达到 75% 或更高。
Sep, 2023
当前迅速发展的技术环境和先进的软件开发使得网络安全攻击的增加成为一个紧迫问题,通过利用主题建模和机器学习来检测软件需求过程中的早期漏洞已经取得成功,并且未来的研究旨在采用多种监督式机器学习技术提高自动化和建立软件需求与漏洞之间的联系。
Nov, 2023