今天给大家推荐一篇来自ICSE 2022会议上的论文——Learning Probabilistic Models for Static Analysis Alarms。论文作者指出,虽然已有研究人员利用学习概率模型来减少静态分析过程中的误报,减轻人工审核的负担。但是这些方案大都受限于预定义结构(人工编写相应规则)的模型,因此难以将一类程序的分析引用到其他模型中,且容易出现漏报。因此论文作者提出了BayeSmith系统来解决上述问题。
论文作者认为,先前的工作之所以会产生误报是因为其构造的贝叶斯网络架构太过粗糙,仅简单地基于人为构造的相关规则。如下图所示,在对Alarm(7)加上negetive标签之后,其会进一步影响到作为Alarm(7)和Alarm(10)的公共根DUPath(5,6),这也导致了true alarm —— Alarm(10)的概率比修改前更小,导致了False Generalization问题。
因此论文做考虑做出改进,BayeSmith系统框架如下所示。
首先使用下图所示规则进行简单分析,并据此构建初始化的贝叶斯网络。然后BayeSmith根据第一步的结构,模拟用户与Alarm排名系统的交互,观察错误误报的产生,并基于此学习新的规则。如果新的规则在消除False Generalization上更加有效,则将使用该新规则再次进行迭代学习,否则会更换其他的候选规则。
从下图的比较中可以看出,BINGO工具如果采用上述策略,将会减少53.4%的误报产生。
为了进一步评估学习得到的模型性能,论文作者选取下列C语言程序集合进行测试。
从下图结果中可以看出,利用BayeSmith框架的效率较高。
将BayeSmith框架应用于其他工具之后,均有较高的性能提升,减少了人为审核Alarm的负担。
BayeSmith在false generalizations问题上的表现基本上都领先于BINGO工具。
在扩展性上也有较好的表现。
论文PDF:
https://kihongheo.kaist.ac.kr/publications/icse22-full.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-04-15
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论