领域知识驱动的缺陷报告预测

admin 2022年5月8日14:23:51安全闲碎评论5 views938字阅读3分7秒阅读模式

领域知识驱动的缺陷报告预测

原文标题:Domain knowledge-based security bug reports prediction
原文作者:Wei Zheng, JingYuan Cheng, Xiaoxue Wu, Ruiyang Sun, Xiaolong Wang, Xiaobing Sun
原文链接:https://www.sciencedirect.com/science/article/abs/pii/S095070512200096X
发表期刊:Knowledge-Based Systems 2022
笔记作者:[email protected]
文章小编:[email protected]

安全缺陷报告(Security Bug Report, SBR)预测是消除软件产品安全风险的一项举措。本文的目标是在软件安全领域专业知识的帮助下提高SBR预测的有效性。图1是本文所提SBR预测模型框架,分为3个阶段:数据准备、知识图谱生成和性能评估。

领域知识驱动的缺陷报告预测

Fig. 1 SBR预测框架

在数据准备阶段,来源于图2中的5个开源项目和CWE Top 25共同组成了实验数据集作者将图2所示数据集按照50:50的比例分开,一部分用于构建语料库,另一部分作为测试集。数据集内容主要包括Bug报告的Summary和Description字段内容。CWE Top 25的漏洞作为扩展数据集,包括:CWE名称,Description和Extended Description字段内容。

领域知识驱动的缺陷报告预测

Fig. 2 数据集(5个开源项目)

在知识图谱生成阶段,论文使用spaCy对文本进行token化和词恢复,然后为手动为实体打上标签。本文中所涉及的实体有6类:软件名、安全相关词、缺陷位置、缺陷类型、其他词、其他短语,如图3所示;实体间关系分类如图4所示。

领域知识驱动的缺陷报告预测

Fig. 3 实体分类

领域知识驱动的缺陷报告预测

Fig. 4 主要的实体间关系分类

最终,基于抽取的实体和关系,使用Neo4j建立软件安全知识图谱。图5是SBR的预测流程。首先使用spaCy进行分词,并标记词性;然后提取实体和实体间关系。通过语料库和知识图谱计算SBR中词和短语与安全相关单词/短语间的余弦相似性。

领域知识驱动的缺陷报告预测

Fig. 5 SBR预测流程

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com

领域知识驱动的缺陷报告预测


原文始发于微信公众号(安全学术圈):领域知识驱动的缺陷报告预测

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日14:23:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  领域知识驱动的缺陷报告预测 http://cn-sec.com/archives/978770.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: