文献

J-GLOBAL ID：202102255026629162   整理番号：21A0614942

脆弱性予測に対する脆弱性の基準を使用しないこと【JST・京大機械翻訳】

Better Not to Use Vulnerability’s Reference for Exploitability Prediction

著者 (4件)： Yang Heedong (Department of Computer Engineering, Hannam University, Daejeon 34430, Korea) ,  Park Seungsoo (Department of Computer Engineering, Hannam University, Daejeon 34430, Korea) ,  Yim Kangbin (Department of Information Security Engineering, Soonchunhyang University, Asan, Chungnam 31538, Korea) ,  Lee Manhee (Department of Computer Engineering, Hannam University, Daejeon 34430, Korea)
資料名： Applied Sciences (Web)  (Applied Sciences (Web))
巻： 10  号： 7  ページ： 2555  発行年： 2020年 
JST資料番号： U7135A  ISSN： 2076-3417  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： スイス (CHE)  言語： 英語 (EN)

抄録/ポイント： すべての利用コードの約半分は,その脆弱性の放出日の約2週間以内に利用可能になるであろう。しかし,放出された脆弱性の80%は利用されていない。すべての脆弱性を除くための同じ努力がいくらか浪費可能であるので,ソフトウェア会社は,通常,脆弱性がより重大で,即時パッチを必要とするかを評価するために,異なる方法を使用する。最近,脆弱性利用可能性を予測するために機械学習技術を使用する試みがいくつかある。そうすることで,その参照と呼ばれる脆弱性関連URLは,機械学習アルゴリズム特徴として一般的に使用されている。しかし,いくつかの参照が概念実証コードを含むことを見出した。本論文では,国立脆弱性データベースにおけるすべての参照を分析し,それらの46,202がそのようなコードを含むことを見出した。参照情報の有無で特徴行列間の予測性能を比較した。実験結果は,概念実証コードを含む参照を用いた試験セットが,そのようなコードなしの参照を用いたものより良い予測性能を有することを示した。差異が巨大ではないが,回答情報を有する参照は予測性能に寄与し,それは望ましくない。したがって,脆弱性開発を予測するために参照情報を用いることは,より良好である。Copyright 2021 The Author(s) All rights reserved. Translated from English into Japanese by JST.【JST・京大機械翻訳】

シソーラス用語： データベース ,  *機械学習 ,  学習アルゴリズム
準シソーラス用語： 脆弱性 ,  予測性能 ,  ソフトウェア会社 ,  機械学習技術 , 【Automatic Indexing@JST】

著者キーワード (5件)： CVE ,  開発 ,  予測 ,  機械学習 ,  PoC

分類 (1件)： データ保護  (JD01020V)

引用文献 (16件)：

• Skybox® Research Lab. Vulnerability and Threat Trends. Technical Report. 2019. Available online: https://lp.skyboxsecurity.com/rs/440-MPQ-510/images/Skybox_Report_Vulnerability_and_Threat_Trends_2019.pdf (accessed on 20 May 2019). Kenna Security Cyentia Institute. Prioritization To Prediction Report. 2018. Available online: https://www.kennasecurity.com/prioritization-to-prediction-report/images/Prioritization_to_Prediction.pdf (accessed on 15 December 2018).
• Bozorgi, M.; Saul, L.K.; Savage, S.; Voelker, G.M. Beyond Heuristics: Learning to Classify Vulnerabilities and Predict Exploits. In Proceedings of the 16th ACM Conference on Knowledge Discovery and Data Mining (KDD-2010), Washington, DC, USA, 25-28 July 2010; pp. 105-113.
• Edkrantz, M. Predicting Exploit Likelihood for Cyber Vulnerabilities with Machine Learning. Unpublished. Master’s Thesis, Chalmers Unıversıty of Technology, Göteborg, Sweden, 2015.
• Sabottke, C.; Suciu, O.; Dumitraş, T.; Sabottke, C.; Dumitras, T. Vulnerability Disclosure in the Age of Social Media: Exploiting Twitter for Predicting Real-World Exploits. In Proceedings of the 24th USENIX Security Symposium, Washington, DC, USA, 12-14 August 2015; pp. 1041-1056.
• Bullough, B.L.; Yanchenko, A.K.; Smith, C.L.; Zipkin, J.R. Predicting exploitation of disclosed software vulnerabilities using open-source data. In Proceedings of the 3rd ACM on International Workshop on Security And Privacy Analytics, Scottsdale, AZ, USA, 22 March 2017; pp. 45-53.

タイトルに関連する用語 (2件)： 脆弱性 ,  予測