典型文献
面向项目版本差异性的漏洞识别技术研究
文献摘要:
开源代码托管平台为软件开发行业带来了活力和机遇,但存在诸多安全隐患.开源代码的不规范性、项目依赖库的复杂性、漏洞披露平台收集漏洞的被动性等问题都影响着开源项目及引入开源组件的闭源项目的 安全,大部分漏洞修复行为无法及时被察觉和识别,进而将各类项目的 安全风险直接暴露给攻击者.为了全面且及时地发现开源项目中的漏洞修复行为,设计并实现了基于项目版本差异性的漏洞识别系统—VpatchFinder.系统自动获取开源项目中的更新代码及内容数据,对更新前后代码和文本描述信息进行提取分析.提出了基于安全行为与代码特征的差异性特征,提取了包括项目注释信息特征组、页面统计特征组、代码统计特征组以及漏洞类型特征组的共40个特征构建特征集,采用随机森林算法来训练可识别漏洞的分类器.通过真实漏洞数据进行测试,VpatchFinder的精确率为84.35%,准确率为85.46%,召回率为85.09%,优于其他常见的机器学习算法模型.进一步通过整理的历年部分开源软件CVE漏洞数据进行实验,其结果表明68.07%的软件漏洞能够提前被VpatchFinder发现.该研究结果可以为软件安全架构设计、开发及成分分析等领域提供有效技术支撑.
文献关键词:
漏洞识别;开源平台;安全修复;机器学习
中图分类号:
作者姓名:
黄诚;孙明旭;段仁语;吴苏晟;陈斌
作者机构:
四川大学网络空间安全学院,四川成都610065;广西密码学与信息安全重点实验室,广西桂林541000
文献出处:
引用格式:
[1]黄诚;孙明旭;段仁语;吴苏晟;陈斌-.面向项目版本差异性的漏洞识别技术研究)[J].网络与信息安全学报,2022(01):52-62
A类:
VpatchFinder
B类:
漏洞识别,识别技术研究,开源代码,代码托管平台,软件开发,发行业,被动性,开源项目,漏洞修复,察觉,类项,攻击者,识别系统,取开,后代,文本描述,取分,安全行为,代码特征,信息特征,页面,统计特征,类型特征,特征构建,征集,随机森林算法,分类器,精确率,召回率,机器学习算法,算法模型,历年,开源软件,CVE,软件漏洞,软件安全,安全架构,架构设计,有效技术,开源平台,安全修复
AB值:
0.393525
相似文献
机标中图分类号,由域田数据科技根据网络公开资料自动分析生成,仅供学习研究参考。
