CPE-Identifier: Automated CPE identification and CVE summaries annotation with Deep Learning and NLP

随着国家漏洞数据库（NVD）中每年新漏洞数量的急剧增加，NVD分析师将Common Platform Enumeration（CPE）与Common Vulnerabilities and Exposures（CVE）摘要相关联的工作量越来越大，变得更加费力和缓慢。这种延迟导致依赖NVD进行漏洞管理和安全度量的组织更容易受到零日攻击的威胁。因此，开发一种准确快速提取CVE摘要中CPE的技术和工具至关重要。在本文中，我们提出了CPE-Identifier系统，这是一个自动的CPE注释和提取系统，用于从CVE摘要中提取CPE实体。该系统可以用作从新的CVE文本输入中识别CPE实体的工具。此外，我们还使用深度学习模型自动化生成和标记过程。由于CVE文本的复杂性，新的技术术语经常出现。为了识别未来CVE文本中的新词，我们应用自然语言处理（NLP）命名实体识别（NER）来识别文本中的新技术术语。我们提出的模型实现了95.48％的F1分数，99.13％的准确率，94.83％的精度和96.14％的召回率。我们证明它在所有指标上的自动化CVE-CPE标记方面优于之前的工作超过9％。

提出了一个名为CPE-Identifier的自动化CPE注释和提取系统，旨在解决NVD分析员将CPE与CVE摘要相关联的工作量越来越大而变得繁琐和缓慢的问题。该系统可以作为一种工具，从新的CVE文本输入中识别CPE实体。

使用深度学习模型自动化生成和标记数据，并应用自然语言处理（NLP）命名实体识别（NER）来识别文本中的新技术术语。

该模型在所有指标上优于以前的自动CVE-CPE标记工作超过9％。实验使用了NVD数据集，并开源了代码。

最近的相关研究包括“Automated Extraction and Classification of Software Vulnerability Information from Security Advisories Using Natural Language Processing Techniques”和“Automatic Extraction of Security Vulnerabilities for Software Systems Using Deep Learning Techniques”。