- 简介软件漏洞的增多给安全数据库和分析人员带来了重大挑战,他们需要及时识别、分类和修复这些漏洞。随着国家漏洞数据库(NVD)报告的漏洞数量不断增加,传统的手动分析变得耗时且容易出错。本文介绍了一种创新方法——VulnScopper,它利用多模态表示学习,结合知识图谱(KG)和自然语言处理(NLP),自动化和增强了对软件漏洞的分析。利用ULTRA,一种知识图谱基础模型,结合大型语言模型(LLM),VulnScopper有效地处理了未见过的实体,克服了以前KG方法的局限性。我们在两个主要的安全数据集上评估了VulnScopper,即NVD和Red Hat CVE数据库。我们的方法显著提高了通用漏洞和暴露(CVEs)、通用弱点枚举(CWEs)和通用平台枚举(CPEs)之间的链接预测准确性。我们的结果表明,VulnScopper优于现有方法,在将CVEs与CPEs和CWEs联系起来的准确性方面达到了高达78%的Hits@10准确率,并在基于Red Hat数据库预测CWE标签方面比大型语言模型提高了11.7%。根据NVD,只有6.37%的链接CPEs在前30天内发布;其中许多与关键和高风险漏洞有关,根据多个合规框架(如CISA和PCI),应在15-30天内进行修复。我们的模型可以发现与漏洞相关的新产品,缩短修复时间,改善漏洞管理。我们分析了2023年的几个CVEs,展示了这种能力。
- 解决问题VulnScopper试图解决软件漏洞分析中手动分析耗时且容易出错的问题,提出了一种结合知识图谱和自然语言处理的多模态表示学习方法。
- 关键思路VulnScopper的关键思路是利用ULTRA知识图谱基础模型和大型语言模型相结合的方法,有效地处理未见过的实体,并提高了CVE、CWE和CPE之间的链接预测准确性。
- 其它亮点论文在NVD和Red Hat CVE数据库上进行了实验,结果表明VulnScopper在链接CVE、CWE和CPE方面的准确性得到了显著提高,优于现有方法,能够发现与漏洞相关的新产品,降低修复时间,提高漏洞管理能力。
- 与本论文相关的研究包括:《A Survey of Knowledge Graphs: Representation, Acquisition and Applications》、《A Survey on Knowledge Graphs: Representation, Acquisition, and Applications》等。
沙发等你来抢
去评论
评论
沙发等你来抢