论文学习之-常见漏洞和暴露的无效漏洞分类和预测

为了在不同的数据库、工具和服务之间共享漏洞信息，需要定期向CVE (Common vulnerability and exposure)数据库报告新发现的漏洞。不幸的是，并不是所有的漏洞报告都会被接受。其中一些可能会被拒绝或被争议接受。在这项工作中，我们将那些被拒绝或有争议的cve称为无效的漏洞报告。漏洞报告无效，不仅会造成确认漏洞的不必要工作，而且会影响软件厂商的声誉。 在本文中，我们旨在了解无效漏洞报告的根本原因，并建立一个预测模型来自动识别它们。为此，我们首先利用卡片排序的方法对无效漏洞报告进行分类，从这些分类中可以发现cve被拒绝和有争议的主要原因分别有六个。然后，我们提出了一种文本挖掘方法来预测无效漏洞报告。实验结果表明，本文提出的文本挖掘方法对无效漏洞的预测AUC值为0.87。我们还讨论了我们研究的含义:我们的分类可以用来指导新的提交者避免这些陷阱;通过采用自动化技术或优化评审机制，避免了无效绩效考核的一些根本原因;不应忽视无效漏洞报告数据。