上传者: 72742917
|
上传时间: 2022-09-05 16:00:11
|
文件大小: 314KB
|
文件类型: PDF
为了在不同的数据库、工具和服务之间共享漏洞信息,需要定期向CVE (Common vulnerability and exposure)数据库报告新发现的漏洞。不幸的是,并不是所有的漏洞报告都会被接受。其中一些可能会被拒绝或被争议接受。在这项工作中,我们将那些被拒绝或有争议的cve称为无效的漏洞报告。漏洞报告无效,不仅会造成确认漏洞的不必要工作,而且会影响软件厂商的声誉。
在本文中,我们旨在了解无效漏洞报告的根本原因,并建立一个预测模型来自动识别它们。为此,我们首先利用卡片排序的方法对无效漏洞报告进行分类,从这些分类中可以发现cve被拒绝和有争议的主要原因分别有六个。然后,我们提出了一种文本挖掘方法来预测无效漏洞报告。实验结果表明,本文提出的文本挖掘方法对无效漏洞的预测AUC值为0.87。我们还讨论了我们研究的含义:我们的分类可以用来指导新的提交者避免这些陷阱;通过采用自动化技术或优化评审机制,避免了无效绩效考核的一些根本原因;不应忽视无效漏洞报告数据。