Predicting Vulnerable Software Components via Text Mining

背景

文章于2014年10月份發(fā)表在IEEE TRANSACTIONS ON SOFTWARE ENGINEERING扩借,一篇通過(guò)文本挖掘技術(shù)進(jìn)行軟件漏洞檢測(cè)的論文。文章本身引用只有14煎娇,創(chuàng)新點(diǎn)也不是很新,但由于其期刊等級(jí)較高纠拔,而且文章數(shù)據(jù)處理分析較多缸血,還是值得以后寫(xiě)作借鑒蜜氨。

  • 出處:IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, VOL. 40, NO. 10, OCTOBER 2014
  • 作者:Riccardo Scandariato, James Walden, Aram Hovsepyan, and Wouter Joosen

概述

論文主要觀點(diǎn)

將Android app應(yīng)用軟件源代碼視作文本,源代碼中語(yǔ)句與詞類比于文本中詞捎泻,作為數(shù)據(jù)特征飒炎,使用樸素貝葉斯和隨機(jī)森林的算法,構(gòu)建軟件源代碼漏洞預(yù)測(cè)模型笆豁。

成果

  • 首次將文本挖掘相關(guān)方法應(yīng)用于軟件漏洞預(yù)測(cè)郎汪,直接使用源代碼而非軟件語(yǔ)義、開(kāi)發(fā)者相關(guān)特征作為特征進(jìn)行預(yù)測(cè)闯狱。
  • 預(yù)測(cè)模型相對(duì)于當(dāng)前的軟件漏洞預(yù)測(cè)模型煞赢,具有更好的準(zhǔn)確性和召回率。

方法模型

相關(guān)工作圖

作者使用五個(gè)維度的信息來(lái)評(píng)價(jià)對(duì)比軟件漏洞預(yù)測(cè)模型相關(guān)工作哄孤,如下圖所示:


image
image

主要步驟

  • 樣本選擇selection of applications:
    • source: the F-Droid repository (f-droid.org)
    • selection criteria:programming language, application size, and the number of
      versions released
  • 漏洞數(shù)據(jù)構(gòu)建construction of dataset:
    • tool:HP Fortify SCA scan the source code to present vulnerablity warnings of the applications
    • why:too few vulnerabilities(NVD
      (nvd.nist.gov)) related to Android applications
  • 輸入構(gòu)建input:Each Java file is tokenized into a vector of terms
  • 機(jī)器學(xué)習(xí)方法選擇machine learning techniques:five, wellknown learning techniques are applied to the approache: Decision Trees, k-Nearest
    Neighbor, Na€ ?ve Bayes, Random Forest and support vector machine (SVM). Best results are obtained with NB and Random Forest.
  • 實(shí)驗(yàn)設(shè)計(jì)experiments design:
    • 驗(yàn)證方法validation:10-fold cross-validation
    • experiment 1:built models with both Na€ ?ve Bayes and Random Forest machine learning techniques based on the first version (v0) of each application.prove the method can be used to build high quality prediction models for Android applications.
    • experiment 2:built a prediction model based on the initial version (using all source files available in v0) and predicted all subsequent versions of that application (v1 andfollowing) prediction technique can forecast with excellent performance the vulnerable files of the future versions of an Android application
    • experiment 3:built 20 models using version v0 of each application. We then tested each model by predicting vulnerable files in the v0 versions of the other 19 applications.a single application can predict which software components are vulnerable in other applications

創(chuàng)新點(diǎn)

  • 文本挖掘方法應(yīng)用于軟件缺陷檢測(cè)
  • 實(shí)驗(yàn)設(shè)計(jì)上照筑,進(jìn)行三個(gè)方向上的對(duì)比實(shí)驗(yàn)

總結(jié)

優(yōu)點(diǎn)

  • 文章的實(shí)驗(yàn)部分?jǐn)?shù)據(jù)對(duì)比寫(xiě)的不錯(cuò),很簡(jiǎn)單的創(chuàng)意和想法瘦陈,做出了三組實(shí)驗(yàn)

不足

  • 創(chuàng)新點(diǎn)較為簡(jiǎn)單
  • 數(shù)據(jù)對(duì)比牽強(qiáng)凝危,數(shù)據(jù)集不同
  • 期刊論文過(guò)于滯后,本文2014年10月發(fā)表双饥,但是研究時(shí)間節(jié)點(diǎn)在2012年前后媒抠,以后盡量多看會(huì)議論文,期刊論文僅作為參考文獻(xiàn)

我的想法

  • 結(jié)合vccfinder論文
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末咏花,一起剝皮案震驚了整個(gè)濱河市趴生,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌昏翰,老刑警劉巖苍匆,帶你破解...
    沈念sama閱讀 222,104評(píng)論 6 515
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異棚菊,居然都是意外死亡浸踩,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,816評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門统求,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)检碗,“玉大人,你說(shuō)我怎么就攤上這事码邻≌厶辏” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 168,697評(píng)論 0 360
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵像屋,是天一觀的道長(zhǎng)怕犁。 經(jīng)常有香客問(wèn)我,道長(zhǎng),這世上最難降的妖魔是什么奏甫? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 59,836評(píng)論 1 298
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任戈轿,我火速辦了婚禮,結(jié)果婚禮上阵子,老公的妹妹穿的比我還像新娘思杯。我一直安慰自己,他們只是感情好挠进,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,851評(píng)論 6 397
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布智蝠。 她就那樣靜靜地躺著,像睡著了一般奈梳。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上解虱,一...
    開(kāi)封第一講書(shū)人閱讀 52,441評(píng)論 1 310
  • 城市分裂傳說(shuō)
    那天攘须,我揣著相機(jī)與錄音,去河邊找鬼殴泰。 笑死于宙,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的悍汛。 我是一名探鬼主播捞魁,決...
    沈念sama閱讀 40,992評(píng)論 3 421
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼离咐!你這毒婦竟也來(lái)了谱俭?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 39,899評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤宵蛀,失蹤者是張志新(化名)和其女友劉穎昆著,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體术陶,經(jīng)...
    沈念sama閱讀 46,457評(píng)論 1 318
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡凑懂,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,529評(píng)論 3 341
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了梧宫。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片接谨。...
    茶點(diǎn)故事閱讀 40,664評(píng)論 1 352
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖塘匣,靈堂內(nèi)的尸體忽然破棺而出脓豪,到底是詐尸還是另有隱情,我是刑警寧澤馆铁,帶...
    沈念sama閱讀 36,346評(píng)論 5 350
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布跑揉,位于F島的核電站,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏历谍。R本人自食惡果不足惜现拒,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,025評(píng)論 3 334
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望望侈。 院中可真熱鬧印蔬,春花似錦、人聲如沸脱衙。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 32,511評(píng)論 0 24
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)捐韩。三九已至退唠,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間荤胁,已是汗流浹背瞧预。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,611評(píng)論 1 272
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留仅政,地道東北人垢油。 一個(gè)月前我還...
    沈念sama閱讀 49,081評(píng)論 3 377
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像圆丹,于是被迫代替她去往敵國(guó)和親滩愁。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,675評(píng)論 2 359

推薦閱讀更多精彩內(nèi)容

  • 異地了那么多年辫封,如今終于修成正果了硝枉,婚期越來(lái)越近了,可我的心越來(lái)越空了倦微,以前是那么激動(dòng)檀咙,那么期待,如今卻是這般的不...
    唯愛(ài)天奕閱讀 189評(píng)論 0 1
  • 近來(lái)搪塞炒房者的圍追切斷各人都有目共睹,大概另有人不信劣欢,以為已往都是炒房過(guò)來(lái)的棕诵,并且也拿他們沒(méi)步調(diào)。宛如各人已經(jīng)默...
    胖乎乎的胖子閱讀 204評(píng)論 0 0