ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング


インデックスリンク

インデックスツリー

  • RootNode

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2021

脆弱性管理のためのCPEマッチング手法の提案

https://ipsj.ixsq.nii.ac.jp/records/214466
https://ipsj.ixsq.nii.ac.jp/records/214466
d08c64fe-27b7-4522-a924-5dc8a1ba1bb5
名前 / ファイル ライセンス アクション
IPSJCSS2021066.pdf IPSJCSS2021066.pdf (482.1 kB)
Copyright (c) 2021 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2021-10-19
タイトル
タイトル 脆弱性管理のためのCPEマッチング手法の提案
タイトル
言語 en
タイトル CPE Matching Method for Vulnerability Management
言語
言語 jpn
キーワード
主題Scheme Other
主題 脆弱性管理,CPEマッチング,CPE,NVD
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
NTT社会情報研究所
著者所属
NTT社会情報研究所
著者所属(英)
en
NTT Social Informatics Laboratories
著者所属(英)
en
NTT Social Informatics Laboratories
著者名 佐々木, 満春

× 佐々木, 満春

佐々木, 満春
Search repository
山嵜, 麿与

× 山嵜, 麿与

山嵜, 麿与
Search repository
著者名(英) Mitsuharu, Sasaki

× Mitsuharu, Sasaki

en Mitsuharu, Sasaki
Search repository
Mayo, Yamasaki

× Mayo, Yamasaki

en Mayo, Yamasaki
Search repository
論文抄録
内容記述タイプ Other
内容記述 近年,ソフトウェアなどの脆弱性の報告数は増加傾向にあり,数多くの脆弱性に対処するためには,効率的に脆弱性情報を収集・管理する必要がある.脆弱性情報のデータベースとして,National Vulnerability Database (NVD) がよく知られている.脆弱性には,Common Platform Enumeration(CPE)とよばれるソフトウェアなどの製品を特定するための識別子が付与されており,脆弱性が影響を与える製品を判別することができる.CPE の一覧は CPE 辞書にて管理されているため,辞書内の CPE と脆弱性に付与された CPE を対応付ける CPE マッチングにより対処が必要な脆弱性を自動で収集することが可能となる.しかし,実際の脆弱性に付与される CPE には表記ゆれがあり,単純な文字列比較では CPE 辞書内の CPE と対応付けられず,対処が必要な脆弱性を収集できない恐れがある.そこで本稿では,CPE 文字列の特徴に加え,共起性や脆弱性の特徴を用いた高精度な CPE マッチング手法を提案する.また,有識者によって作成されたデータセットを用いて評価実験を行い,提案手法の有効性を確認した.
論文抄録(英)
内容記述タイプ Other
内容記述 In order to deal with increasing the number of vulnerabilities, it is necessary to collect and manage vulnerabilities efficiently. The National Vulnerability Database (NVD) is well known as a repository of standards-based vulnerability management data. Each vulnerability is assigned Common Platform Enumeration (CPE) to specify the software or other products and determine which products are affected by vulnerabilities. Since the list of CPEs is managed in the NIST's CPE dictionary, it is possible to automatically collect vulnerabilities by CPE matching. However, it is difficult to collect these vulnerabilities because the CPEs have orthographical variants and doesn't exactly match the ones in the CPE dictionary. In this paper, we propose a highly accurate CPE matching method that uses a co-occurrence of CPEs and features of vulnerability. We evaluated the proposed method by experiments using a dataset created by experts and confirmed the effectiveness of the proposed method.
書誌情報 コンピュータセキュリティシンポジウム2021論文集

p. 484-491, 発行日 2021-10-19
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 16:37:09.918534
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3