Item type |
Symposium(1) |
公開日 |
2021-10-19 |
タイトル |
|
|
タイトル |
脆弱性管理のためのCPEマッチング手法の提案 |
タイトル |
|
|
言語 |
en |
|
タイトル |
CPE Matching Method for Vulnerability Management |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
脆弱性管理,CPEマッチング,CPE,NVD |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
NTT社会情報研究所 |
著者所属 |
|
|
|
NTT社会情報研究所 |
著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
著者名 |
佐々木, 満春
山嵜, 麿与
|
著者名(英) |
Mitsuharu, Sasaki
Mayo, Yamasaki
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,ソフトウェアなどの脆弱性の報告数は増加傾向にあり,数多くの脆弱性に対処するためには,効率的に脆弱性情報を収集・管理する必要がある.脆弱性情報のデータベースとして,National Vulnerability Database (NVD) がよく知られている.脆弱性には,Common Platform Enumeration(CPE)とよばれるソフトウェアなどの製品を特定するための識別子が付与されており,脆弱性が影響を与える製品を判別することができる.CPE の一覧は CPE 辞書にて管理されているため,辞書内の CPE と脆弱性に付与された CPE を対応付ける CPE マッチングにより対処が必要な脆弱性を自動で収集することが可能となる.しかし,実際の脆弱性に付与される CPE には表記ゆれがあり,単純な文字列比較では CPE 辞書内の CPE と対応付けられず,対処が必要な脆弱性を収集できない恐れがある.そこで本稿では,CPE 文字列の特徴に加え,共起性や脆弱性の特徴を用いた高精度な CPE マッチング手法を提案する.また,有識者によって作成されたデータセットを用いて評価実験を行い,提案手法の有効性を確認した. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In order to deal with increasing the number of vulnerabilities, it is necessary to collect and manage vulnerabilities efficiently. The National Vulnerability Database (NVD) is well known as a repository of standards-based vulnerability management data. Each vulnerability is assigned Common Platform Enumeration (CPE) to specify the software or other products and determine which products are affected by vulnerabilities. Since the list of CPEs is managed in the NIST's CPE dictionary, it is possible to automatically collect vulnerabilities by CPE matching. However, it is difficult to collect these vulnerabilities because the CPEs have orthographical variants and doesn't exactly match the ones in the CPE dictionary. In this paper, we propose a highly accurate CPE matching method that uses a co-occurrence of CPEs and features of vulnerability. We evaluated the proposed method by experiments using a dataset created by experts and confirmed the effectiveness of the proposed method. |
書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 484-491,
発行日 2021-10-19
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |