| Item type |
SIG Technical Reports(1) |
| 公開日 |
2024-07-15 |
| タイトル |
|
|
タイトル |
脆弱性情報の関連製品情報を介した接続関係に基づく深刻度予測 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Severity Prediction Based on Connectivity of Vulnerability Information via Related Product Information |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
SPT |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
神戸大学 |
| 著者所属 |
|
|
|
神戸大学 |
| 著者所属 |
|
|
|
神戸大学 |
| 著者所属 |
|
|
|
神戸大学 |
| 著者所属 |
|
|
|
神戸大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kobe University |
| 著者所属(英) |
|
|
|
en |
|
|
Kobe University |
| 著者所属(英) |
|
|
|
en |
|
|
Kobe University |
| 著者所属(英) |
|
|
|
en |
|
|
Kobe University |
| 著者所属(英) |
|
|
|
en |
|
|
Kobe University |
| 著者名 |
平岩, 渉
葛野, 弘樹
瀧田, 愼
白石, 善明
森井, 昌克
|
| 著者名(英) |
Wataru, Hiraiwa
Hiroki, Kuzuno
Makoto, Takita
Yoshiaki, Shiraishi
Masakatu, Morii
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
攻撃目標への侵入を攻撃者が試みる際において,一つの脆弱性のみを攻撃対象とするだけではなく,複数の脆弱性を組み合わせた脆弱性チェイニングと呼ばれる攻撃手法が存在する.したがって,ある製品の脆弱性情報を確認する場合には,一つの脆弱性のみを確認するだけでは不十分な場合がある.我々は,関連した脆弱性情報や製品情報に対するオントロジーを構築することにより,複数の脆弱性情報を網羅的に取得できる検索システムを構築してきている.当該システムでは,脆弱性とそれに紐付く製品情報を任意の範囲まで網羅的に取得することができる.本論文では,当該システムを用いて,新しく発見された脆弱性に関連のあるソフトウェアが持つ CVE の基本スコアから新しい脆弱性の深刻度を予測する手法を提案している.構築した深刻度予測モデルを用いることで深刻度の分類を 55%~64% の Accuracy で予測可能なことを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
There is a technique called vulnerability chaining, where an attacker does not just target a single vulnerability but combines multiple vulnerabilities to infiltrate a target. Therefore, when checking the vulnerability information of a product, it may be insufficient to check only one vulnerability. We have been constructing a search system that can comprehensively obtain multiple vulnerability information by building an ontology for related vulnerability and product information. This system can comprehensively obtain vulnerability and linked product information to any desired extent. In this paper, we propose a method to predict the severity of newly discovered vulnerabilities using the basic CVE scores of software that has related vulnerabilities, utilizing this system. Using the constructed severity prediction model, we have confirmed that it can predict the severity with an accuracy of 55% to 64% for a classification. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2024-SPT-56,
号 86,
p. 1-8,
発行日 2024-07-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT24056086.pdf (974.6 kB)
