基于激活漏洞能力条件的软件漏洞自动分类框架

摘要

针对软件系统安全缺陷与漏洞问题,提出一种基于激活漏洞条件的自动漏洞分类框架.从文本报告和漏洞代码修复中提取特征,采用不同的机器学习算法(随机森林、用C4.5决策树、Logistic回归和朴素贝叶斯)构建静态模型,选择具有最高F值的模型识别不可见漏洞的类别.通过分析Firefox项目的580项软件安全缺陷来评估分类的有效性.实验结果表明:在所构建框架下,C4.5决策树在几种分类器中具有最优F值来识别不可见漏洞类别.在Redhat Bugzilla数据集上将本算法与其他算法进行比较,结果表明本算法对软件漏洞缺陷的分类性能更优,证明了算法的有效性.