针对软件系统安全缺陷与漏洞问题,提出一种基于激活漏洞条件的自动漏洞分类框架。从文本报告和漏洞代码修复中提取特征,采用不同的机器学习算法(随机森林、用C4. 5决策树、Logistic回归和朴素贝叶斯)构建静态模型,选择具有最高F值的模型识别不可见漏洞的类别。通过分析Firefox项目的 580项软件安全缺陷来评估分类的有效性。实验结果表明:在所构建框架下,C4. 5决策树在几种分类器中具有最优F值来识别不可见漏洞类别。在Redhat Bugzilla数据集上将本算法与其他算法进行比较,结果表明本算法对软件漏洞缺陷的分类性能更优,证明了算法的有效性。

• 单位
  重庆大学; 重庆人文科技学院