Исследователи проанализировали эффективность моделей BERT при автоматическом сопоставлении записей CVE с категориями CWE. Сравнение мультиклассовой классификации, предполагающей выбор одной категории, и мультилейбл-подхода, допускающего несколько меток, показало, как структура таксономии уязвимостей напрямую влияет на точность и характер ошибок модели. Результаты работы помогают оптимизировать автоматизированные системы анализа безопасности и снизить долю ручного труда в классификации угроз.
Процесс классификации уязвимостей традиционно требует значительных временных затрат экспертов. Использование NLP-моделей позволяет ускорить этот процесс, однако выбор архитектуры классификатора критически важен из-за иерархической природы CWE. Мультиклассовый подход часто ограничивает возможности системы при описании комплексных уязвимостей, в то время как мультилейбл-моделирование лучше справляется с многогранными записями, но требует более тщательной настройки пороговых значений вероятности для каждой метки.
Авторы исследования подчеркивают, что ошибки моделей часто связаны с неоднозначностью описаний в базе CVE и перекрытием семантических границ между различными категориями CWE. Выбор между двумя подходами зависит от конкретных задач: мультиклассовая модель эффективнее для быстрой категоризации по основным признакам, тогда как мультилейбл-моделирование необходимо для глубокого анализа безопасности, где одна уязвимость может затрагивать несколько типов слабых мест.
Ключевые факты
- Исследование сфокусировано на автоматизации маппинга CVE (Common Vulnerabilities and Exposures) на CWE (Common Weakness Enumeration).
- Сравниваются два метода классификации: мультиклассовый (один CWE на CVE) и мультилейбл (несколько CWE на CVE).
- Выявлено, что структура таксономии CWE существенно влияет на распределение ошибок в предсказаниях BERT.
- Работа демонстрирует, что мультилейбл-подход лучше отражает реальную сложность уязвимостей, несмотря на повышенные требования к калибровке модели.