แนวคิดหลัก
다중 레이블 기계 학습 접근법을 사용하여 보안 관련 메서드를 자동으로 탐지하고, 정적 분석 도구 구성을 자동화하여 수동 작업을 줄이는 Dev-Assist 플러그인을 제안한다.
บทคัดย่อ
이 논문은 보안 관련 메서드(SRM)를 탐지하기 위한 새로운 다중 레이블 기계 학습 접근법과 이를 기반으로 한 Dev-Assist 플러그인을 소개한다.
-
다중 레이블 기계 학습 접근법:
- SWAN의 이진 관련성 접근법의 한계를 극복하기 위해 MEKA 프레임워크를 사용하여 SRM 레이블 간 종속성을 고려한 다중 레이블 모델을 개발했다.
- 새로운 특징 추출 방법과 자동화된 모델 선택 프로세스를 도입했다.
- 기존 접근법보다 향상된 F1-Score를 보였으며, 실제 프로젝트에서도 더 나은 성능을 보였다.
-
Dev-Assist 플러그인:
- 다중 레이블 SRM 탐지 모델을 통합하고, 탐지된 SRM을 사용하여 정적 분석 도구 구성을 자동화했다.
- SecuCheck 도구와 통합하여 취약점 분석 결과를 IDE에 표시한다.
- 기존 접근법 대비 수동 작업 단계와 시간을 50% 이상 줄였다.
이 연구는 보안 관련 메서드 탐지의 정확성을 높이고 정적 분석 도구 사용을 간소화하여 개발자와 보안 전문가의 생산성을 향상시킬 수 있다.
สถิติ
보안 관련 메서드 탐지 모델의 정밀도(Precision), 재현율(Recall), F1-Score는 다음과 같다:
소스 메서드: 정밀도 0.70, 재현율 0.63, F1-Score 0.66
싱크 메서드: 정밀도 0.75, 재현율 0.80, F1-Score 0.78
CWE89(SQL 인젝션): 정밀도 0.88, 재현율 0.75, F1-Score 0.81
คำพูด
"다중 레이블 기계 학습 접근법을 사용하여 보안 관련 메서드를 자동으로 탐지하고, 정적 분석 도구 구성을 자동화하여 수동 작업을 줄이는 Dev-Assist 플러그인을 제안한다."
"Dev-Assist의 다중 레이블 접근법은 기존 이진 관련성 분류 접근법보다 더 나은 성능을 보였으며, 정적 분석 도구 사용을 간소화하여 개발자와 보안 전문가의 생산성을 향상시킬 수 있다."