Способ вариативной классификации уязвимостей в программном коде. Часть 2. Автоматизация на базе машинного обучения

DOI: 10.25728/avtprom.2022.04.10

Решается задача автоматической вариативной классификации уязвимостей программного кода с применением машинного обучения. В первой части статьи рассмотрены начальные четыре шага такого способа. Во второй части описаны оставшиеся четыре шага, а именно: описание уязвимостей, их текстовые признаки, идентификация и классификация. Для реализации последнего наиболее сложного шага сделан обзор релевантных научных работ. Выделены походы, лежащие в основе способа автоматической классификации, отмечены их достоинства и недостатки. Предложен способ, основанный на машинном обучении в части классификации определенных характеристик уязвимостей по их текстовому описанию. Разработан прототип, реализующий техники Word2Vec и TF-IDF, а также пять классификаторов. Проведен эксперимент с разработанным прототипом на базе описаний уязвимостей ФСТЭК России. Определены наиболее результативные комбинации техник и классификаторов.