흐름 그래프 정보의 기계학습을 활용한 보안 취약점 정적 탐지Static Detection of Security Vulnerabilities Using Machine Learning on Graph Information
- Other Titles
- Static Detection of Security Vulnerabilities Using Machine Learning on Graph Information
- Authors
- 모지환; 홍성문; 도경구
- Issue Date
- Dec-2022
- Publisher
- 한국소프트웨어감정평가학회
- Keywords
- 오염 분석; 보안 취약점; 흐름 그래프; 기계학습; 그래프 임베딩; taint analysis; security vulnerability; flow graph; machine learning; graph embedding
- Citation
- Journal of Software Assessment and Valuation, v.18, no.2, pp.1 - 9
- Indexed
- KCI
- Journal Title
- Journal of Software Assessment and Valuation
- Volume
- 18
- Number
- 2
- Start Page
- 1
- End Page
- 9
- URI
- https://scholarworks.bwise.kr/erica/handle/2021.sw.erica/111446
- ISSN
- 2092-8114
- Abstract
- 소프트웨어의 소스코드를 분석하여 보안 취약점을 정적으로 탐지하는 방법으로 오염분석이 널리 쓰이고있다. 오염분석은 사용자 입력이 사용 지점에 도달하기 전에 위험 요소가 제거되는지 여부를 가능한 실행 흐름 경로를 모두 분석하여 탐지하는 분석 방법이다. 그런데 입력 데이터를 모르는 상황에서 실행 의미를 요약하여 분석할 수밖에 없어서, 감당할 수 있을 정도의 분석 비용으로 만족할 만큼 정확한 분석 결과를 얻기 힘든 단점이 있다. 이 논문은 그래프를 기계학습의 데이터로 활용할 수 있게 해주는 모델인 graph2vec을 사용하여, 소스코드의 흐름 그래프 데이터를 기반으로 기계학습 기술을 활용하여 보안 취약점을 탐지하는 방법을제안한다. 소스코드의 흐름그래프를 구축한 다음, 벡터 데이터로 변환하여 기계학습을 진행한다. 프로그램 소스코드에 돌연변이 기법을 적용하여 충분한 데이터를 구축하여 학습을 시키고 평가를 진행한 결과, 약 99%의정확도로 보안 취약점을 탐지함을 확인함으로써 기존의 재래식 보안 취약점 탐지 기술을 기계학습으로 대체할 수 있음을 확인하였다.
- Files in This Item
-
Go to Link
- Appears in
Collections - COLLEGE OF COMPUTING > SCHOOL OF COMPUTER SCIENCE > 1. Journal Articles
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.