fastxml 大于符号不转换_软件漏洞数据处理及分类方法总结

最新推荐文章于 2021-10-13 19:54:50 发布
最新推荐文章于 2021-10-13 19:54:50 发布
阅读量222 收藏
点赞数
文章标签: fastxml 大于符号不转换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39990029/article/details/111539819
版权
本文介绍了如何使用深度学习,特别是TextCGRU模型,对软件漏洞进行分类。实验基于NVD数据库的XML数据,通过预处理(包括去除标点、分词、词形还原、停用词过滤)和词向量表示(如Word2Vec),构建了一个准确率达到95%的分类模型。模型在不同漏洞类型上表现良好,对于CWE-79和CWE-89等常见漏洞类型的精确率、召回率和F1-score均超过90%。
摘要由CSDN通过智能技术生成

目录

一、前言

本人基于网络空间安全研究方向做过入侵检测实验、软件缺陷分类实验、软件安全漏洞分类管理实验等,网络安全方向相关数据集可参看个人总结:

本文的主要目的是为了构造一个有效的软件漏洞分类模型,该模型能有效提高软件漏洞分类管理的效率和软件漏洞分类的准确率,减少系统被攻击和破坏的风险,降低漏洞修复的成本。本文主要使用深度学习相关方法构造漏洞分类模型进行实验调研。

二、软件漏洞数据分析

实验所用数据为美国国家计算机通用漏洞数据库(National Vulnerability Database,NVD)和中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD),主要以NVD漏洞数据库中的漏洞数据为基准数据,本次实验使用的是从2002年到2019年5月份的NVD漏洞数据。

NVD漏洞数据库收录的漏洞数据具有唯一性,规范性,兼容性和统一性,采用国际编码语法规范,因此,可以作为软件漏洞分类研究的基准数据集。NVD漏洞数据库提供了XML和JSON两种格式的漏洞文件,本文使用的是XML格式的漏洞文件,文件中包含了漏洞的CVE-ID,CVSS_score,CVSS_Accuracyess,CVSS_vector,vuln-source,CWE-ID和vuln-summary等漏洞信息。

在过去的十几年中,漏洞数量增长迅速,对NVD从2002年到2019年5月份的数据统计显示,漏洞总数高达121279条,其中包括未知漏洞类型就多达38868条。年度新增漏洞数量分布如下图所示:

本实验选取从2002年到2019年5月份的43496条NVD漏洞数据进行实验研究,其中包含16个主要漏洞类型。不同漏洞类型统计数量分布如下图所示:

实验使用Python编程语言从XML漏洞文件中提取CVE-ID,CWE-ID和vuln-summary三部分数据信息,不相关的字段和不完整的数据将被删除,提取的部分漏洞信息如下表所示:

CVE-ID

CWE-ID

vuln-summary

CVE-2019-9961

CWE-79

A cross-site scripting (XSS) vulnerability in ressource view in core/modules/resource/RESOURCEVIEW.php in Wikindx prior to version 5.7.0 allows remote attackers to inject arbitrary web script or HTML via the id parameter.

CVE-2019-9962

CWE-119

XnView MP 0.93.1 on Windows allows remote attackers to cause a denial of service (application crash) or possibly have unspecified other impact via a crafted file, related to VCRUNTIME140!memcpy.

其中,CVE-ID表示每条漏洞的编号,CWE-ID表示漏洞类型,可以根据

根据CWE标准可获得每个CWE-ID所对应的漏洞类型如下表所示(包括漏洞类别的

最低0.47元/天 解锁文章
weixin_39990029
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FasterXML/jackson-databind 远程代码执行漏洞(CVE-2020-8840)复现
锋刃科技的博客
12-12 6331
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
NVD软件漏洞数据处理分类方法总结
Asia-Lee
07-16 5708
目录 一、前言 二、软件漏洞数据分析 三、软件漏洞分类实验流程 四、软件漏洞文本预处理 五、软件漏洞文本表示方法 六、软件漏洞分类模型构建 七、软件漏洞分类实验结果与分析 八、总结 一、前言 本人研究生期间的研究主方向为:网络空间安全方向,基于研究方向做过入侵检测实验、软件缺陷分类实验、软件安全漏洞分类管理实验等,网络安全方向相关数据集可参看个人总结:网络安全相关数据集介绍与下...
Fastjson 又出高危漏洞,可远程执行代码!
Java技术栈,分享最主流的Java技术
06-01 1483
来源:安全客 www.anquanke.com/post/id/207029 0x01 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了 Fastjson 远程代码执行漏洞的风险通告,漏洞等级:高危 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心.
FasterXML Jackson-databind远程代码执行漏洞
systemino的博客
07-26 7091
近日,FasterXML Jackson-databind远程代码执行漏洞的利用方式公开。此漏洞利用FasterXML Jackson-databind的logback-core类建立JDBC连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。 FasterXML Jackson-databind介绍 FasterXML Jackson是美国FasterXML公司的...
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4204
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
kcv方法matlab代码-MLC_toolbox:用于多标签分类的MATLAB/OCTAVE库
05-22
处理方法,CC,Meta-Label CC,PS,triClass 基于MLC的分类器(已确认),BR,LP,MLKNN,带有随机下/上采样的BR,Top-k,FastXML(仅在Windows上已确认​​) 基于MLC的分类器(未经确认),BPMLL,CLR,rankSVM ...
FastXML_1.0.0.0
06-25
为了解决这一问题,"FastXML_1.0.0.0"应运而生,这是一个专为简化XML操作而设计的DLL(Dynamic Link Library)。 FastXML的核心目标是提供一个简单易用的接口,使得开发者,尤其是新手,能够快速上手XML的读写操作...
FastXML V1.11
07-05
FastXML发布1.11版 增加选择功能,修正1.1版一个无意义Property! ''' ''' 按元素名称选择元素 ''' ''' 关键词 ''' 选择方式 ReadOnly Property SelectElement(ByVal Key As String, ByVal Method As FastXML....
JavaXML解析器FastXml.zip
07-16
支持namespace,但不校验schema 为什么FastXml这么快尽可能少的解码字节:往往xml文档中的很多字节都是ASCII范围,它们可以直接强转成char,而不需要解码,比如:标签名、属性名,大部分时候只需要对属性值和...
FastXML V1.1
07-05
FastXML发布1.1版 增加选择功能! ''' ''' 按元素名称选择元素 ''' ''' 关键词 ''' 选择方式 ReadOnly Property SelectElement(ByVal Key As String, ByVal Method As FastXML.Method) As XMLNodeList 按包含...
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5227
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
Fastxml 简单常用注解学习笔记
hashcon
05-14 7259
Fastxml 简单常用注解学习笔记@JsonNaming@JsonIgnoreProperties@JsonIgnore@JsonFormat@JsonDeserialize@JsonSerialize@JsonProperty如下User类package com.usoft; import com.fasterxml.jackson.annotation.JsonFormat; import
《0day安全:软件漏洞分析技术》的一点总结
whatday的专栏
01-14 1686
评价 首先评价一下这本书吧:(先抑后扬吧)  有些漏洞是win2000的,实在是太老了,难以进行实践,但是介绍一下也是很好的,但是不能实践理解得不深刻。【第一版是08年出版的,第二版是2011年,我手上的是第二版,这2014年,xp都停止服务啦(xp用着还是挺爽的哦)】 从基础的漏洞利用原理,到漏洞挖掘的技术(其实基本都是举例子),到内核,最后接近10个分析案例,相对来说还是比较全面的了,在...
JSON格式的特殊字符处理(只要一个方法解决)
gaoshili001的专栏
11-18 2万+
public static String String2Json(String s)             {                 StringBuilder sb = new StringBuilder();                 for (int i = 0; i                 {                     char c =
fastjson反序列化漏洞各版本漏洞复现以及原理分析
问题很多的小明
08-25 3558
0x00 环境快速搭建 maven仓库https://mvnrepository.com/artifact/com.alibaba/fastjson,每个版本都有 直接导入对应漏洞版本即可 0x01 1.2.22~1.2.24 参考廖师傅的文章,写的比较好,点这里,传送门 利用链:com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl POC.test package com.test.fast; import com.su
freemarker,word转化为xml 占位符被分离
妖君你好的博客
04-22 4530
本来想通过占位符直接写成${fangyuan001} 这样的数据。就不用打开xml再修改。 可以遇到一部分占位符被分离 通过再wrod里面再怎么写都没用。 我的解决办法 我就把${fangyuan001}写到 空白的txt 里面 再直接txt里面的${fangyuan001} 复制粘贴到word的对应位置,就没有被分离了。保持了样式的一致性 ---------------...
XML特殊字符(如:换行)
热门推荐
狂奔之林的博客
10-16 3万+
换行 (&#x000A;) 空格 (&#x0020;) Tab (&#x0009;) 回车 (&#x000D;) 用法:<SystemMessage Label="点击登录&#x000A;" /> &#x000A; 代表 “\n” 其它几个用法类似 ...
深度学习--TensorFlow(7)拟合(过拟合处理)(数据增强、提前停止训练、dropout、正则化、标签平滑)
great_yzl的博客
10-13 5104
拟合 1、拟合情况 拟合分为三种情况:欠拟合、正确拟合、过拟合。 训练集中: 训练集中,过拟合的效果最好。 测试集中: 不难看出,测试集中是正确拟合的效果最好。 总结:过拟合虽然在训练集中的效果非常好,但是一旦到了测试集,效果就不如正确拟合好。 模型复杂度在深度学习中主要指的是网络的层数以及每层网络神经元的各种,网络的层 数越多越复杂,神经元的个数越多越复杂。 训练集的误差是随着模型复杂度的提升而不断降低的...
java fastxml工具类
最新发布
01-27
Java FastXml工具类是一种用于处理XML数据的工具类。在Java中,我们可以使用不同的库来处理XML数据,而FastXml是其中一种常用的库之一。 FastXml工具类提供了一组用于创建、解析和操作XML数据的方法。使用FastXml...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值