精选理由
这篇论文用实际数据告诉你:用CWE分类训练HIDS能不能泛化到新CVE?结论是有的行有的不行,关键看行为轮廓而不是标签。
论文基于LID-DS-2021数据集,选取CWE-307(认证绕过)、CWE-89(SQL注入)、CWE-434(文件上传)三个CWE家族,提取66维Peng-Guo式特征向量,训练Isolation Forest和SGD One-Class SVM检测器。针对CWE-307,组合检测器在校准目标FPR=0.05时达到F1=0.6976(精确率0.8994,召回率0.5698),但CWE-89和CWE-434的F1均低于0.21。研究发现跨CVE迁移具有强烈方向依赖性,主要由源正常行为轮廓广度而非CWE标签决定。论文强调校准FPR是诚实报告的方法论前提。
AI 翻译 · 中文
论文基于LID-DS-2021数据集,选取CWE-307(认证绕过)、CWE-89(SQL注入)、CWE-434(文件上传)三个CWE家族,提取66维Peng-Guo式特征向量,训练Isolation Forest和SGD One-Class SVM检测器。针对CWE-307,组合检测器在校准目标FPR=0.05时达到F1=0.6976(精确率0.8994,召回率0.5698),但CWE-89和CWE-434的F1均低于0.21。研究发现跨CVE迁移具有强烈方向依赖性,主要由源正常行为轮廓广度而非CWE标签决定。论文强调校准FPR是诚实报告的方法论前提。
Host intrusion detection systems (HIDS) based on system-call traces are typically trained and evaluated against individual Common Vulnerabilities and Exposures (CVE) instances. In operational settings, however, defenders…