Improving vulnerability prediction accuracy with secure coding standard violation measures = 보안 코딩 표준 위반 측도를 이용한 취약점 예측 정확도 향상 기법

오늘날, 우리의 일상 생활에서 소프트웨어의 필요성이 점점 커짐에 따라, 소프트웨어에 대한 공격으로 인해 발생하는 위험의 수준 또한 심각해 지고 있다. 따라서 공격자로부터 시스템을 보호하고 강화하기 위해, 소프트웨어 공학 분야에서는 소프트웨어에 대한 공격을 가능하게 하는 소프트웨어 취약점을 비용 효율적으로 발견 및 제거하기 위한 연구가 진행되어 왔으며, 이러한 노력의 결과로 취약점 예측 기법이 개발되었다. 취약점 예측 기법은 소프트웨어의 다양한 속성을 입력으로 하는 기계 학습을 이용하여 취약점 예측 모델을 만들게 되며, 취약점 예측 모델은 소스 코드의 복잡도 등과 같은 소프트웨어 속성들을 이용하여 해당 부분에 취약점이 존재하는지를 예측하게 된다. 이와 같이, 취약점 예측 기법을 이용하게 되면, 취약하다고 예측 된 부분에 개발 조직의 인적, 시간적 자원을 효과적으로 배분할 수 있으며, 결과적으로 비용 효율적으로 보안 취약점을 제거할 수 있다. 그러나 소프트웨어 속성을 이용하는 기존의 취약점 모델들은 낮은 정확도를 보이거나, 비용 대비 낮은 효과를 가지는 약점이 있으며, 이러한 문제점은 취약점 예측 모델 생성에 사용하는 소프트웨어 속성들이 보안 취약점의 특징을 충분히 반영하지 못하기 때문에 발생한다. 따라서 본 연구에서는 소프트웨어가 가지는 보안 취약점의 특징을 취약점 예측 모델이 잘 반영할 수 있도록, CERT-C 보안 코딩 표준 위반을 기반으로 한 소프트웨어 측도 이용 방법을 제안하고 있다. 본 연구에서는 제안하는 소프트웨어 속성 사용의 적합성을 평가하기 위하여, 제안하는 속성을 이용하는 취약점 예측 모델들과 이전 연구에서 제안한 속성들을 이용하는 취약점 예측 모델들을 생성하고 각 모델의 취약점 예측 성능 및 비용 효율성을 비교 실험하였다. 실험 결과 본 연구에서 제안하는 소프트웨어 속성의 적용이 취약점 모델의 예측 성능을 향상시킬 수 있음을 확인하였다. 또한, 기존 연구에서 제안한 방법과 결합하여 예측 모델을 생성하였을 때, 제안된 소프트웨어 특성만을 사용한 모델보다 예측 정확도뿐만 아니라 비용 효율 측면에서도 더 나은 성능을 보였으며, 이를 통해 제안하는 소프트웨어 특성을 이용하는 기법의 확장 가능성을 확인하였다.
Advisors
Baik, Jong Moonresearcher백종문researcher
Publisher
한국과학기술원
Issue Date
2015
Identifier
325007
Language
eng
Description

학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2015.2 ,[42 :]

Keywords

Secure Software Engineering; Software Vulnerability; 보안 소프트웨어 공학; Vulnerability Prediction; CERT-C Secure Coding Standard; 소프트웨어 취약점; 취약점 예측; CERT-C 보안 코딩 표준

URI
http://hdl.handle.net/10203/206576
Link
http://library.kaist.ac.kr/search/detail/view.do?bibCtrlNo=608636&flag=t
Appears in Collection
IS-Theses_Master(석사논문)
Files in This Item
There are no files associated with this item.
  • Hit : 148
  • Download : 0
  • Cited 0 times in thomson ci

qr_code

  • mendeley

    citeulike


rss_1.0 rss_2.0 atom_1.0