Yazılım Güvenlik Açıklarının Skorlanması Ve Kategorisinin Belirlenmesinde Yeni Bir Yöntem

Yazılım güvenlik açıkları, şahıslar, şirketler ve ülkeler için finansal risklere ve itibar kayıplarına neden olabilmektedir. Yazılım güvenlik açıklarının giderilmesi, test kaynaklarının yetersizliği ve uzman personel eksikleri nedeni ile istenilen seviyede değildir. Kurumların itibarlarını korumak ve güvenli yazılımlar geliştirmek adına sınırlı kaynaklarını doğru kullanarak, test ve düzeltmeleri planlamaları gerekmektedir. Ancak güvenlik vektörlerinin sahip olduğu metrik değerlerinin tespit edilmesi manuel bir işlem olarak insanlar tarafından yapılmaktadır. Bu nedenle bu süreç, zaman almakta ve insanın doğasından kaynaklanan hatalar barındırabilmektedir. Bu metrikler güvenlik açığı önem derecelerinin hesaplanmasında kullanılmasından dolayı önemlidir. Güvenlik açığı analizi ve keşfi işlemlerinin kalitesini artırmak ve süreçleri hızlandırmak için makine öğrenmesi algoritmalarının ve veri madenciliği tekniklerinin kullanılması gerekmektedir. Ancak bu alanda yapılan çalışmalar hala sınırlıdır. Bu çalışmada doğal dil işleme tekniklerinden Bag of Words, Term Frequency Inverse Document Frequency, Ngram, Word2Vec, Doc2Vec ve FastText özellik çıkarımı yöntemleri kullanılarak güvenlik açığı vektörlerinin farklı çok sınıflı sınıflandırılma algoritmaları ile tahmini gerçekleştirilmiştir. Elde edilen metrik değerleri ile güvenlik açığı önem skorları hesaplanmıştır. Sınıflandırma aşamasında Naive Bayes, Desicion Tree, K-Nearest Neighbors, Multi-layer Perceptron ve Random Forest algoritmaları kullanılmıştır. Kamuya açık büyük bir veri setini kullandığımız deneyler, değerlendirmeyi kolaylaştırır ve yazılım güvenlik açığı vektörlerinin sınıflandırılmasında standartlara uygun bir tahmin modeli sunar. Elde edilen sonuçlar çok olasılıklı ve tahmini zor bir problemde farklı tekniklerin ve sınıflandırma algoritmalarının birlikte kullanımının umut verici olduğunu göstermektedir. Ayrıca çalışmamız, kullandığı veri boyutu ve henüz üzerinde pek çalışılmamış güvenlik açığı skorlama sistemi versiyonlarını kapsaması bakımından alanında önemli bir boşluğu doldurmaktadır.