一项研究比较了用于将Common Weakness Enumeration (CWE) 类别分配给Common Vulnerabilities and Exposures (CVE) 记录的多分类和多标签文本分类方法。该研究评估了三种Transformer编码器——BERT Base、SecureBERT和CySecBERT——在83、47和25个类的嵌套标签空间中。
- 多分类训练在所有设置下都实现了更高的宏观F1值,尽管随着标签空间的缩小,与多标签方法的差距缩小。
- 混淆分析显示,误分类模式遵循CWE层次结构,表明分类法的设计比编码器的选择更能驱动错误。
- 放宽层次结构的评估将宏观F1从约81%提高到90%,表明严格的指标低估了分类器的质量。
- CySecBERT整体取得了最强的结果,统计上显著的增益集中在多标签设置中。
研究结果表明,虽然多分类公式通常表现更好,但CySecBERT为复杂的映射任务提供了卓越的性能。