RAG에 기반한 퓨샷 학습을 이용하여 CVE 설명에서 CVSS 벡터 자동 생성하기

Vol. 35, No. 5, pp. 1051-1060, 10월. 2025
10.13089/JKIISC.2025.35.5.1051, Full Text:
Keywords: CVE, CVSS Vector, RAG, Few-Shot Learning, Automatic Generation
Abstract

새롭게 발견된 취약점의 CVE 설명으로부터 CVSS 벡터를 정의하는 작업이 전문가에 의해 수작업으로 진행되어 신속한 대응이 쉽지 않은 문제가 있다. 이에 본 연구는 CVE, CVSS 벡터 쌍 데이터를 임베딩한 RAG 기반의 퓨샷 학습을 통해 새 CVE 설명으로부터 자동으로 CVSS 벡터를 생성하는 방법을 제안하였다. Gemma 3 12B로 대표되는 중급 규모 로컬 LLM을 사용해 실험을 수행한 결과 제안한 방법이 기존 프롬프트 엔지니어링 기반 방법들보다 CVSS 버전 3.1 벡터 PR, C, I, A 4개 요소의 예측 정확도를 평균 25% 차이로 향상시키는 것을 확인하였다. RAG에 기반한 퓨샷 학습은 즉각적으로 벡터 생성을 할 수 있어 CVSS 벡터 정의 시간을 크게 단축시키는 도구로 사용될 수 있으며, 퓨샷 학습에 사용된 샘플들은 CVSS 벡터를 생성한 근거 데이터로 사용되어 담당자의 판단을 돕는다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
서양진, "Automatically Generating CVSS Vector from CVE Description Using Few-Shot Learning Based on RAG," Journal of The Korea Institute of Information Security and Cryptology, vol. 35, no. 5, pp. 1051-1060, 2025. DOI: 10.13089/JKIISC.2025.35.5.1051.

[ACM Style]
서양진. 2025. Automatically Generating CVSS Vector from CVE Description Using Few-Shot Learning Based on RAG. Journal of The Korea Institute of Information Security and Cryptology, 35, 5, (2025), 1051-1060. DOI: 10.13089/JKIISC.2025.35.5.1051.