Klasifikace zranitelostí internetu věcí založená na strojovém učení

Abstract

Rozšíření zařízení internetu věcí (IoT) přináší nové bezpečnostní výzvy, zároveň ale tradiční hodnotící systémy jako CVSS nemají schopnost kvalitně reflektovat rizika specifická pro IoT. Tato bakalářská práce navrhuje vícestupňový framework pro klasifikaci zranitelností IoT a vyhodnocení jejich rizik. V první fázi modely strojového učení s využitím Word2Vec features (F1 > 0,91) identifikují zranitelnosti relevantní pro IoT. Následně jsou tyto zranitelnosti klasifikovány speciálně doladěným BERT modelem (Macro F1 > 0,95) do funkčních domén IoT. Poslední fáze využívá předem definovaná pravidla, pomocí kterých hodnotí kontextuální riziko prostřednictvím šesti IoT-specifických faktorů, doplňujících data systému CVSS. Výstup poskytuje detailní skóre, vážené celkové skóre rizika pro IoT, kvalitativní úroveň rizika a skóre důvěryhodnosti hodnocení. Výsledky naznačují, že navržený framework nabízí přesnější a lépe interpretovatelné hodnocení než standardní CVSS, čímž pomáhá IoT bezpečnostním specialistům efektivněji prioritizovat hrozby.

The proliferation of Internet of Things (IoT) devices presents new security challenges, as traditional scoring systems like CVSS often fail to reflect IoT specific risks. This thesis proposes a multi-stage framework for IoT vulnerability classification and risk assessment. In the first stage, machine learning models using Word2Vec features (F1 > 0.91) identify IoT-relevant vulnerabilities. Next, a fine-tuned BERT model (Macro F1 > 0.95) classifies them into IoT functional domains. Finally, a rule-based engine assesses contextual risk using six IoT-specific factors, supplementing CVSS data. The engine outputs detailed scores, a weighted IoT Risk Score, a qualitative risk level, and an Assessment Trust Score. The results suggest that this framework can offer a more accurate and interpretable assessment than standard CVSS, helping IoT security practitioners better prioritize threats.