論文の概要: Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities

• arxiv url: http://arxiv.org/abs/2007.00059v1
• Date: Tue, 30 Jun 2020 18:49:18 GMT
• ステータス: 処理完了
• システム内更新日: 2022-11-15 06:15:00.564935
• Title: Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities
• Title（参考訳）: Autosploit: セキュリティ脆弱性の爆発性を評価するための完全に自動化されたフレームワーク
• Authors: Noam Moscovich, Ron Bitton, Yakov Mallah, Masaki Inokuchi, Tomohiko Yagyu, Meir Kalech, Yuval Elovici, Asaf Shabtai
• Abstract要約: Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
• 参考スコア（独自算出の注目度）: 47.748732208602355
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The existence of a security vulnerability in a system does not necessarily mean that it can be exploited. In this research, we introduce Autosploit -- an automated framework for evaluating the exploitability of vulnerabilities. Given a vulnerable environment and relevant exploits, Autosploit will automatically test the exploits on different configurations of the environment in order to identify the specific properties necessary for successful exploitation of the existing vulnerabilities. Since testing all possible system configurations is infeasible, we introduce an efficient approach for testing and searching through all possible configurations of the environment. The efficient testing process implemented by Autosploit is based on two algorithms: generalized binary splitting and Barinel, which are used for noiseless and noisy environments respectively. We implemented the proposed framework and evaluated it using real vulnerabilities. The results show that Autosploit is able to automatically identify the system properties that affect the ability to exploit a vulnerability in both noiseless and noisy environments. These important results can be utilized for more accurate and effective risk assessment.
• Abstract（参考訳）: システムにセキュリティ脆弱性があるからといって、その脆弱性を悪用できるとは限らない。 本研究では,脆弱性の悪用性を評価する自動化フレームワークであるAutosploitを紹介する。 脆弱性のある環境と関連するエクスプロイトが与えられると、autosploitは、環境の異なる構成でエクスプロイトを自動的にテストし、既存の脆弱性のエクスプロイトの成功に必要な特定のプロパティを特定する。 可能なシステム構成をすべてテストすることは不可能であるため、環境の可能な構成をすべてテストし、検索するための効率的なアプローチを導入する。 autosploitによって実装された効率的なテストプロセスは、一般化バイナリ分割とバリネルという2つのアルゴリズムに基づいている。 提案フレームワークを実装し,実際の脆弱性を用いて評価した。 その結果、autosploitは無音環境と無音環境の両方において脆弱性を悪用する能力に影響を与えるシステム特性を自動的に特定できることがわかった。 これらの重要な結果は、より正確で効果的なリスク評価に利用できる。

関連論文リスト

• AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
  LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。 以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
  論文  参考訳（メタデータ） (2024-11-02T13:24:30Z)
• RealVul: Can We Detect Vulnerabilities in Web Applications with LLM? [4.467475584754677]
  本稿では,PHP 脆弱性検出用に設計された最初の LLM ベースのフレームワークである RealVul を紹介する。 コードの合理化と不要なセマンティック情報を排除しながら、潜在的な脆弱性トリガを分離できます。 また、データ合成法の改善により、PHPの脆弱性サンプルが不足している問題にも対処する。
  論文  参考訳（メタデータ） (2024-10-10T03:16:34Z)
• SETC: A Vulnerability Telemetry Collection Framework [0.0]
  本稿では,SETC(Security Exploit Telemetry Collection)フレームワークを紹介する。 SETCは、堅牢な防御セキュリティ研究のために、再現可能な脆弱性エクスプロイトデータを大規模に生成する。 この研究は、スケーラブルなエクスプロイトデータ生成を可能にし、脅威モデリング、検出方法、分析技術、戦略の革新を促進する。
  論文  参考訳（メタデータ） (2024-06-10T00:13:35Z)
• VulEval: Towards Repository-Level Evaluation of Software Vulnerability Detection [14.312197590230994]
  textbfVulEvalという名前のリポジトリレベルの評価システムは、プロセス間およびプロセス内脆弱性の検出性能を同時に評価することを目的としている。 VulEvalは大規模データセットで構成され、合計で4,196のCVEエントリ、232,239の関数、および対応する4,699のリポジトリレベルのソースコードがC/C++プログラミング言語に含まれる。
  論文  参考訳（メタデータ） (2024-04-24T02:16:11Z)
• On the Effectiveness of Function-Level Vulnerability Detectors for Inter-Procedural Vulnerabilities [28.57872406228216]
  VulTriggerという,関数間の脆弱性の追跡を行うツールを提案する。 実験の結果、VulTriggerは脆弱性トリガステートメントとプロセス間脆弱性を効果的に識別できることがわかった。 その結果, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器が, プロセス間の脆弱性の接触する機能を検出するのにはるかに効果的であることがわかった。
  論文  参考訳（メタデータ） (2024-01-18T07:32:11Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
  我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。 我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。 コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
  論文  参考訳（メタデータ） (2023-06-09T14:33:26Z)
• Adaptive Failure Search Using Critical States from Domain Experts [9.93890332477992]
  フェールサーチは、シミュレーションまたは実世界のテストにおいて、かなりの走行距離をロギングすることで行うことができる。 ASTはマルコフ決定プロセスとして失敗探索の問題を提起する手法である。 ASTフレームワークにクリティカルステートを組み込むことで,安全性違反の増大を伴う障害シナリオが生成されることを示す。
  論文  参考訳（メタデータ） (2023-04-01T18:14:41Z)
• Sample-Efficient Safety Assurances using Conformal Prediction [57.92013073974406]
  早期警戒システムは、安全でない状況が差し迫ったときに警告を提供することができる。 安全性を確実に向上させるためには、これらの警告システムは証明可能な偽陰性率を持つべきである。 本稿では,共形予測と呼ばれる統計的推論手法とロボット・環境力学シミュレータを組み合わせたフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-09-28T23:00:30Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。