論文の概要: Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities
- arxiv url: http://arxiv.org/abs/2007.00059v1
- Date: Tue, 30 Jun 2020 18:49:18 GMT
- ステータス: 処理完了
- システム内更新日: 2022-11-15 06:15:00.564935
- Title: Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities
- Title(参考訳): Autosploit: セキュリティ脆弱性の爆発性を評価するための完全に自動化されたフレームワーク
- Authors: Noam Moscovich, Ron Bitton, Yakov Mallah, Masaki Inokuchi, Tomohiko
Yagyu, Meir Kalech, Yuval Elovici, Asaf Shabtai
- Abstract要約: Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
- 参考スコア(独自算出の注目度): 47.748732208602355
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The existence of a security vulnerability in a system does not necessarily
mean that it can be exploited. In this research, we introduce Autosploit -- an
automated framework for evaluating the exploitability of vulnerabilities. Given
a vulnerable environment and relevant exploits, Autosploit will automatically
test the exploits on different configurations of the environment in order to
identify the specific properties necessary for successful exploitation of the
existing vulnerabilities. Since testing all possible system configurations is
infeasible, we introduce an efficient approach for testing and searching
through all possible configurations of the environment. The efficient testing
process implemented by Autosploit is based on two algorithms: generalized
binary splitting and Barinel, which are used for noiseless and noisy
environments respectively. We implemented the proposed framework and evaluated
it using real vulnerabilities. The results show that Autosploit is able to
automatically identify the system properties that affect the ability to exploit
a vulnerability in both noiseless and noisy environments. These important
results can be utilized for more accurate and effective risk assessment.
- Abstract(参考訳): システムにセキュリティ脆弱性があるからといって、その脆弱性を悪用できるとは限らない。
本研究では,脆弱性の悪用性を評価する自動化フレームワークであるAutosploitを紹介する。
脆弱性のある環境と関連するエクスプロイトが与えられると、autosploitは、環境の異なる構成でエクスプロイトを自動的にテストし、既存の脆弱性のエクスプロイトの成功に必要な特定のプロパティを特定する。
可能なシステム構成をすべてテストすることは不可能であるため、環境の可能な構成をすべてテストし、検索するための効率的なアプローチを導入する。
autosploitによって実装された効率的なテストプロセスは、一般化バイナリ分割とバリネルという2つのアルゴリズムに基づいている。
提案フレームワークを実装し,実際の脆弱性を用いて評価した。
その結果、autosploitは無音環境と無音環境の両方において脆弱性を悪用する能力に影響を与えるシステム特性を自動的に特定できることがわかった。
これらの重要な結果は、より正確で効果的なリスク評価に利用できる。
関連論文リスト
- On the Effectiveness of Function-Level Vulnerability Detectors for
Inter-Procedural Vulnerabilities [28.57872406228216]
VulTriggerという,関数間の脆弱性の追跡を行うツールを提案する。
実験の結果、VulTriggerは脆弱性トリガステートメントとプロセス間脆弱性を効果的に識別できることがわかった。
その結果, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器が, プロセス間の脆弱性の接触する機能を検出するのにはるかに効果的であることがわかった。
論文 参考訳(メタデータ) (2024-01-18T07:32:11Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Adaptive Failure Search Using Critical States from Domain Experts [9.93890332477992]
フェールサーチは、シミュレーションまたは実世界のテストにおいて、かなりの走行距離をロギングすることで行うことができる。
ASTはマルコフ決定プロセスとして失敗探索の問題を提起する手法である。
ASTフレームワークにクリティカルステートを組み込むことで,安全性違反の増大を伴う障害シナリオが生成されることを示す。
論文 参考訳(メタデータ) (2023-04-01T18:14:41Z) - Identifying and Explaining Safety-critical Scenarios for Autonomous
Vehicles via Key Features [5.634825161148484]
本稿では,AVの安全でない動作を明らかにする能力に影響を及ぼすテストシナリオの重要な特徴を特定するために,ISA(インスタンス空間解析)を用いる。
ISAは、安全クリティカルなシナリオと通常の運転とを最も区別する機能を特定し、2Dのテストシナリオ結果(セーフ/アンセーフ)への影響を可視化する。
特定された機能の予測能力をテストするために、5つの機械学習分類器をトレーニングし、テストシナリオを安全または安全でないものとして分類する。
論文 参考訳(メタデータ) (2022-12-15T00:52:47Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Sample-Efficient Safety Assurances using Conformal Prediction [57.92013073974406]
早期警戒システムは、安全でない状況が差し迫ったときに警告を提供することができる。
安全性を確実に向上させるためには、これらの警告システムは証明可能な偽陰性率を持つべきである。
本稿では,共形予測と呼ばれる統計的推論手法とロボット・環境力学シミュレータを組み合わせたフレームワークを提案する。
論文 参考訳(メタデータ) (2021-09-28T23:00:30Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z) - $\mu$VulDeePecker: A Deep Learning-Based System for Multiclass
Vulnerability Detection [24.98991662345816]
VulDeePeckerと呼ばれるマルチクラス脆弱性検出のための,最初のディープラーニングベースのシステムを提案する。
関連スポンサーコンテンツ $mu$VulDeePeckerの根底にある重要な洞察は、コードアテンションの概念です。
実験によると、$mu$VulDeePeckerはマルチクラスの脆弱性検出に有効であり、制御依存性の調整がより高い検出能力をもたらす可能性がある。
論文 参考訳(メタデータ) (2020-01-08T01:47:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。