論文の概要: DeFuzz: Deep Learning Guided Directed Fuzzing
- arxiv url: http://arxiv.org/abs/2010.12149v1
- Date: Fri, 23 Oct 2020 03:44:03 GMT
- ステータス: 処理完了
- システム内更新日: 2022-10-03 23:53:30.800291
- Title: DeFuzz: Deep Learning Guided Directed Fuzzing
- Title(参考訳): defuzz: ディープラーニングによる直接ファジング
- Authors: Xiaogang Zhu, Shigang Liu, Xian Li, Sheng Wen, Jun Zhang, Camtepe
Seyit, Yang Xiang
- Abstract要約: 本稿では,DeFuzzというソフトウェア脆弱性検出のための,ディープラーニング(DL)誘導指向ファズリングを提案する。
DeFuzzには2つの主要なスキームが含まれている。 1) 潜在的に脆弱な機能と位置(脆弱性のあるアドレス)を特定するために、トレーニング済みのDL予測モデルを使用する。
正確には、Bidirectional-LSTM (BiLSTM) を用いて注意語を識別し、その脆弱性はこれらの注意語に関連付けられている。
- 参考スコア(独自算出の注目度): 41.61500799890691
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Fuzzing is one of the most effective technique to identify potential software
vulnerabilities. Most of the fuzzers aim to improve the code coverage, and
there is lack of directedness (e.g., fuzz the specified path in a software). In
this paper, we proposed a deep learning (DL) guided directed fuzzing for
software vulnerability detection, named DeFuzz. DeFuzz includes two main
schemes: (1) we employ a pre-trained DL prediction model to identify the
potentially vulnerable functions and the locations (i.e., vulnerable
addresses). Precisely, we employ Bidirectional-LSTM (BiLSTM) to identify
attention words, and the vulnerabilities are associated with these attention
words in functions. (2) then we employ directly fuzzing to fuzz the potential
vulnerabilities by generating inputs that tend to arrive the predicted
locations. To evaluate the effectiveness and practical of the proposed DeFuzz
technique, we have conducted experiments on real-world data sets. Experimental
results show that our DeFuzz can discover coverage more and faster than AFL.
Moreover, DeFuzz exposes 43 more bugs than AFL on real-world applications.
- Abstract(参考訳): ファジィングは、潜在的なソフトウェア脆弱性を特定する最も効果的なテクニックの1つである。
ファジィザのほとんどはコードカバレッジの改善を目標としており、指向性(ソフトウェア内の特定のパスをファジィズするなど)が欠如している。
本稿では,DeFuzz(DeFuzz)というソフトウェア脆弱性検出のための,ディープラーニング(DL)誘導型ファズリングを提案する。
DeFuzzには2つの主要なスキームがある: 1) 潜在的に脆弱な機能と位置(脆弱性のあるアドレス)を特定するために、トレーニング済みのDL予測モデルを使用する。
正確には、Bidirectional-LSTM (BiLSTM) を用いて注意語を識別し、その脆弱性はこれらの注意語に関連付けられている。
2) 直接ファジィングを用いて潜在的な脆弱性をファジィングし、予測された場所に到達しがちな入力を生成する。
提案手法の有効性と実用性を評価するため,実世界のデータセットを用いて実験を行った。
実験の結果、DeFuzzはAFLよりも早くカバレッジを発見できることがわかった。
さらに、DeFuzzは現実世界のアプリケーションでAFLよりも43以上のバグを公開する。
関連論文リスト
- CovRL: Fuzzing JavaScript Engines with Coverage-Guided Reinforcement
Learning for LLM-based Mutation [2.5864634852960444]
本稿では,大規模言語モデル(LLM)とカバレッジフィードバックからの強化学習を組み合わせた,CovRL(Coverage-guided Reinforcement Learning)と呼ばれる新しい手法を提案する。
CovRL-Fuzzは、39の既知の脆弱性と11のCVEを含む、最新のJavaScriptエンジンにおける48の実際のセキュリティ関連バグを特定している。
論文 参考訳(メタデータ) (2024-02-19T15:30:40Z) - The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors [39.01486277170386]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。
本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。
この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文 参考訳(メタデータ) (2023-12-31T06:43:36Z) - Benchmarking Deep Learning Fuzzers [11.118370064698869]
ベンチマークでは、最先端の3つのDLファザ、FreeFuzz、DeepRel、DocTerを、その命令に従って実行します。
これらのファジィザは、ベンチマークデータセットで収集された多くの実際のバグを検出することができません。
我々の系統分析では、これらのファジッターが実際のバグを検知する能力に影響を及ぼす4つの主要な、広く、共通の要因を同定する。
論文 参考訳(メタデータ) (2023-10-10T18:09:16Z) - XAL: EXplainable Active Learning Makes Classifiers Better Low-resource Learners [71.8257151788923]
低リソーステキスト分類のための新しい説明可能なアクティブラーニングフレームワーク(XAL)を提案する。
XALは分類器に対して、推論を正当化し、合理的な説明ができないラベルのないデータを掘り下げることを推奨している。
6つのデータセットの実験では、XALは9つの強いベースラインに対して一貫した改善を達成している。
論文 参考訳(メタデータ) (2023-10-09T08:07:04Z) - Revisiting Neural Program Smoothing for Fuzzing [8.861172379630899]
本稿では,標準グレーボックスファザに対するNPSファザの最も広範囲な評価について述べる。
我々はNuzz++を実装し、NPSファジィの実用的限界に対処することで性能が向上することを示す。
MLベースファジィの簡易かつ再現可能な評価のためのGPUアクセスプラットフォームであるMLFuzzを提案する。
論文 参考訳(メタデータ) (2023-09-28T17:17:11Z) - Evaluating the Instruction-Following Robustness of Large Language Models
to Prompt Injection [70.28425745910711]
LLM(Large Language Models)は、命令追従に非常に熟練した言語である。
この能力は、迅速なインジェクション攻撃のリスクをもたらす。
このような攻撃に対する命令追従LDMの堅牢性を評価する。
論文 参考訳(メタデータ) (2023-08-17T06:21:50Z) - Learning to Quantize Vulnerability Patterns and Match to Locate
Statement-Level Vulnerabilities [19.6975205650411]
さまざまな脆弱性パターンを表す量子化されたベクトルで構成される脆弱性コードブックが学習される。
推論の間、コードブックは、すべての学習パターンにマッチし、潜在的な脆弱性の存在を予測するために反復される。
提案手法は188,000以上のC/C++関数からなる実世界のデータセットに対して広範に評価された。
論文 参考訳(メタデータ) (2023-05-26T04:13:31Z) - Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。
バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。
具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
論文 参考訳(メタデータ) (2022-08-04T05:32:20Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。