論文の概要: Interactive Greybox Penetration Testing for Cloud Access Control using
IAM Modeling and Deep Reinforcement Learning
- arxiv url: http://arxiv.org/abs/2304.14540v4
- Date: Tue, 3 Oct 2023 04:03:41 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 12:26:10.125412
- Title: Interactive Greybox Penetration Testing for Cloud Access Control using
IAM Modeling and Deep Reinforcement Learning
- Title(参考訳): IAMモデリングと深層強化学習を用いたクラウドアクセス制御のためのインタラクティブなGreybox浸透試験
- Authors: Yang Hu, Wenxi Wang, Sarfraz Khurshid, Mohit Tiwari
- Abstract要約: IAM PE を検出するためのサードパーティサービスに対して,TAC と呼ばれる正確なグレーボックス浸透試験手法を提案する。
我々はまず,クエリから収集した部分情報に基づいて,TACが広範囲のIAM PEを検出可能なIAMモデリングを提案する。
IAM Vulnerableは, 最先端のホワイトボックスアプローチと比較して, 競合的に偽陰性率の低いIAM PEを検出する。
- 参考スコア(独自算出の注目度): 6.937724104615359
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Identity and Access Management (IAM) is an access control service in cloud
platforms. To securely manage cloud resources, customers are required to
configure IAM to specify the access control rules for their cloud
organizations. However, incorrectly configuring IAM may be exploited to cause a
security attack such as privilege escalation (PE), which can cause severe
economic loss. To detect such PEs due to IAM misconfigurations, third-party
cloud security services are commonly used. The state-of-the-art services apply
whitebox penetration testing techniques, which require the access to complete
IAM configurations. However, the configurations can contain sensitive
information. To prevent the disclosure of such information, the customers have
to put lots of manual efforts for the anonymization.
In this paper, we propose a precise greybox penetration testing approach
called TAC for third-party services to detect IAM PEs. To mitigate the dual
challenges of labor-intensive anonymizations and potentially sensitive
information disclosures, TAC interacts with customers by selectively querying
only the essential information needed. Our key insight is that only a small
fraction of information in the IAM configuration is relevant to the IAM PE
detection. We first propose IAM modeling, enabling TAC to detect a broad class
of IAM PEs based on the partial information collected from queries. To improve
the efficiency and applicability of TAC, we aim to minimize the interactions
with customers by applying Reinforcement Learning (RL) with Graph Neural
Networks (GNNs), allowing TAC to learn to make as few queries as possible.
Experimental results on both our synthesized task set and the only publicly
available task set IAM Vulnerable show that, in comparison to state-of-the-art
whitebox approaches, TAC detects IAM PEs with competitively low false negative
rates, employing a limited number of queries.
- Abstract(参考訳): identity and access management (iam) はクラウドプラットフォームにおけるアクセス制御サービスである。
クラウドリソースをセキュアに管理するには、顧客は、クラウド組織に対するアクセス制御ルールを指定するためにIAMを設定する必要がある。
しかし、不正なIAMの設定は、特権エスカレーション(PE)のようなセキュリティ攻撃を引き起こすために悪用され、深刻な経済損失を引き起こす可能性がある。
IAM設定ミスによるそのようなPEを検出するために、サードパーティのクラウドセキュリティサービスが一般的に使用されている。
最先端のサービスは、完全なIAM構成へのアクセスを必要とするホワイトボックス浸透テスト技術を適用している。
しかし、構成は機密情報を含むことができる。
このような情報の開示を防止するため、顧客は匿名化のために多くの手作業を行う必要がある。
本稿では,IDA PE を検出するためのサードパーティサービスに対して,TAC と呼ばれる正確なグレーボックス浸透試験手法を提案する。
労働集約的な匿名化と潜在的な機密情報開示の二重課題を軽減するため、TACは必要な必須情報のみを選択的にクエリすることで顧客と対話する。
我々の重要な洞察は、IAM PE検出に関係があるのは、IAM設定のわずかな情報のみであるということです。
まず,クエリから収集した部分情報に基づいて,TACが広範囲のIAM PEを検出可能なIAMモデリングを提案する。
TACの効率性と適用性を向上させるため,グラフニューラルネットワーク(GNN)に強化学習(RL)を適用することにより,顧客とのインタラクションを最小限に抑えることを目的としている。
我々の合成タスクセットと唯一の公開タスクセットiamの脆弱性に関する実験結果は、最先端のホワイトボックスアプローチと比較して、tacは限られた数のクエリを用いて、競争的に低い偽陰性率でiam pesを検出することを示している。
関連論文リスト
- Practically adaptable CPABE based Health-Records sharing framework [0.0]
CPABEとOAuth2.0をベースとした、効率的なアクセス制御と認可のためのフレームワークを提案し、単一のクライアントアプリケーション間でのEHR共有の実現性を改善した。
提案するフレームワークの実装とその分析比較は,性能とレイテンシの最小化の観点から,その可能性を示唆している。
論文 参考訳(メタデータ) (2024-03-11T00:23:17Z) - HuntGPT: Integrating Machine Learning-Based Anomaly Detection and Explainable AI with Large Language Models (LLMs) [0.09208007322096533]
我々はランダムフォレスト分類器を応用した特殊な侵入検知ダッシュボードであるHuntGPTを提案する。
この論文は、Certified Information Security Manager (CISM) Practice Examsを通じて評価された、システムのアーキテクチャ、コンポーネント、技術的正確性について論じている。
その結果、LLMによってサポートされ、XAIと統合された会話エージェントは、侵入検出において堅牢で説明可能な、実行可能なAIソリューションを提供することを示した。
論文 参考訳(メタデータ) (2023-09-27T20:58:13Z) - Client-side Gradient Inversion Against Federated Learning from Poisoning [59.74484221875662]
フェデレートラーニング(FL)により、分散参加者は、データを中央サーバに直接共有することなく、グローバルモデルをトレーニングできる。
近年の研究では、FLは元のトレーニングサンプルの再構築を目的とした勾配反転攻撃(GIA)に弱いことが判明している。
本稿では,クライアント側から起動可能な新たな攻撃手法であるクライアント側中毒性グレーディエント・インバージョン(CGI)を提案する。
論文 参考訳(メタデータ) (2023-09-14T03:48:27Z) - Hiding in Plain Sight: Disguising Data Stealing Attacks in Federated Learning [1.9374282535132377]
悪意のあるサーバ(MS)攻撃のクライアント側検出性を初めて検討した。
これらの要件を満たす新しいアタックフレームワークであるSEERを提案する。
SEERは,最大512のバッチサイズであっても,現実的なネットワークの勾配からユーザデータを盗むことができることを示す。
論文 参考訳(メタデータ) (2023-06-05T16:29:54Z) - Balancing Privacy and Security in Federated Learning with FedGT: A Group
Testing Framework [90.61139449550383]
FedGTは、フェデレート学習における悪意のあるクライアントを安全なアグリゲーションで識別するためのフレームワークである。
FedGTは、誤検知や誤報の確率が低い悪意のあるクライアントを識別できることを示す。
論文 参考訳(メタデータ) (2023-05-09T14:54:59Z) - AI for IT Operations (AIOps) on Cloud Platforms: Reviews, Opportunities
and Challenges [60.56413461109281]
IT運用のための人工知能(AIOps)は、AIのパワーとIT運用プロセスが生成するビッグデータを組み合わせることを目的としている。
我々は、IT運用活動が発信する重要なデータの種類、分析における規模と課題、そしてどのように役立つかについて深く議論する。
主要なAIOpsタスクは、インシデント検出、障害予測、根本原因分析、自動アクションに分類します。
論文 参考訳(メタデータ) (2023-04-10T15:38:12Z) - FLCert: Provably Secure Federated Learning against Poisoning Attacks [67.8846134295194]
FLCertは、有毒な攻撃に対して確実に安全であるアンサンブル・フェデレート学習フレームワークである。
実験の結果,テスト入力に対するFLCertで予測されたラベルは,有意な数の悪意のあるクライアントによって影響を受けないことが判明した。
論文 参考訳(メタデータ) (2022-10-02T17:50:04Z) - On the Evaluation of User Privacy in Deep Neural Networks using Timing
Side Channel [14.350301915592027]
我々は,Deep Learning (DL) の実装において,新たなデータ依存型タイミング側チャネルリーク(クラスリーク)を特定し,報告する。
ユーザ特権とハードラベルのブラックボックスアクセスを持つ敵が、クラスリークを悪用できる、実用的な推論時攻撃を実証する。
我々は,クラスリークを緩和する定時分岐操作を行うことにより,実装が容易な対策を開発する。
論文 参考訳(メタデータ) (2022-08-01T19:38:16Z) - Using Constraint Programming and Graph Representation Learning for
Generating Interpretable Cloud Security Policies [12.43505973436359]
クラウドセキュリティは、IT管理者が適切に設定し定期的に更新する必要があるIDアクセス管理(IAM)ポリシーに依存している。
我々は制約プログラミング(CP)を用いて最適なIAMポリシーを生成する新しいフレームワークを開発する。
最適化されたIAMポリシは,8つの商用組織と合成インスタンスの実際のデータを用いたセキュリティ攻撃の影響を著しく低減することを示す。
論文 参考訳(メタデータ) (2022-05-02T22:15:07Z) - Attribute Inference Attack of Speech Emotion Recognition in Federated
Learning Settings [56.93025161787725]
Federated Learning(FL)は、クライアントをコーディネートして、ローカルデータを共有せずにモデルを協調的にトレーニングする分散機械学習パラダイムである。
本稿では,共有勾配やモデルパラメータからクライアントの機密属性情報を推測する属性推論攻撃フレームワークを提案する。
FLを用いて学習したSERシステムに対して,属性推論攻撃が達成可能であることを示す。
論文 参考訳(メタデータ) (2021-12-26T16:50:42Z) - Temporal Action Detection with Multi-level Supervision [116.55596693897388]
本稿では,ラベル付きデータとラベルなしデータを組み合わせたSemi-supervised Action Detection (SSAD)タスクを紹介する。
半教師付き分類タスクから直接適応したSSADベースラインの異なるタイプのエラーを解析する。
我々は,弱いラベル付きデータをSSADに組み込んで,3段階の監視レベルを持つOmni-supervised Action Detection (OSAD)を提案する。
論文 参考訳(メタデータ) (2020-11-24T04:45:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。