論文の概要: Empirical Analysis of Software Vulnerabilities Causing Timing Side
Channels
- arxiv url: http://arxiv.org/abs/2308.11862v1
- Date: Wed, 23 Aug 2023 01:38:03 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 13:10:02.652431
- Title: Empirical Analysis of Software Vulnerabilities Causing Timing Side
Channels
- Title(参考訳): タイミング側チャネルを用いたソフトウェア脆弱性の実証分析
- Authors: M. Mehdi Kholoosi, M. Ali Babar, Cemal Yilmaz
- Abstract要約: 本研究では,非暗号ソフトウェアにおけるタイミング攻撃関連脆弱性について検討する。
既知のセキュアなコーディングプラクティスに従わなかったため、タイミングアタック関連の脆弱性の大部分が導入されたことが分かりました。
この研究の結果は、ソフトウェアセキュリティコミュニティがタイミング攻撃に関連する脆弱性の性質と原因に関する証拠に基づく情報を得るのに役立つことが期待されている。
- 参考スコア(独自算出の注目度): 2.0794749869068005
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Timing attacks are considered one of the most damaging side-channel attacks.
These attacks exploit timing fluctuations caused by certain operations to
disclose confidential information to an attacker. For instance, in asymmetric
encryption, operations such as multiplication and division can cause
time-varying execution times that can be ill-treated to obtain an encryption
key. Whilst several efforts have been devoted to exploring the various aspects
of timing attacks, particularly in cryptography, little attention has been paid
to empirically studying the timing attack-related vulnerabilities in
non-cryptographic software. By inspecting these software vulnerabilities, this
study aims to gain an evidence-based understanding of weaknesses in
non-cryptographic software that may help timing attacks succeed. We used
qualitative and quantitative research approaches to systematically study the
timing attack-related vulnerabilities reported in the National Vulnerability
Database (NVD) from March 2003 to December 2022. Our analysis was focused on
the modifications made to the code for patching the identified vulnerabilities.
We found that a majority of the timing attack-related vulnerabilities were
introduced due to not following known secure coding practices. The findings of
this study are expected to help the software security community gain
evidence-based information about the nature and causes of the vulnerabilities
related to timing attacks.
- Abstract(参考訳): タイムアタックは最も被害の大きいサイドチャネルアタックの1つである。
これらの攻撃は特定の操作によるタイミング変動を利用して攻撃者に機密情報を開示する。
例えば、非対称暗号では、乗算や除算のような操作は、暗号鍵を得るために不正に処理できる時間変化実行時間を引き起こすことがある。
タイミングアタックの様々な側面、特に暗号の探索にいくつかの取り組みがなされているが、非暗号ソフトウェアにおけるタイミングアタック関連の脆弱性を実証的に研究するためにはほとんど注意が払われていない。
これらのソフトウェア脆弱性を検査することにより、この研究は、タイミング攻撃の成功に役立つ可能性のある非暗号ソフトウェアにおける弱点の証拠に基づく理解を得ることを目的としている。
我々は,2003年3月から2022年12月までにNVD(National Vulnerability Database)で報告されたタイミング攻撃関連脆弱性について,定性的かつ定量的に研究を行った。
私たちの分析は、特定された脆弱性をパッチするためのコードの変更に焦点を当てました。
既知のセキュアなコーディングプラクティスに従わなかったため、タイミングアタック関連の脆弱性の大部分が導入された。
この研究の結果は、ソフトウェアセキュリティコミュニティがタイミング攻撃に関連する脆弱性の性質と原因に関する証拠に基づく情報を得るのに役立つことが期待されている。
関連論文リスト
- Divide and Conquer based Symbolic Vulnerability Detection [0.16385815610837165]
本稿では,シンボル実行と制御フローグラフ解析に基づく脆弱性検出手法を提案する。
提案手法では,無関係なプログラム情報を除去するために,分割・分散アルゴリズムを用いる。
論文 参考訳(メタデータ) (2024-09-20T13:09:07Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - Measuring the Exploitation of Weaknesses in the Wild [0.0]
弱点は、セキュリティ関連エラーを引き起こす操作を通じて悪用されるバグや障害タイプである。
この研究は、30日間の窓に対して野生で悪用されている弱点の確率を決定するための単純な測定基準を導入する。
分析の結果,92%の弱点が常に悪用されていないことが明らかとなった。
論文 参考訳(メタデータ) (2024-05-02T13:49:51Z) - Towards Efficient Verification of Constant-Time Cryptographic
Implementations [5.433710892250037]
一定時間プログラミングの規律は、タイミングサイドチャネル攻撃に対する効果的なソフトウェアベースの対策である。
本研究では, テナント解析の新たな相乗効果と自己構成プログラムの安全性検証に基づく実用的検証手法を提案する。
当社のアプローチはクロスプラットフォームで完全に自動化されたCT-Proverとして実装されている。
論文 参考訳(メタデータ) (2024-02-21T03:39:14Z) - The Adversarial Implications of Variable-Time Inference [47.44631666803983]
本稿では,攻撃対象のMLモデルの予測を後処理するアルゴリズムの実行時間を簡単に計測する,新たなサイドチャネルを利用するアプローチを提案する。
我々は,物体検出装置の動作において重要な役割を果たす非最大抑圧(NMS)アルゴリズムからの漏れを調査する。
我々は、YOLOv3検出器に対する攻撃を実演し、タイミングリークを利用して、逆例を用いてオブジェクト検出を回避し、データセット推論を行う。
論文 参考訳(メタデータ) (2023-09-05T11:53:17Z) - Backdoor Attacks Against Incremental Learners: An Empirical Evaluation
Study [79.33449311057088]
本稿では,11人の典型的なインクリメンタル学習者の3つの学習シナリオに対する中毒ベースのバックドア攻撃に対する高い脆弱性を実証的に明らかにする。
アクティベーションクラスタリングに基づく防御機構は,潜在的なセキュリティリスクを軽減するためのトリガーパターンの検出に有効であることがわかった。
論文 参考訳(メタデータ) (2023-05-28T09:17:48Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - Towards Automated Classification of Attackers' TTPs by combining NLP
with ML Techniques [77.34726150561087]
我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。
本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
論文 参考訳(メタデータ) (2022-07-18T09:59:21Z) - Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。
この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。
まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。
このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
論文 参考訳(メタデータ) (2022-06-22T15:27:49Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。