論文の概要: Seneca: Taint-Based Call Graph Construction for Java Object Deserialization

• arxiv url: http://arxiv.org/abs/2311.00943v2
• Date: Mon, 2 Sep 2024 13:19:28 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-04 22:14:48.317329
• Title: Seneca: Taint-Based Call Graph Construction for Java Object Deserialization
• Title（参考訳）: Seneca: Javaオブジェクトデシリアライズのためのタイトベースのコールグラフ構築
• Authors: Joanna C. S. Santos, Mehdi Mirakhorli, Ali Shokri,
• Abstract要約: コールグラフ構築における音質改善によるシリアライズ処理手法であるSeecaを提案する。 我々は,信頼できないオブジェクトデシリアライズ脆弱性の検出において,音質,精度,性能,有用性に関して,我々のアプローチを評価する。
• 参考スコア（独自算出の注目度）: 3.6731536660959985
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Object serialization and deserialization are widely used for storing and preserving objects in files, memory, or database as well as for transporting them across machines, enabling remote interaction among processes and many more. This mechanism relies on reflection, a dynamic language that introduces serious challenges for static analyses. Current state-of-the-art call graph construction algorithms do not fully support object serialization/deserialization, i.e., they are unable to uncover the callback methods that are invoked when objects are serialized and deserialized. Since call graphs are a core data structure for multiple types of analysis (e.g., vulnerability detection), an appropriate analysis cannot be performed since the call graph does not capture hidden (vulnerable) paths that occur via callback methods. In this paper, we present Seneca, an approach for handling serialization with improved soundness in the context of call graph construction. Our approach relies on taint analysis and API modeling to construct sound call graphs. We evaluated our approach with respect to soundness, precision, performance, and usefulness in detecting untrusted object deserialization vulnerabilities. Our results show that Seneca can create sound call graphs with respect to serialization features. The resulting call graphs do not incur significant runtime overhead and were shown to be useful for performing identification of vulnerable paths caused by untrusted object deserialization.
• Abstract（参考訳）: オブジェクトのシリアライゼーションとデシリアライゼーションは、ファイル、メモリ、データベース内のオブジェクトの保存と保存、マシン間での転送、プロセス間のリモートインタラクションなどに広く利用されている。 このメカニズムは動的言語であるリフレクションに依存しており、静的解析に深刻な課題をもたらす。 現在の最先端のコールグラフ構築アルゴリズムは、オブジェクトのシリアライズ/デシリアライズを完全にサポートしていない。 コールグラフは、複数のタイプの分析(例えば脆弱性検出)のためのコアデータ構造であるため、コールバックメソッドを介して発生する隠された(脆弱な)パスをキャプチャしないため、適切な解析を行うことはできない。 本稿では,コールグラフ構築における音質向上によるシリアライズ処理手法であるSeecaを提案する。 提案手法は,音声呼出グラフを構築するために,テナント解析とAPIモデリングに依存している。 我々は,信頼できないオブジェクトデシリアライズ脆弱性の検出において,音質,精度,性能,有用性に関して,我々のアプローチを評価した。 この結果から,Seecaはシリアライズ機能に関して,音声コールグラフを作成できることがわかった。 その結果、コールグラフは実行時の大きなオーバーヘッドを発生させず、信頼できないオブジェクトデシリアライゼーションによる脆弱なパスの識別に有用であることが示されている。

関連論文リスト

• GOReloc: Graph-based Object-Level Relocalization for Visual SLAM [17.608119427712236]
  本稿では,ロボットシステムのオブジェクトレベル再ローカライズのための新しい手法を紹介する。 軽量なオブジェクトレベルマップにおいて、現在のフレーム内の物体検出と3Dオブジェクトとの密接な関連付けにより、カメラセンサのポーズを決定する。
  論文  参考訳（メタデータ） (2024-08-15T03:54:33Z)
• Multi-Scene Generalized Trajectory Global Graph Solver with Composite Nodes for Multiple Object Tracking [61.69892497726235]
  複合ノードメッセージパッシングネットワーク(CoNo-Link)は、超長いフレーム情報を関連付けるためのフレームワークである。 オブジェクトをノードとして扱う従来の方法に加えて、このネットワークは情報インタラクションのためのノードとしてオブジェクトトラジェクトリを革新的に扱う。 我々のモデルは、合成ノードを追加することで、より長い時間スケールでより良い予測を学習することができる。
  論文  参考訳（メタデータ） (2023-12-14T14:00:30Z)
• Conversational Semantic Parsing using Dynamic Context Graphs [68.72121830563906]
  汎用知識グラフ(KG)を用いた会話意味解析の課題を,数百万のエンティティと数千のリレーショナルタイプで検討する。 ユーザ発話を実行可能な論理形式にインタラクティブにマッピングできるモデルに焦点を当てる。
  論文  参考訳（メタデータ） (2023-05-04T16:04:41Z)
• Robust Object Detection in Remote Sensing Imagery with Noisy and Sparse Geo-Annotations (Full Version) [4.493174773769076]
  本稿では,非常にノイズの多い,不完全なアノテーションを用いたオブジェクト検出器のトレーニング手法を提案する。 本手法は,教師による学習フレームワークと,不正確で欠落したアノテーションを考慮した修正モジュールに基づく。 我々は,雑音の多い実世界のリモートセンシングデータセット上で,標準検出器を37.1%$AP_50$で改善できることを実証した。
  論文  参考訳（メタデータ） (2022-10-24T07:25:31Z)
• AutoPruner: Transformer-Based Call Graph Pruning [7.319973664340497]
  本稿では,統計的意味解析と構造解析の両方を通じて,コールグラフの偽陽性を除去する新しいコールグラフ解析手法であるAutoPrunerを提案する。 実世界のプログラムのベンチマークデータセットに対する実証的な評価は、AutoPrunerが最先端のベースラインを上回っていることを示している。
  論文  参考訳（メタデータ） (2022-09-07T15:35:28Z)
• Sequence Feature Extraction for Malware Family Analysis via Graph Neural Network [0.0]
  APIコールシーケンスを分析するために,AWGCN(Attention Aware Graph Neural Network)を設計,実装する。 AWGCNにより、マルウェアの挙動を解析するためのシーケンス埋め込みが得られる。
  論文  参考訳（メタデータ） (2022-08-10T07:31:44Z)
• RICE: Refining Instance Masks in Cluttered Environments with Graph Neural Networks [53.15260967235835]
  本稿では,インスタンスマスクのグラフベース表現を利用して,そのような手法の出力を改良する新しいフレームワークを提案する。 我々は、セグメンテーションにスマートな摂動をサンプリングできるディープネットワークと、オブジェクト間の関係をエンコード可能なグラフニューラルネットワークを訓練し、セグメンテーションを評価する。 本稿では,本手法によって生成された不確実性推定を用いてマニピュレータを誘導し,乱れたシーンを効率的に理解するアプリケーションについて紹介する。
  論文  参考訳（メタデータ） (2021-06-29T20:29:29Z)
• Learning to Track with Object Permanence [61.36492084090744]
  共同物体の検出と追跡のためのエンドツーエンドのトレーニング可能なアプローチを紹介します。 私たちのモデルは、合成データと実データで共同トレーニングされ、KITTIおよびMOT17データセットの最先端を上回ります。
  論文  参考訳（メタデータ） (2021-03-26T04:43:04Z)
• Data Augmentation for Object Detection via Differentiable Neural Rendering [71.00447761415388]
  注釈付きデータが乏しい場合、堅牢なオブジェクト検出器を訓練することは困難です。 この問題に対処する既存のアプローチには、ラベル付きデータからラベル付きデータを補間する半教師付き学習が含まれる。 オブジェクト検出のためのオフラインデータ拡張手法を導入し、新しいビューでトレーニングデータを意味的に補間する。
  論文  参考訳（メタデータ） (2021-03-04T06:31:06Z)
• Weakly-Supervised Salient Object Detection via Scribble Annotations [54.40518383782725]
  本稿では,スクリブルラベルからサリエンシを学習するための弱教師付きサリエント物体検出モデルを提案する。 そこで本研究では,予測されたサリエンシマップの構造アライメントを測定するために,新しい尺度であるサリエンシ構造尺度を提案する。 我々の手法は、既存の弱教師付き/非教師付き手法よりも優れているだけでなく、いくつかの完全教師付き最先端モデルと同等である。
  論文  参考訳（メタデータ） (2020-03-17T12:59:50Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。