論文の概要: Comparing Effectiveness and Efficiency of Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP) Tools
in a Large Java-based System
- arxiv url: http://arxiv.org/abs/2312.17726v1
- Date: Fri, 29 Dec 2023 18:26:05 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-02 08:53:11.525757
- Title: Comparing Effectiveness and Efficiency of Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP) Tools
in a Large Java-based System
- Title(参考訳): 大規模javaシステムにおけるiast(interactive application security testing)とrasp(runtime application self-protection)ツールの有効性と効率の比較
- Authors: Aishwarya Seth, Saikath Bhattacharya, Sarah Elder, Nusrat Zahan,
Laurie Williams
- Abstract要約: 新たな2つのツールタイプであるInteractive Application Security Testing (IAST)とApplication Self-Protection (RASP)は、十分に評価されていない。
オープンソースJavaベースのオンラインアプリケーションであるOpenMRSにIASTとRASPを適用します。
検出された脆弱性の数とタイプによって効率と有効性を測定し、1時間あたりの検知および防止を行う。
- 参考スコア(独自算出の注目度): 7.255981297835062
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Security resources are scarce, and practitioners need guidance in the
effective and efficient usage of techniques and tools available in the
cybersecurity industry. Two emerging tool types, Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP), have
not been thoroughly evaluated against well-established counterparts such as
Dynamic Application Security Testing (DAST) and Static Application Security
Testing (SAST). The goal of this research is to aid practitioners in making
informed choices about the use of Interactive Application Security Testing
(IAST) and Runtime Application Self-Protection (RASP) tools through an analysis
of their effectiveness and efficiency in comparison with different
vulnerability detection and prevention techniques and tools. We apply IAST and
RASP on OpenMRS, an open-source Java-based online application. We compare the
efficiency and effectiveness of IAST and RASP with techniques applied on
OpenMRS in prior work. We measure efficiency and effectiveness in terms of the
number and type of vulnerabilities detected and prevented per hour. Our study
shows IAST performed relatively well compared to other techniques, performing
second-best in both efficiency and effectiveness. IAST detected eight Top-10
OWASP security risks compared to nine by SMPT and seven for EMPT, DAST, and
SAST. IAST found more vulnerabilities than SMPT. The efficiency of IAST (2.14
VpH) is second to only EMPT (2.22 VpH). These findings imply that our study
benefited from using IAST when conducting black-box security testing. In the
context of a large, enterprise-scale web application such as OpenMRS, RASP does
not replace vulnerability detection, while IAST is a powerful tool that
complements other techniques.
- Abstract(参考訳): セキュリティリソースは乏しく、実践者はサイバーセキュリティ業界で利用可能な技術やツールを効果的かつ効率的に利用するためのガイダンスが必要である。
新たな2つのツールタイプであるInteractive Application Security Testing (IAST) とRuntime Application Self-Protection (RASP) は、Dynamic Application Security Testing (DAST) や Static Application Security Testing (SAST) といった確立したツールに対して、十分に評価されていない。
本研究の目的は、さまざまな脆弱性検出・防止技術やツールと比較して、その有効性と効率の分析を通じて、対話型アプリケーションセキュリティテスト(IAST)と実行時アプリケーションセルフプロテクション(RASP)ツールの使用について、実践者がより深い選択をするのを支援することである。
オープンソースJavaベースのオンラインアプリケーションであるOpenMRSにIASTとRASPを適用します。
iastとraspの効率性と有効性について,先行研究におけるopenmrsに適用した手法と比較した。
検出された脆弱性の数とタイプによって効率と有効性を測定する。
本研究は,IASTが他の技術と比較して比較的優れており,効率と有効性の両方において第2位であることを示す。
IASTは8つのTop-10OWASPセキュリティリスクをSMPTで9つ、EMPT、DAST、SASTで7つ検出した。
IASTはSMPTよりも多くの脆弱性を発見した。
IAST (2.14 VpH) の効率はEMPT (2.22 VpH) に次いで第2位である。
これらの結果から,ブラックボックスセキュリティテストを行う際のIASTの有用性が示唆された。
OpenMRSのような大規模でエンタープライズ規模のWebアプリケーションのコンテキストでは、RASPは脆弱性検出を置き換えるものではなく、IASTは他のテクニックを補完する強力なツールである。
関連論文リスト
- Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Active Test-Time Adaptation: Theoretical Analyses and An Algorithm [51.84691955495693]
テスト時間適応(TTA)は、教師なし設定でストリーミングテストデータの分散シフトに対処する。
完全TTA設定内に能動学習を統合する能動テスト時間適応(ATTA)の新たな問題設定を提案する。
論文 参考訳(メタデータ) (2024-04-07T22:31:34Z) - An Extensive Comparison of Static Application Security Testing Tools [1.3927943269211593]
静的アプリケーションセキュリティテストツール(SASTT)は、ソフトウェアアプリケーションのセキュリティと信頼性をサポートするソフトウェア脆弱性を特定する。
いくつかの研究は、偽アラームを発生させる傾向があるため、代替ソリューションがSASTTよりも効果的である可能性を示唆している。
SASTTの評価は、制御されているが合成されたJavaに基づいています。
論文 参考訳(メタデータ) (2024-03-14T09:37:54Z) - The Art of Defending: A Systematic Evaluation and Analysis of LLM
Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。
本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
論文 参考訳(メタデータ) (2023-12-30T17:37:06Z) - A Novel VAPT Algorithm: Enhancing Web Application Security Trough OWASP top 10 Optimization [0.0]
本研究は, サイバーセキュリティ監査に基づいて, 脆弱性評価・浸透試験(VAPT)プロセスを用いたWebアプリケーション(WA)セキュリティ監査のための Open Web Application Security Project (OWASP) Top 10 アルゴリズムの最適化について検討する。
論文 参考訳(メタデータ) (2023-11-17T11:11:21Z) - Certifying LLM Safety against Adversarial Prompting [75.19953634352258]
大規模言語モデル(LLM)は、入力プロンプトに悪意のあるトークンを追加する敵攻撃に対して脆弱である。
我々は,認証された安全保証とともに,敵のプロンプトを防御する最初の枠組みである消去・チェックを導入する。
論文 参考訳(メタデータ) (2023-09-06T04:37:20Z) - AUTO: Adaptive Outlier Optimization for Online Test-Time OOD Detection [81.49353397201887]
オープンソースアプリケーションに機械学習モデルをデプロイするには、アウト・オブ・ディストリビューション(OOD)検出が不可欠だ。
我々は、未ラベルのオンラインデータをテスト時に直接利用してOOD検出性能を向上させる、テスト時OOD検出と呼ばれる新しいパラダイムを導入する。
本稿では,入出力フィルタ,IDメモリバンク,意味的に一貫性のある目的からなる適応外乱最適化(AUTO)を提案する。
論文 参考訳(メタデータ) (2023-03-22T02:28:54Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - AdvCat: Domain-Agnostic Robustness Assessment for Cybersecurity-Critical
Applications with Categorical Inputs [29.907921481157974]
敵攻撃に対する堅牢性は、機械学習のデプロイメントにおける重要な信頼の1つだ。
本稿では,ML駆動型サイバーセキュリティクリティカルな幅広いアプリケーションを対象とした,最適かつ高効率な対向ロバスト性評価プロトコルを提案する。
本研究では,ドメインに依存しないロバスト性評価手法を用いて,偽ニュースの検出と侵入検知問題に関する実験を行った。
論文 参考訳(メタデータ) (2022-12-13T18:12:02Z) - Safe Policy Improvement Approaches and their Limitations [2.596059386610301]
我々は,各文献からの各種安全政策改善(SPI)アプローチを,状態-作用ペアの不確実性を活用した2つのグループに分類する。
彼らの主張が確実に安全であるという主張は成り立たないことを示す。
我々はAdv.-Soft-SPIBBアルゴリズムの適応を開発し、それらが確実に安全であることを示す。
論文 参考訳(メタデータ) (2022-08-01T10:13:03Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。