論文の概要: Game Rewards Vulnerabilities: Software Vulnerability Detection with
Zero-Sum Game and Prototype Learning
- arxiv url: http://arxiv.org/abs/2401.08131v1
- Date: Tue, 16 Jan 2024 05:50:42 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-17 15:03:07.133566
- Title: Game Rewards Vulnerabilities: Software Vulnerability Detection with
Zero-Sum Game and Prototype Learning
- Title(参考訳): ゲーム報酬脆弱性:ゼロサムゲームとプロトタイプ学習によるソフトウェア脆弱性検出
- Authors: Xin-Cheng Wen, Cuiyun Gao, Xinchen Wang, Ruiqi Wang, Tao Zhang, and
Qing Liao
- Abstract要約: 本稿では,ソフトのvulneRability dEteCtion フレームワークと zerO-sum ゲーム,プロトタイプの LearNing,RECON を提案する。
我々はRECONが6.29%のF1スコアで最先端のベースラインを上回っていることを示す。
- 参考スコア(独自算出の注目度): 17.787508315322906
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Recent years have witnessed a growing focus on automated software
vulnerability detection. Notably, deep learning (DL)-based methods, which
employ source code for the implicit acquisition of vulnerability patterns, have
demonstrated superior performance compared to other approaches. However, the
DL-based approaches are still hard to capture the vulnerability-related
information from the whole code snippet, since the vulnerable parts usually
account for only a small proportion. As evidenced by our experiments, the
approaches tend to excessively emphasize semantic information, potentially
leading to limited vulnerability detection performance in practical scenarios.
First, they cannot well distinguish between the code snippets before (i.e.,
vulnerable code) and after (i.e., non-vulnerable code) developers' fixes due to
the minimal code changes. Besides, substituting user-defined identifiers with
placeholders (e.g., "VAR1" and "FUN1") in obvious performance degradation at up
to 14.53% with respect to the F1 score. To mitigate these issues, we propose to
leverage the vulnerable and corresponding fixed code snippets, in which the
minimal changes can provide hints about semantic-agnostic features for
vulnerability detection. In this paper, we propose a software vulneRability
dEteCtion framework with zerO-sum game and prototype learNing, named RECON. In
RECON, we propose a zero-sum game construction module. Distinguishing the
vulnerable code from the corresponding fixed code is regarded as one player
(i.e. Calibrator), while the conventional vulnerability detection is another
player (i.e. Detector) in the zero-sum game. The goal is to capture the
semantic-agnostic features of the first player for enhancing the second
player's performance for vulnerability detection. Experiments on the public
benchmark dataset show that RECON outperforms the state-of-the-art baseline by
6.29% in F1 score.
- Abstract(参考訳): 近年,ソフトウェア脆弱性の自動検出に注目が集まっている。
特に、脆弱性パターンの暗黙的な取得にソースコードを使用するディープラーニング(DL)ベースの手法は、他の手法と比較して優れたパフォーマンスを示している。
しかし、DLベースのアプローチは、脆弱性に関連する情報をコードスニペット全体から取得するのは難しい。
我々の実験で証明されたように、アプローチは意味情報を過度に強調する傾向にあり、実用的なシナリオでは脆弱性検出性能が制限される可能性がある。
まず、コードスニペット(つまり、脆弱なコード)と、最小限のコード変更で修正された後(つまり、破壊不能なコード)を区別することはできません。
さらに、ユーザー定義識別子をプレースホルダー(例えば「VAR1」や「FUN1」など)に置換することで、F1スコアに対して最大14.53%のパフォーマンス低下が明らかとなる。
これらの問題を緩和するため、脆弱性検出のためのセマンティックな機能に関するヒントを最小限の変更で提供できる、脆弱で対応する固定コードスニペットを活用することを提案する。
本稿では,zerO-sumゲームとプロトタイプLearNingを用いたソフトウェアvulneRability dEteCtionフレームワークRECONを提案する。
ReCONではゼロサムゲーム構築モジュールを提案する。
脆弱性検出はゼロサムゲームにおいて別のプレイヤー(つまりディテクター)であるのに対し、対応する固定コードから脆弱性コードを切り離すことは一つのプレイヤー(キャリブレータ)と見なされる。
目標は、脆弱性検出のための第2のプレイヤーのパフォーマンスを向上させるために、第1のプレイヤーのセマンティックな特徴を捉えることである。
公開ベンチマークデータセットの実験によると、RECONは最先端のベースラインを6.29%上回っている。
関連論文リスト
- LLM-Enhanced Static Analysis for Precise Identification of Vulnerable OSS Versions [12.706661324384319]
オープンソースソフトウェア(OSS)は、そのコラボレーティブな開発モデルとコスト効果の性質から、人気が高まっている。
開発プロジェクトにおける特定のソフトウェアバージョンの採用は、これらのバージョンが脆弱性をもたらす場合にセキュリティリスクをもたらす可能性がある。
脆弱性のあるバージョンを識別する現在の方法は、通常、事前に定義されたルールで静的解析を使用して、脆弱性パッチに関わるコードを分析してトレースする。
本稿では,C/C++で記述されたOSSの脆弱なバージョンを特定するために,Vercationを提案する。
論文 参考訳(メタデータ) (2024-08-14T06:43:06Z) - FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [54.27040631527217]
削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。
まず、自然言語における暗号関数のセマンティクスを要約するために、バイナリ大言語モデル(FoC-BinLLM)を構築した。
次に、FoC-BinLLM上にバイナリコード類似モデル(FoC-Sim)を構築し、変更に敏感な表現を作成し、データベース内の未知の暗号関数の類似実装を検索する。
論文 参考訳(メタデータ) (2024-03-27T09:45:33Z) - The Vulnerability Is in the Details: Locating Fine-grained Information of Vulnerable Code Identified by Graph-based Detectors [33.395068754566935]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Transformer-based Vulnerability Detection in Code at EditTime:
Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。
美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
論文 参考訳(メタデータ) (2023-05-23T01:21:55Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - Statement-Level Vulnerability Detection: Learning Vulnerability Patterns Through Information Theory and Contrastive Learning [31.15123852246431]
本稿では,特定の関数の脆弱性関連コード文を特定するために,エンドツーエンドのディープラーニングに基づく新しいアプローチを提案する。
実世界の脆弱なコードで観測される構造にインスパイアされ、私たちはまず、潜伏変数の集合を学習するために相互情報を活用する。
そこで我々は,表現学習をさらに改善するために,新しいクラスタ型空間コントラスト学習を提案する。
論文 参考訳(メタデータ) (2022-09-20T00:46:20Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - Detection as Regression: Certified Object Detection by Median Smoothing [50.89591634725045]
この研究は、ランダム化平滑化による認定分類の最近の進歩によって動機付けられている。
我々は、$ell$-bounded攻撃に対するオブジェクト検出のための、最初のモデル非依存、トレーニング不要、認定された防御条件を得る。
論文 参考訳(メタデータ) (2020-07-07T18:40:19Z) - Instance-aware, Context-focused, and Memory-efficient Weakly Supervised
Object Detection [184.563345153682]
我々は、弱教師付き学習のためのインスタンス認識とコンテキスト重視の統合フレームワークを開発する。
メモリ効率の高いシーケンシャルバッチバックプロパゲーションを考案しながら、インスタンス対応の自己学習アルゴリズムと学習可能なコンクリートドロップブロックを採用している。
提案手法はCOCO(12.1% AP$、24.8% AP_50$)、VOC 2007(54.9% AP$)、VOC 2012(52.1% AP$)の最先端結果である。
論文 参考訳(メタデータ) (2020-04-09T17:57:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。