論文の概要: On the Effectiveness of Function-Level Vulnerability Detectors for
Inter-Procedural Vulnerabilities
- arxiv url: http://arxiv.org/abs/2401.09767v1
- Date: Thu, 18 Jan 2024 07:32:11 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-19 17:30:57.827809
- Title: On the Effectiveness of Function-Level Vulnerability Detectors for
Inter-Procedural Vulnerabilities
- Title(参考訳): 機能レベル脆弱性検出器の手続き間脆弱性に対する有効性について
- Authors: Zhen Li, Ning Wang, Deqing Zou, Yating Li, Ruqian Zhang, Shouhuai Xu,
Chao Zhang, Hai Jin
- Abstract要約: VulTriggerという,関数間の脆弱性の追跡を行うツールを提案する。
実験の結果、VulTriggerは脆弱性トリガステートメントとプロセス間脆弱性を効果的に識別できることがわかった。
その結果, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器は, (i) 機能レベルの脆弱性検出器が, プロセス間の脆弱性の接触する機能を検出するのにはるかに効果的であることがわかった。
- 参考スコア(独自算出の注目度): 28.57872406228216
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Software vulnerabilities are a major cyber threat and it is important to
detect them. One important approach to detecting vulnerabilities is to use deep
learning while treating a program function as a whole, known as function-level
vulnerability detectors. However, the limitation of this approach is not
understood. In this paper, we investigate its limitation in detecting one class
of vulnerabilities known as inter-procedural vulnerabilities, where the
to-be-patched statements and the vulnerability-triggering statements belong to
different functions. For this purpose, we create the first Inter-Procedural
Vulnerability Dataset (InterPVD) based on C/C++ open-source software, and we
propose a tool dubbed VulTrigger for identifying vulnerability-triggering
statements across functions. Experimental results show that VulTrigger can
effectively identify vulnerability-triggering statements and inter-procedural
vulnerabilities. Our findings include: (i) inter-procedural vulnerabilities are
prevalent with an average of 2.8 inter-procedural layers; and (ii)
function-level vulnerability detectors are much less effective in detecting
to-be-patched functions of inter-procedural vulnerabilities than detecting
their counterparts of intra-procedural vulnerabilities.
- Abstract(参考訳): ソフトウェアの脆弱性は大きなサイバー脅威であり、それらを検出することが重要である。
脆弱性を検出するための重要なアプローチの1つは、プログラム機能全体を処理しながらディープラーニングを使用することである。
しかし、このアプローチの限界は理解されていない。
本稿では,プロセス間脆弱性(inter-procedural vulnerabilities)として知られる1種類の脆弱性を検出する際の限界について検討する。
この目的のために,c/c++オープンソースソフトウェアに基づく最初のプロセス間脆弱性データセット(interpvd)を作成し,vultriggerと呼ばれる関数間の脆弱性トリガーステートメントを識別するツールを提案する。
実験の結果、VulTriggerは脆弱性トリガステートメントとプロセス間脆弱性を効果的に識別できることがわかった。
私たちの発見には
(i)プロセス間脆弱性は、平均2.8層のプロセス間脆弱性と共用する。
(ii) 機能レベルの脆弱性検出装置は,手続き内脆弱性を検知するよりも,プロセス間脆弱性のパッチ対象の機能検出に効果が低い。
関連論文リスト
- C2P-CLIP: Injecting Category Common Prompt in CLIP to Enhance Generalization in Deepfake Detection [98.34703790782254]
本稿では、カテゴリ共通プロンプトCLIPを紹介し、カテゴリ共通プロンプトをテキストエンコーダに統合し、カテゴリ関連概念をイメージエンコーダに注入する。
提案手法は,テスト中に追加パラメータを導入することなく,元のCLIPと比較して検出精度が12.41%向上した。
論文 参考訳(メタデータ) (2024-08-19T02:14:25Z) - VulEval: Towards Repository-Level Evaluation of Software Vulnerability Detection [14.312197590230994]
textbfVulEvalという名前のリポジトリレベルの評価システムは、プロセス間およびプロセス内脆弱性の検出性能を同時に評価することを目的としている。
VulEvalは大規模データセットで構成され、合計で4,196のCVEエントリ、232,239の関数、および対応する4,699のリポジトリレベルのソースコードがC/C++プログラミング言語に含まれる。
論文 参考訳(メタデータ) (2024-04-24T02:16:11Z) - Enhancing Code Vulnerability Detection via Vulnerability-Preserving Data Augmentation [29.72520866016839]
ソースコードの脆弱性検出は、潜在的な攻撃からソフトウェアシステムを保護するための固有の脆弱性を特定することを目的としている。
多くの先行研究は、様々な脆弱性の特徴を見落とし、問題をバイナリ(0-1)分類タスクに単純化した。
FGVulDetは、さまざまな脆弱性タイプの特徴を識別するために複数の分類器を使用し、その出力を組み合わせて特定の脆弱性タイプを特定する。
FGVulDetはGitHubの大規模なデータセットでトレーニングされており、5種類の脆弱性を含んでいる。
論文 参考訳(メタデータ) (2024-04-15T09:10:52Z) - LOTUS: Evasive and Resilient Backdoor Attacks through Sub-Partitioning [49.174341192722615]
バックドア攻撃は、ディープラーニングアプリケーションに重大なセキュリティ脅威をもたらす。
近年の研究では、特殊な変換機能によって作られたサンプル特異的に見えないトリガーを用いた攻撃が導入されている。
我々は、回避性とレジリエンスの両方に対処するために、新しいバックドアアタックLOTUSを導入する。
論文 参考訳(メタデータ) (2024-03-25T21:01:29Z) - Toward Improved Deep Learning-based Vulnerability Detection [6.212044762686268]
データセットの脆弱性は、コード行、関数、あるいは脆弱性が存在するプログラムスライスなど、特定の方法で表現する必要がある。
検出器は、基地ユニットがどのように脆弱であるかを学び、その後、他の基地ユニットが脆弱かどうかを予測する。
我々は、個々のベースユニットに焦点をあてることが、複数のベースユニットにまたがる脆弱性を正しく検出する検出器の能力を損なうと仮定した。
本研究は,MBU脆弱性の適切な適用に向けて,DLベースの検出を支援するためのフレームワークについて紹介する。
論文 参考訳(メタデータ) (2024-03-05T14:57:28Z) - The Vulnerability Is in the Details: Locating Fine-grained Information of Vulnerable Code Identified by Graph-based Detectors [33.395068754566935]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Mate! Are You Really Aware? An Explainability-Guided Testing Framework
for Robustness of Malware Detectors [49.34155921877441]
マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。
次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。
我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
論文 参考訳(メタデータ) (2021-11-19T08:02:38Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities [47.748732208602355]
Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
論文 参考訳(メタデータ) (2020-06-30T18:49:18Z) - $\mu$VulDeePecker: A Deep Learning-Based System for Multiclass
Vulnerability Detection [24.98991662345816]
VulDeePeckerと呼ばれるマルチクラス脆弱性検出のための,最初のディープラーニングベースのシステムを提案する。
関連スポンサーコンテンツ $mu$VulDeePeckerの根底にある重要な洞察は、コードアテンションの概念です。
実験によると、$mu$VulDeePeckerはマルチクラスの脆弱性検出に有効であり、制御依存性の調整がより高い検出能力をもたらす可能性がある。
論文 参考訳(メタデータ) (2020-01-08T01:47:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。