論文の概要: AIM: Automated Input Set Minimization for Metamorphic Security Testing
- arxiv url: http://arxiv.org/abs/2402.10773v1
- Date: Fri, 16 Feb 2024 15:54:58 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-19 15:28:10.516247
- Title: AIM: Automated Input Set Minimization for Metamorphic Security Testing
- Title(参考訳): aim: メタモルフィックセキュリティテストのための自動入力セットの最小化
- Authors: Nazanin Bayati Chaleshtari, Yoann Marquer, Fabrizio Pastore, and
Lionel C. Briand
- Abstract要約: 脆弱性検出機能を保ちながら、テストコストを削減するために入力を自動的に選択するアプローチであるAIMを提案する。
AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。
また、検索スペースを減らし、最小化プロセスを高速化する問題削減コンポーネントも備えている。
- 参考スコア(独自算出の注目度): 9.232277700524786
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: For Web systems, which are accessible to any machine connected to internet,
security is a critical concern. Although security testing can be automated by
generating crafted inputs as an attacker would do, solutions to automate the
test oracle, i.e., distinguishing correct from incorrect outputs for a given
input, remain preliminary. Specifically, previous work has demonstrated the
potential of metamorphic testing; indeed, security failures can be determined
by metamorphic relations that turn valid inputs into malicious inputs and
compare their outputs. However, without further guidance, metamorphic relations
should be executed on a very large set of valid inputs, which is time consuming
and makes metamorphic testing impractical. Hence, in this study, we propose
AIM, an approach that automatically selects inputs to reduce testing costs
while preserving vulnerability detection capabilities. AIM includes a
clustering-based black box approach, identifying similar inputs based on their
security properties. It also presents a novel genetic algorithm able to
efficiently select diverse inputs while minimizing their total cost. Further,
it contains a problem reduction component to reduce the search space and speed
up the minimization process. We evaluated the effectiveness of AIM on two
well-known web systems, Jenkins and Joomla. We compared AIM's results with four
baselines in security testing. Overall, AIM reduced MRs execution time by 84
percent for Jenkins and 82 percent for Joomla while preserving full
vulnerability detection. Furthermore, AIM outperformed all the considered
baselines regarding vulnerability coverage. Although it has been tuned to work
with Web system inputs, AIM could be applied to minimize metamorphic testing
cost in other contexts.
- Abstract(参考訳): インターネットに接続されたあらゆるマシンにアクセス可能なWebシステムにとって、セキュリティは重要な懸念事項である。
セキュリティテストは攻撃者が行うように工芸的なインプットを生成することで自動化できるが、テストオラクルを自動化するソリューション、すなわち与えられたインプットの間違ったアウトプットと正しく区別するソリューションは予備的のままである。
実際、セキュリティの失敗は、有効な入力を悪意のある入力に変換し、それらの出力を比較するメタモルフィックな関係によって決定できる。
しかし、それ以上のガイダンスがなければ、メタモルフィックな関係は、非常に大きな有効な入力セット上で実行されるべきであり、これは時間がかかり、メタモルフィックなテストは現実的ではない。
そこで本研究では,脆弱性検出機能を維持しつつ,テストコストを削減するために入力を自動的に選択するAIMを提案する。
AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。
また、コストを最小化しながら、多様な入力を効率的に選択できる新しい遺伝的アルゴリズムを提案する。
さらに、探索空間を縮小し、最小化処理を高速化するための問題低減成分を含む。
我々は、JenkinsとJoomlaの2つの有名なWebシステムにおけるAIMの有効性を評価した。
セキュリティテストでは,AIMの結果と4つのベースラインを比較した。
全体として、aimはjenkinsのmrs実行時間を84%削減し、joomlaでは82%削減した。
さらに、AIMは脆弱性カバレッジに関して考慮されたベースラインをすべて上回った。
Webシステム入力で動作するように調整されているが、他のコンテキストでのメタモルフィックテストコストを最小限に抑えるためにAIMを適用することができる。
関連論文リスト
- MKF-ADS: Multi-Knowledge Fusion Based Self-supervised Anomaly Detection System for Control Area Network [9.305680247704542]
制御エリアネットワーク(英: Control Area Network, CAN)は、車両ネットワークにおける電子制御ユニット(ECU)間の通信プロトコルである。
CANは、本質的にセキュリティ上のリスクのために、厳しいセキュリティ上の課題に直面している。
本稿では,MKF-ADSと呼ばれる自己教師付き多知識融合異常検出モデルを提案する。
論文 参考訳(メタデータ) (2024-03-07T07:40:53Z) - LuaTaint: A Static Taint Analysis System for Web Interface Framework
Vulnerability of IoT Devices [27.921983463280043]
我々は,一般的なWebインターフェースフレームワークであるLuaTaint用に,LuaTaintと呼ばれる自動脆弱性検出システムを開発した。
LuTaintは、モバイル端末プラットフォームのWebセキュリティ問題に対処し、検出カバレッジを確保するために、静的なテナント分析を使用している。
LuaTaintのプロトタイプを開発し、8つの有名なベンダの92のIoTファームウェアでテストしました。
論文 参考訳(メタデータ) (2024-02-25T09:52:02Z) - Camouflage is all you need: Evaluating and Enhancing Language Model
Robustness Against Camouflage Adversarial Attacks [53.87300498478744]
自然言語処理(NLP)における敵攻撃の意義
本研究は、脆弱性評価とレジリエンス向上という2つの異なる段階において、この課題を体系的に探求する。
結果として、パフォーマンスとロバスト性の間のトレードオフが示唆され、いくつかのモデルは、ロバスト性を確保しながら、同様のパフォーマンスを維持している。
論文 参考訳(メタデータ) (2024-02-15T10:58:22Z) - Towards Reliable AI: Adequacy Metrics for Ensuring the Quality of
System-level Testing of Autonomous Vehicles [5.634825161148484]
我々は、"Test suite Instance Space Adequacy"(TISA)メトリクスと呼ばれる一連のブラックボックステストの精度指標を紹介します。
TISAメトリクスは、テストスイートの多様性とカバレッジと、テスト中に検出されたバグの範囲の両方を評価する手段を提供する。
AVのシステムレベルのシミュレーションテストにおいて検出されたバグ数との相関を検証し,TISA測定の有効性を評価する。
論文 参考訳(メタデータ) (2023-11-14T10:16:05Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - DARTH: Holistic Test-time Adaptation for Multiple Object Tracking [87.72019733473562]
複数物体追跡(MOT)は、自律運転における知覚システムの基本的構成要素である。
運転システムの安全性の追求にもかかわらず、テスト時間条件における領域シフトに対するMOT適応問題に対する解決策は提案されていない。
我々はMOTの総合的なテスト時間適応フレームワークであるDARTHを紹介する。
論文 参考訳(メタデータ) (2023-10-03T10:10:42Z) - Getting pwn'd by AI: Penetration Testing with Large Language Models [0.0]
本稿では,GPT3.5のような大規模言語モデルによるAIスパーリングパートナーによる浸透テストの強化の可能性について検討する。
セキュリティテストの課題のためのハイレベルなタスクプランニングと、脆弱な仮想マシン内での低レベルな脆弱性ハンティングである。
論文 参考訳(メタデータ) (2023-07-24T19:59:22Z) - Evaluation of Parameter-based Attacks against Embedded Neural Networks
with Laser Injection [1.2499537119440245]
この研究は、レーザ断層注入を用いた32ビットのCortex-Mマイクロコントローラ上で、ビットフリップ攻撃(BFA)の成功例を実際に報告した。
非現実的なブルートフォース戦略を避けるために、レーザ断層モデルを考慮したパラメータから最も敏感なビット群を選択するのにシミュレーションがどのように役立つかを示す。
論文 参考訳(メタデータ) (2023-04-25T14:48:58Z) - SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video
Games Using Risk Based Testing and Machine Learning [62.997667081978825]
従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。
自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。
この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
論文 参考訳(メタデータ) (2022-03-10T00:47:46Z) - Trojaning Language Models for Fun and Profit [53.45727748224679]
TROJAN-LMは、悪質に製作されたLMがホストNLPシステムを故障させる新しいタイプのトロイの木馬攻撃である。
セキュリティクリティカルなNLPタスクにおいて、3つの最先端のLMを実証的に研究することにより、TROJAN-LMが以下の特性を持つことを示す。
論文 参考訳(メタデータ) (2020-08-01T18:22:38Z) - FCOS: A simple and strong anchor-free object detector [111.87691210818194]
物体検出を画素ごとの予測方式で解くために, 完全畳み込み型一段物検出器 (FCOS) を提案する。
RetinaNet、SSD、YOLOv3、Faster R-CNNといった最先端のオブジェクト検出器のほとんどは、事前に定義されたアンカーボックスに依存している。
対照的に、提案した検出器FCOSはアンカーボックスフリーであり、提案はフリーである。
論文 参考訳(メタデータ) (2020-06-14T01:03:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。