論文の概要: AIM: Automated Input Set Minimization for Metamorphic Security Testing
- arxiv url: http://arxiv.org/abs/2402.10773v1
- Date: Fri, 16 Feb 2024 15:54:58 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-19 15:28:10.516247
- Title: AIM: Automated Input Set Minimization for Metamorphic Security Testing
- Title(参考訳): aim: メタモルフィックセキュリティテストのための自動入力セットの最小化
- Authors: Nazanin Bayati Chaleshtari, Yoann Marquer, Fabrizio Pastore, and
Lionel C. Briand
- Abstract要約: 脆弱性検出機能を保ちながら、テストコストを削減するために入力を自動的に選択するアプローチであるAIMを提案する。
AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。
また、検索スペースを減らし、最小化プロセスを高速化する問題削減コンポーネントも備えている。
- 参考スコア(独自算出の注目度): 9.232277700524786
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: For Web systems, which are accessible to any machine connected to internet,
security is a critical concern. Although security testing can be automated by
generating crafted inputs as an attacker would do, solutions to automate the
test oracle, i.e., distinguishing correct from incorrect outputs for a given
input, remain preliminary. Specifically, previous work has demonstrated the
potential of metamorphic testing; indeed, security failures can be determined
by metamorphic relations that turn valid inputs into malicious inputs and
compare their outputs. However, without further guidance, metamorphic relations
should be executed on a very large set of valid inputs, which is time consuming
and makes metamorphic testing impractical. Hence, in this study, we propose
AIM, an approach that automatically selects inputs to reduce testing costs
while preserving vulnerability detection capabilities. AIM includes a
clustering-based black box approach, identifying similar inputs based on their
security properties. It also presents a novel genetic algorithm able to
efficiently select diverse inputs while minimizing their total cost. Further,
it contains a problem reduction component to reduce the search space and speed
up the minimization process. We evaluated the effectiveness of AIM on two
well-known web systems, Jenkins and Joomla. We compared AIM's results with four
baselines in security testing. Overall, AIM reduced MRs execution time by 84
percent for Jenkins and 82 percent for Joomla while preserving full
vulnerability detection. Furthermore, AIM outperformed all the considered
baselines regarding vulnerability coverage. Although it has been tuned to work
with Web system inputs, AIM could be applied to minimize metamorphic testing
cost in other contexts.
- Abstract(参考訳): インターネットに接続されたあらゆるマシンにアクセス可能なWebシステムにとって、セキュリティは重要な懸念事項である。
セキュリティテストは攻撃者が行うように工芸的なインプットを生成することで自動化できるが、テストオラクルを自動化するソリューション、すなわち与えられたインプットの間違ったアウトプットと正しく区別するソリューションは予備的のままである。
実際、セキュリティの失敗は、有効な入力を悪意のある入力に変換し、それらの出力を比較するメタモルフィックな関係によって決定できる。
しかし、それ以上のガイダンスがなければ、メタモルフィックな関係は、非常に大きな有効な入力セット上で実行されるべきであり、これは時間がかかり、メタモルフィックなテストは現実的ではない。
そこで本研究では,脆弱性検出機能を維持しつつ,テストコストを削減するために入力を自動的に選択するAIMを提案する。
AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。
また、コストを最小化しながら、多様な入力を効率的に選択できる新しい遺伝的アルゴリズムを提案する。
さらに、探索空間を縮小し、最小化処理を高速化するための問題低減成分を含む。
我々は、JenkinsとJoomlaの2つの有名なWebシステムにおけるAIMの有効性を評価した。
セキュリティテストでは,AIMの結果と4つのベースラインを比較した。
全体として、aimはjenkinsのmrs実行時間を84%削減し、joomlaでは82%削減した。
さらに、AIMは脆弱性カバレッジに関して考慮されたベースラインをすべて上回った。
Webシステム入力で動作するように調整されているが、他のコンテキストでのメタモルフィックテストコストを最小限に抑えるためにAIMを適用することができる。
関連論文リスト
- AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。
以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
論文 参考訳(メタデータ) (2024-11-02T13:24:30Z) - Palisade -- Prompt Injection Detection Framework [0.9620910657090188]
大規模言語モデルは、悪意のあるインジェクション攻撃に対して脆弱である。
本稿では,新しいNLPを用いたインジェクション検出手法を提案する。
階層化された入力スクリーニングプロセスを通じて精度と最適化を強調する。
論文 参考訳(メタデータ) (2024-10-28T15:47:03Z) - PenHeal: A Two-Stage LLM Framework for Automated Pentesting and Optimal Remediation [18.432274815853116]
PenHealは2段階のLSMベースのフレームワークで、自律的に脆弱性を特定してセキュリティを確保する。
本稿では,LLMベースの2段階フレームワークであるPenHealについて紹介する。
論文 参考訳(メタデータ) (2024-07-25T05:42:14Z) - Comparison of Static Application Security Testing Tools and Large Language Models for Repo-level Vulnerability Detection [11.13802281700894]
静的アプリケーションセキュリティテスト(SAST)は通常、セキュリティ脆弱性のソースコードをスキャンするために使用される。
ディープラーニング(DL)ベースの手法は、ソフトウェア脆弱性検出の可能性を実証している。
本稿では,ソフトウェア脆弱性を検出するために,15種類のSASTツールと12種類の最先端のオープンソースLLMを比較した。
論文 参考訳(メタデータ) (2024-07-23T07:21:14Z) - Camouflage is all you need: Evaluating and Enhancing Language Model
Robustness Against Camouflage Adversarial Attacks [53.87300498478744]
自然言語処理(NLP)における敵攻撃の意義
本研究は、脆弱性評価とレジリエンス向上という2つの異なる段階において、この課題を体系的に探求する。
結果として、パフォーマンスとロバスト性の間のトレードオフが示唆され、いくつかのモデルは、ロバスト性を確保しながら、同様のパフォーマンスを維持している。
論文 参考訳(メタデータ) (2024-02-15T10:58:22Z) - Static Semantics Reconstruction for Enhancing JavaScript-WebAssembly Multilingual Malware Detection [51.15122099046214]
WebAssemblyを使うと、攻撃者は言語間の相互運用でJavaScriptマルウェアの悪意のある機能を隠せる。
JavaScriptとWebAssembly間の複雑な相互運用とセマンティックな多様性のため、JavaScript-WebAssemblyマルチ言語マルウェア(JWMM)の検出は難しい。
本稿では,JWMMの静的検出を高速化する最初の手法であるJWBinderを紹介する。
論文 参考訳(メタデータ) (2023-10-26T10:59:45Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Getting pwn'd by AI: Penetration Testing with Large Language Models [0.0]
本稿では,GPT3.5のような大規模言語モデルによるAIスパーリングパートナーによる浸透テストの強化の可能性について検討する。
セキュリティテストの課題のためのハイレベルなタスクプランニングと、脆弱な仮想マシン内での低レベルな脆弱性ハンティングである。
論文 参考訳(メタデータ) (2023-07-24T19:59:22Z) - Anomaly Detection Based on Selection and Weighting in Latent Space [73.01328671569759]
SWADと呼ばれる新しい選択および重み付けに基づく異常検出フレームワークを提案する。
ベンチマークと実世界のデータセットによる実験は、SWADの有効性と優位性を示している。
論文 参考訳(メタデータ) (2021-03-08T10:56:38Z) - FCOS: A simple and strong anchor-free object detector [111.87691210818194]
物体検出を画素ごとの予測方式で解くために, 完全畳み込み型一段物検出器 (FCOS) を提案する。
RetinaNet、SSD、YOLOv3、Faster R-CNNといった最先端のオブジェクト検出器のほとんどは、事前に定義されたアンカーボックスに依存している。
対照的に、提案した検出器FCOSはアンカーボックスフリーであり、提案はフリーである。
論文 参考訳(メタデータ) (2020-06-14T01:03:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。