論文の概要: AIM: Automated Input Set Minimization for Metamorphic Security Testing

• arxiv url: http://arxiv.org/abs/2402.10773v2
• Date: Wed, 21 Feb 2024 18:35:27 GMT
• ステータス: 処理完了
• システム内更新日: 2024-02-22 18:33:26.348705
• Title: AIM: Automated Input Set Minimization for Metamorphic Security Testing
• Title（参考訳）: aim: メタモルフィックセキュリティテストのための自動入力セットの最小化
• Authors: Nazanin Bayati Chaleshtari, Yoann Marquer, Fabrizio Pastore, and Lionel C. Briand
• Abstract要約: 脆弱性検出機能を保ちながら、テストコストを削減するために入力を自動的に選択するアプローチであるAIMを提案する。 AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。 また、コストを最小化しながら、多様な入力を効率的に選択できる新しい遺伝的アルゴリズムにも依存している。
• 参考スコア（独自算出の注目度）: 9.232277700524786
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Although the security testing of Web systems can be automated by generating crafted inputs, solutions to automate the test oracle, i.e., distinguishing correct from incorrect outputs, remain preliminary. Specifically, previous work has demonstrated the potential of metamorphic testing; indeed, security failures can be determined by metamorphic relations that turn valid inputs into malicious inputs. However, without further guidance, metamorphic relations are typically executed on a large set of inputs, which is time-consuming and thus makes metamorphic testing impractical. We propose AIM, an approach that automatically selects inputs to reduce testing costs while preserving vulnerability detection capabilities. AIM includes a clustering-based black box approach, to identify similar inputs based on their security properties. It also relies on a novel genetic algorithm able to efficiently select diverse inputs while minimizing their total cost. Further, it contains a problem-reduction component to reduce the search space and speed up the minimization process. We evaluated the effectiveness of AIM on two well-known Web systems, Jenkins and Joomla, with documented vulnerabilities. We compared AIM's results with four baselines. Overall, AIM reduced metamorphic testing time by 84% for Jenkins and 82% for Joomla, while preserving vulnerability detection. Furthermore, AIM outperformed all the considered baselines regarding vulnerability coverage.
• Abstract（参考訳）: Webシステムのセキュリティテストは、クラフトインプットを生成して自動化することができるが、テストオラクルを自動化するソリューション、すなわち正しい出力と正しく区別するソリューションは、まだ予備的なままである。 実際、セキュリティの失敗は、有効な入力を悪意のある入力に変換するメタモルフィックな関係によって決定できる。 しかしながら、さらなるガイダンスなしでは、メタモルフィックな関係は通常、多くの入力セットで実行されるため、時間を要するため、メタモルフィックなテストは実用的ではない。 脆弱性検出機能を保ちながら、テストコストを削減するために入力を自動的に選択するアプローチであるAIMを提案する。 AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。 また、コストを最小化しながら、多様な入力を効率的に選択できる新しい遺伝的アルゴリズムにも依存している。 さらに、探索空間を縮小し、最小化処理を高速化するための問題還元成分を含む。 我々は、文書化された脆弱性で有名な2つのWebシステム、JenkinsとJoomlaにおけるAIMの有効性を評価した。 AIMの結果を4つの基準線と比較した。 全体として、AIMは、脆弱性検出を保ちながら、Jenkinsで84%、Joomlaで82%のメタモルフィックテスト時間を短縮した。 さらに、AIMは脆弱性カバレッジに関して考慮されたベースラインをすべて上回った。

関連論文リスト

• AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
  LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。 以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
  論文  参考訳（メタデータ） (2024-11-02T13:24:30Z)
• Palisade -- Prompt Injection Detection Framework [0.9620910657090188]
  大規模言語モデルは、悪意のあるインジェクション攻撃に対して脆弱である。 本稿では,新しいNLPを用いたインジェクション検出手法を提案する。 階層化された入力スクリーニングプロセスを通じて精度と最適化を強調する。
  論文  参考訳（メタデータ） (2024-10-28T15:47:03Z)
• PenHeal: A Two-Stage LLM Framework for Automated Pentesting and Optimal Remediation [18.432274815853116]
  PenHealは2段階のLSMベースのフレームワークで、自律的に脆弱性を特定してセキュリティを確保する。 本稿では,LLMベースの2段階フレームワークであるPenHealについて紹介する。
  論文  参考訳（メタデータ） (2024-07-25T05:42:14Z)
• Comparison of Static Application Security Testing Tools and Large Language Models for Repo-level Vulnerability Detection [11.13802281700894]
  静的アプリケーションセキュリティテスト(SAST)は通常、セキュリティ脆弱性のソースコードをスキャンするために使用される。 ディープラーニング(DL)ベースの手法は、ソフトウェア脆弱性検出の可能性を実証している。 本稿では,ソフトウェア脆弱性を検出するために,15種類のSASTツールと12種類の最先端のオープンソースLLMを比較した。
  論文  参考訳（メタデータ） (2024-07-23T07:21:14Z)
• Camouflage is all you need: Evaluating and Enhancing Language Model Robustness Against Camouflage Adversarial Attacks [53.87300498478744]
  自然言語処理(NLP)における敵攻撃の意義 本研究は、脆弱性評価とレジリエンス向上という2つの異なる段階において、この課題を体系的に探求する。 結果として、パフォーマンスとロバスト性の間のトレードオフが示唆され、いくつかのモデルは、ロバスト性を確保しながら、同様のパフォーマンスを維持している。
  論文  参考訳（メタデータ） (2024-02-15T10:58:22Z)
• Static Semantics Reconstruction for Enhancing JavaScript-WebAssembly Multilingual Malware Detection [51.15122099046214]
  WebAssemblyを使うと、攻撃者は言語間の相互運用でJavaScriptマルウェアの悪意のある機能を隠せる。 JavaScriptとWebAssembly間の複雑な相互運用とセマンティックな多様性のため、JavaScript-WebAssemblyマルチ言語マルウェア(JWMM)の検出は難しい。 本稿では,JWMMの静的検出を高速化する最初の手法であるJWBinderを紹介する。
  論文  参考訳（メタデータ） (2023-10-26T10:59:45Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• Getting pwn'd by AI: Penetration Testing with Large Language Models [0.0]
  本稿では,GPT3.5のような大規模言語モデルによるAIスパーリングパートナーによる浸透テストの強化の可能性について検討する。 セキュリティテストの課題のためのハイレベルなタスクプランニングと、脆弱な仮想マシン内での低レベルな脆弱性ハンティングである。
  論文  参考訳（メタデータ） (2023-07-24T19:59:22Z)
• Anomaly Detection Based on Selection and Weighting in Latent Space [73.01328671569759]
  SWADと呼ばれる新しい選択および重み付けに基づく異常検出フレームワークを提案する。 ベンチマークと実世界のデータセットによる実験は、SWADの有効性と優位性を示している。
  論文  参考訳（メタデータ） (2021-03-08T10:56:38Z)
• FCOS: A simple and strong anchor-free object detector [111.87691210818194]
  物体検出を画素ごとの予測方式で解くために, 完全畳み込み型一段物検出器 (FCOS) を提案する。 RetinaNet、SSD、YOLOv3、Faster R-CNNといった最先端のオブジェクト検出器のほとんどは、事前に定義されたアンカーボックスに依存している。 対照的に、提案した検出器FCOSはアンカーボックスフリーであり、提案はフリーである。
  論文  参考訳（メタデータ） (2020-06-14T01:03:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。