論文の概要: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug
Unearthing
- arxiv url: http://arxiv.org/abs/2403.03897v1
- Date: Wed, 6 Mar 2024 17:57:03 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-07 14:04:23.165337
- Title: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug
Unearthing
- Title(参考訳): Fuzzing BusyBox: 組み込みバグにLCMとクラッシュリユースを活用する
- Authors: Asmita, Yaroslav Oliinyk, Michael Scott, Ryan Tsang, Chongzhou Fang,
Houman Homayoun
- Abstract要約: BusyBoxの脆弱性は、はるかに大きな結果をもたらす可能性がある。
この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにした。
ソフトウェアテストの強化のための2つのテクニックを紹介します。
- 参考スコア(独自算出の注目度): 2.4287247817521096
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: BusyBox, an open-source software bundling over 300 essential Linux commands
into a single executable, is ubiquitous in Linux-based embedded devices.
Vulnerabilities in BusyBox can have far-reaching consequences, affecting a wide
array of devices. This research, driven by the extensive use of BusyBox, delved
into its analysis. The study revealed the prevalence of older BusyBox versions
in real-world embedded products, prompting us to conduct fuzz testing on
BusyBox. Fuzzing, a pivotal software testing method, aims to induce crashes
that are subsequently scrutinized to uncover vulnerabilities. Within this
study, we introduce two techniques to fortify software testing. The first
technique enhances fuzzing by leveraging Large Language Models (LLM) to
generate target-specific initial seeds. Our study showed a substantial increase
in crashes when using LLM-generated initial seeds, highlighting the potential
of LLM to efficiently tackle the typically labor-intensive task of generating
target-specific initial seeds. The second technique involves repurposing
previously acquired crash data from similar fuzzed targets before initiating
fuzzing on a new target. This approach streamlines the time-consuming fuzz
testing process by providing crash data directly to the new target before
commencing fuzzing. We successfully identified crashes in the latest BusyBox
target without conducting traditional fuzzing, emphasizing the effectiveness of
LLM and crash reuse techniques in enhancing software testing and improving
vulnerability detection in embedded systems. Additionally, manual triaging was
performed to identify the nature of crashes in the latest BusyBox.
- Abstract(参考訳): 300以上のLinuxコマンドを単一の実行ファイルにバンドルするオープンソースソフトウェアであるBusyBoxは、Linuxベースの組み込みデバイスでユビキタスである。
BusyBoxの脆弱性は、広範囲のデバイスに影響を及ぼす。
この研究はBusyBoxの広範な利用によって推進され、その分析を掘り下げた。
この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにし、BusyBoxでファジテストを行うきっかけとなった。
重要なソフトウェアテスト手法であるFuzzingは、その後脆弱性を明らかにするために精査されたクラッシュを誘発することを目的としている。
本研究では,ソフトウェアテストを強化する2つの手法を紹介する。
最初のテクニックは、大きな言語モデル(llm)を利用してターゲット固有の初期種を生成することで、ファジングを強化する。
本研究は, LLM生成初期種子を用いた場合, 衝突が著しく増加し, 目標特異的初期種子の生成という典型的な労働集約的な課題に, LLMが効果的に取り組む可能性を強調した。
2つめのテクニックは、以前取得したクラッシュデータを同じファズドターゲットから再提案し、新しいターゲットにファズリングを開始することである。
このアプローチは、fuzzingを開始する前に、クラッシュデータを新しいターゲットに直接提供することで、時間を要するfuzzテストプロセスを合理化する。
従来のファジィ処理を行なわずに最新のBusyBoxターゲットのクラッシュを識別し,ソフトウェアテストの改善と組込みシステムにおける脆弱性検出の改善にLLMとクラッシュ再利用技術の有効性を強調した。
さらに、最新のBusyBoxにおけるクラッシュの性質を特定するために手動のトリアージが行われた。
関連論文リスト
- Semi-supervised Open-World Object Detection [74.95267079505145]
半教師付きオープンワールド検出(SS-OWOD)という,より現実的な定式化を導入する。
提案したSS-OWOD設定では,最先端OWOD検出器の性能が劇的に低下することが実証された。
我々は,MS COCO, PASCAL, Objects365, DOTAの4つのデータセットを用いた実験を行い, 提案手法の有効性を実証した。
論文 参考訳(メタデータ) (2024-02-25T07:12:51Z) - Revisiting Neural Program Smoothing for Fuzzing [8.861172379630899]
本稿では,標準グレーボックスファザに対するNPSファザの最も広範囲な評価について述べる。
我々はNuzz++を実装し、NPSファジィの実用的限界に対処することで性能が向上することを示す。
MLベースファジィの簡易かつ再現可能な評価のためのGPUアクセスプラットフォームであるMLFuzzを提案する。
論文 参考訳(メタデータ) (2023-09-28T17:17:11Z) - Vulnerability Detection Through an Adversarial Fuzzing Algorithm [2.074079789045646]
本プロジェクトは,ファザがより多くの経路を探索し,短時間でより多くのバグを発見できるようにすることにより,既存のファザの効率を向上させることを目的としている。
逆法は、より効率的なファジィングのためのテストケースを生成するために、現在の進化アルゴリズムの上に構築されている。
論文 参考訳(メタデータ) (2023-07-21T21:46:28Z) - Overload: Latency Attacks on Object Detection for Edge Devices [60.10849291279201]
本稿では,ディープラーニングアプリケーションに対する遅延攻撃について検討する。
誤分類に対する一般的な敵攻撃とは異なり、遅延攻撃の目標は推論時間を増やすことである。
遅延攻撃では、通常の設定に対して1枚の画像の推測時間が10倍長くなることが示される。
論文 参考訳(メタデータ) (2023-04-11T17:24:31Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - MAPS: A Noise-Robust Progressive Learning Approach for Source-Free
Domain Adaptive Keypoint Detection [76.97324120775475]
クロスドメインキーポイント検出方法は、常に適応中にソースデータにアクセスする必要がある。
本稿では、ターゲット領域に十分に訓練されたソースモデルのみを提供する、ソースフリーなドメイン適応キーポイント検出について考察する。
論文 参考訳(メタデータ) (2023-02-09T12:06:08Z) - FuSeBMC v4: Improving code coverage with smart seeds via BMC, fuzzing
and static analysis [2.792964753261107]
FuSeBMC v4は、種子を有用な性質で合成するテストジェネレータである。
FuSeBMCは、まず所定のCプログラムにゴールラベルをインクリメンタルにインジェクションすることで機能する。
論文 参考訳(メタデータ) (2022-06-28T15:13:37Z) - D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using
Differential Analysis [55.15995704119158]
静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。
D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
論文 参考訳(メタデータ) (2021-02-16T07:46:53Z) - DeFuzz: Deep Learning Guided Directed Fuzzing [41.61500799890691]
本稿では,DeFuzzというソフトウェア脆弱性検出のための,ディープラーニング(DL)誘導指向ファズリングを提案する。
DeFuzzには2つの主要なスキームが含まれている。 1) 潜在的に脆弱な機能と位置(脆弱性のあるアドレス)を特定するために、トレーニング済みのDL予測モデルを使用する。
正確には、Bidirectional-LSTM (BiLSTM) を用いて注意語を識別し、その脆弱性はこれらの注意語に関連付けられている。
論文 参考訳(メタデータ) (2020-10-23T03:44:03Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。