論文の概要: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug Unearthing

• arxiv url: http://arxiv.org/abs/2403.03897v1
• Date: Wed, 6 Mar 2024 17:57:03 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-07 14:04:23.165337
• Title: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug Unearthing
• Title（参考訳）: Fuzzing BusyBox: 組み込みバグにLCMとクラッシュリユースを活用する
• Authors: Asmita, Yaroslav Oliinyk, Michael Scott, Ryan Tsang, Chongzhou Fang, Houman Homayoun
• Abstract要約: BusyBoxの脆弱性は、はるかに大きな結果をもたらす可能性がある。 この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにした。 ソフトウェアテストの強化のための2つのテクニックを紹介します。
• 参考スコア（独自算出の注目度）: 2.4287247817521096
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: BusyBox, an open-source software bundling over 300 essential Linux commands into a single executable, is ubiquitous in Linux-based embedded devices. Vulnerabilities in BusyBox can have far-reaching consequences, affecting a wide array of devices. This research, driven by the extensive use of BusyBox, delved into its analysis. The study revealed the prevalence of older BusyBox versions in real-world embedded products, prompting us to conduct fuzz testing on BusyBox. Fuzzing, a pivotal software testing method, aims to induce crashes that are subsequently scrutinized to uncover vulnerabilities. Within this study, we introduce two techniques to fortify software testing. The first technique enhances fuzzing by leveraging Large Language Models (LLM) to generate target-specific initial seeds. Our study showed a substantial increase in crashes when using LLM-generated initial seeds, highlighting the potential of LLM to efficiently tackle the typically labor-intensive task of generating target-specific initial seeds. The second technique involves repurposing previously acquired crash data from similar fuzzed targets before initiating fuzzing on a new target. This approach streamlines the time-consuming fuzz testing process by providing crash data directly to the new target before commencing fuzzing. We successfully identified crashes in the latest BusyBox target without conducting traditional fuzzing, emphasizing the effectiveness of LLM and crash reuse techniques in enhancing software testing and improving vulnerability detection in embedded systems. Additionally, manual triaging was performed to identify the nature of crashes in the latest BusyBox.
• Abstract（参考訳）: 300以上のLinuxコマンドを単一の実行ファイルにバンドルするオープンソースソフトウェアであるBusyBoxは、Linuxベースの組み込みデバイスでユビキタスである。 BusyBoxの脆弱性は、広範囲のデバイスに影響を及ぼす。 この研究はBusyBoxの広範な利用によって推進され、その分析を掘り下げた。 この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにし、BusyBoxでファジテストを行うきっかけとなった。 重要なソフトウェアテスト手法であるFuzzingは、その後脆弱性を明らかにするために精査されたクラッシュを誘発することを目的としている。 本研究では,ソフトウェアテストを強化する2つの手法を紹介する。 最初のテクニックは、大きな言語モデル(llm)を利用してターゲット固有の初期種を生成することで、ファジングを強化する。 本研究は, LLM生成初期種子を用いた場合, 衝突が著しく増加し, 目標特異的初期種子の生成という典型的な労働集約的な課題に, LLMが効果的に取り組む可能性を強調した。 2つめのテクニックは、以前取得したクラッシュデータを同じファズドターゲットから再提案し、新しいターゲットにファズリングを開始することである。 このアプローチは、fuzzingを開始する前に、クラッシュデータを新しいターゲットに直接提供することで、時間を要するfuzzテストプロセスを合理化する。 従来のファジィ処理を行なわずに最新のBusyBoxターゲットのクラッシュを識別し,ソフトウェアテストの改善と組込みシステムにおける脆弱性検出の改善にLLMとクラッシュ再利用技術の有効性を強調した。 さらに、最新のBusyBoxにおけるクラッシュの性質を特定するために手動のトリアージが行われた。

関連論文リスト

• A Code Knowledge Graph-Enhanced System for LLM-Based Fuzz Driver Generation [29.490817477791357]
  ファジドライバ生成プロセスを自動化するために,コード知識グラフをインテリジェントエージェントと統合する新しいシステムであるCodeGraphGPTを提案する。 ファズドライバ生成をコード生成タスクとしてフレーミングすることで、CodeGraphGPTはプログラム分析を活用して、コードリポジトリの知識グラフを構築する。 我々は8つのオープンソースプロジェクトでCodeGraphGPTを評価し、最先端の手法と比較してコードカバレッジが平均8.73%向上した。
  論文  参考訳（メタデータ） (2024-11-18T12:41:16Z)
• Pipe-Cleaner: Flexible Fuzzing Using Security Policies [0.07499722271664144]
  Pipe-CleanerはCコードの脆弱性を検出し解析するシステムである。 これは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいている。 いくつかのヒープ関連のセキュリティ脆弱性に対して、このアプローチの可能性を実証する。
  論文  参考訳（メタデータ） (2024-10-31T23:35:22Z)
• Aligning LLMs to Be Robust Against Prompt Injection [55.07562650579068]
  インジェクション攻撃に対してLCMをより堅牢にするための強力なツールとしてアライメントが有効であることを示す。 私たちのメソッド -- SecAlign -- は、最初に、プロンプトインジェクション攻撃をシミュレートしてアライメントデータセットを構築します。 実験の結果,SecAlign は LLM を大幅に強化し,モデルの実用性に悪影響を及ぼすことが示された。
  論文  参考訳（メタデータ） (2024-10-07T19:34:35Z)
• FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
  我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。 FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
  論文  参考訳（メタデータ） (2024-09-03T14:40:31Z)
• FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
  この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。 このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
  論文  参考訳（メタデータ） (2024-07-19T14:43:35Z)
• Are you still on track!? Catching LLM Task Drift with Activations [55.75645403965326]
  タスクドリフトは攻撃者がデータを流出させたり、LLMの出力に影響を与えたりすることを可能にする。 そこで, 簡易線形分類器は, 分布外テストセット上で, ほぼ完全なLOC AUCでドリフトを検出することができることを示す。 このアプローチは、プロンプトインジェクション、ジェイルブレイク、悪意のある指示など、目に見えないタスクドメインに対して驚くほどうまく一般化する。
  論文  参考訳（メタデータ） (2024-06-02T16:53:21Z)
• Revisiting Neural Program Smoothing for Fuzzing [8.861172379630899]
  本稿では,標準グレーボックスファザに対するNPSファザの最も広範囲な評価について述べる。 我々はNuzz++を実装し、NPSファジィの実用的限界に対処することで性能が向上することを示す。 MLベースファジィの簡易かつ再現可能な評価のためのGPUアクセスプラットフォームであるMLFuzzを提案する。
  論文  参考訳（メタデータ） (2023-09-28T17:17:11Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。