論文の概要: Path-wise Vulnerability Mitigation
- arxiv url: http://arxiv.org/abs/2405.16372v1
- Date: Sat, 25 May 2024 22:58:37 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-05-28 21:47:39.487439
- Title: Path-wise Vulnerability Mitigation
- Title(参考訳): パスワイズ脆弱性軽減
- Authors: Zhen Huang, Hristina Dokic,
- Abstract要約: 本稿では,プログラムパスのレベルで緩和パッチを生成し挿入するPAVERという手法について述べる。
各候補パッチ位置について、PAVERは緩和パッチを生成して挿入し、パッチされたプログラムをテストして副作用を評価する。
実世界の脆弱性に対するPAVERのプロトタイプを評価し,我々のパスワイド脆弱性軽減パッチが副作用を最小限に抑えることを示す。
- 参考スコア(独自算出の注目度): 3.105656247358225
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Software vulnerabilities are prevalent but fixing software vulnerabilities is not trivial. Studies have shown that a considerable prepatch window exists because it often takes weeks or months for software vendors to fix a vulnerability. Existing approaches aim to reduce the pre-patch window by generating and applying mitigation patches that prevent adversaries from exploiting vulnerabilities rather than fix vulnerabilities. Because mitigation patches typically terminate the execution of vulnerability-triggering program paths at the level of functions, they can have significant side-effects. This paper describes an approach called PAVER that generates and inserts mitigation patches at the level of program paths, i.e. path-wise vulnerability mitigation patches, in order to reduce their side-effects. PAVER generates a program path graph that includes the paths leading to vulnerabilities and the control dependencies on these paths, then identifies candidate patch locations based on the program path graph. For each candidate patch location, PAVER generates and inserts a mitigation patch, and tests the patched program to assess the side-effect of the patch. It ranks the patches by the extent of their side-effects. We evaluates the prototype of PAVER on real world vulnerabilities and the evaluation shows that our path-wise vulnerability mitigation patches can achieve minimum side-effects.
- Abstract(参考訳): ソフトウェアの脆弱性は多いが、ソフトウェアの脆弱性を修正することは簡単ではない。
ソフトウェアベンダーが脆弱性を修正するのに数週間または数ヶ月かかることが多いため、かなりのプレパッチウィンドウが存在することが研究で示されている。
既存のアプローチは、脆弱性を修正するのではなく、敵が脆弱性を悪用することを防ぐための緩和パッチの生成と適用によって、パッチ前のウィンドウを削減することを目的としている。
緩和パッチは典型的には関数レベルでの脆弱性追跡プログラムパスの実行を終了するので、大きな副作用が生じる可能性がある。
本稿では,プログラムパスのレベル,すなわちパスワイド脆弱性軽減パッチの生成と挿入を行うPAVERという手法について述べる。
PAVERは、脆弱性につながるパスとこれらのパスに対する制御依存性を含むプログラムパスグラフを生成し、プログラムパスグラフに基づいて、候補パッチ位置を特定する。
各候補パッチ位置について、PAVERは緩和パッチを生成して挿入し、パッチの副作用を評価するためにパッチプログラムをテストする。
パッチは副作用の程度でランク付けする。
実世界の脆弱性に対するPAVERのプロトタイプを評価し,我々のパスワイド脆弱性軽減パッチが副作用を最小限に抑えることを示す。
関連論文リスト
- All Patches Matter, More Patches Better: Enhance AI-Generated Image Detection via Panoptic Patch Learning [76.79222779026634]
我々は、系統解析によるAIGI検出の2つの重要な原則を確立する。
textbf(1) All Patches Matter: 識別的特徴が対象中心領域に集中する従来の画像分類とは異なり、AIGIのそれぞれのパッチは、一様生成プロセスによる合成アーティファクトを本質的に含んでいる。
textbf (2) パッチの改善: より多くのパッチで分散アーティファクトを活用することで、補完的な法医学的証拠をキャプチャすることで検出が改善される。
textbfPanoptic textbfPatch textbfLearning (PPL)フレームワーク。
論文 参考訳(メタデータ) (2025-04-02T06:32:09Z) - Improving the Context Length and Efficiency of Code Retrieval for Tracing Security Vulnerability Fixes [1.3606495556399092]
脆弱性管理における重要な課題は、脆弱性を修正するパッチをトレースすることだ。
これまでの研究によると、脆弱性データベースにはパッチ情報が欠落していることが多い。
SITPatchTracerはスケーラブルな全文検索システムである。
論文 参考訳(メタデータ) (2025-03-29T01:53:07Z) - Stealthy Patch-Wise Backdoor Attack in 3D Point Cloud via Curvature Awareness [52.07366900097567]
バックドア攻撃はディープニューラルネットワーク(DNN)に深刻な脅威をもたらす
既存の3Dポイントのクラウドバックドア攻撃は、主にサンプルワイドなグローバルな修正に依存している。
本稿では,最初のパッチワイズトリガを3Dポイントクラウドに適用したSPBA(Stalthy Patch-Wise Backdoor Attack)を提案する。
論文 参考訳(メタデータ) (2025-03-12T12:30:59Z) - ReF Decompile: Relabeling and Function Call Enhanced Decompile [50.86228893636785]
逆コンパイルの目標は、コンパイルされた低レベルコード(アセンブリコードなど)を高レベルプログラミング言語に変換することである。
このタスクは、脆弱性識別、マルウェア分析、レガシーソフトウェアマイグレーションなど、さまざまなリバースエンジニアリングアプリケーションをサポートする。
論文 参考訳(メタデータ) (2025-02-17T12:38:57Z) - Layer-Level Self-Exposure and Patch: Affirmative Token Mitigation for Jailbreak Attack Defense [55.77152277982117]
私たちは、jailbreak攻撃から防御するために設計された方法であるLayer-AdvPatcherを紹介します。
私たちは、自己拡張データセットを通じて、大規模言語モデル内の特定のレイヤにパッチを適用するために、未学習の戦略を使用します。
我々の枠組みは、脱獄攻撃の有害性と攻撃の成功率を減らす。
論文 参考訳(メタデータ) (2025-01-05T19:06:03Z) - Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。
無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。
本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
論文 参考訳(メタデータ) (2024-09-13T03:23:11Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - PatUntrack: Automated Generating Patch Examples for Issue Reports without Tracked Insecure Code [6.6821370571514525]
脆弱性のあるイシューレポート(IR)からパッチ例を自動的に生成するPatUntrackを提案する。
脆弱性のあるIRからVTP(Vulnerability-Triggering Path)の完全な記述を生成する。
その後、VTP記述の幻覚を外部の黄金の知識で修正する。
最後に、修正されたVTP記述に基づいて、セキュリティコードとパッチサンプルのTop-Kペアを生成する。
論文 参考訳(メタデータ) (2024-08-16T09:19:27Z) - PPT4J: Patch Presence Test for Java Binaries [15.297767260561491]
近年,オープンソースソフトウェアに報告されている脆弱性の数は大幅に増加している。
対象のバイナリにパッチを適用するかどうかをテストする能力、すなわちパッチの存在テストは、実践者にとって不可欠である。
PPT4J(textbfP$atch $textbfP$resence $textbfT$est $textbffor$textbfJ$ava Binaries)という新しいパッチ存在テストフレームワークを提案する。
論文 参考訳(メタデータ) (2023-12-18T08:28:13Z) - Patch-CLIP: A Patch-Text Pre-Trained Model [6.838615442552715]
パッチ表現学習は、ソフトウェア生成における機械学習の機能を活用するために必要な研究の方向性として登場した。
紹介する。
Theweak-CLIPは、パッチと自然言語テキストのための新しい事前トレーニングフレームワークである。
私たちはそれを示します。
Theweak-CLIPは、新しい最先端のパフォーマンスを設定し、BLEU、ROUGE-L、METEOR、リコールといったメトリクスにおける最先端のパフォーマンスを一貫して上回る。
論文 参考訳(メタデータ) (2023-10-19T14:00:19Z) - CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。
本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。
脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
論文 参考訳(メタデータ) (2023-10-04T02:08:18Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - PatchGuard: A Provably Robust Defense against Adversarial Patches via
Small Receptive Fields and Masking [46.03749650789915]
画像の制限領域内の画素を任意に修正することで、機械学習モデルの誤分類を誘発することを目的としている。
そこで我々はPatchGuardという汎用防衛フレームワークを提案する。このフレームワークは、局所的な敵パッチに対して高い清潔さを維持しつつ、高い堅牢性を達成できる。
論文 参考訳(メタデータ) (2020-05-17T03:38:34Z) - Adversarial Training against Location-Optimized Adversarial Patches [84.96938953835249]
反対のパッチ: 明らかに見えますが 反対に作られた長方形のパッチです
まず、画像内の位置を積極的に最適化しながら、相手パッチを得るための実践的なアプローチを考案する。
CIFAR10とGTSRBでは,これらの位置最適化された対向パッチに対して対向トレーニングを適用し,ロバスト性を著しく向上した。
論文 参考訳(メタデータ) (2020-05-05T16:17:00Z) - Certified Defenses for Adversarial Patches [72.65524549598126]
敵パッチ攻撃は、現実世界のコンピュータビジョンシステムに対する最も実用的な脅威モデルの一つである。
本稿では,パッチアタックに対する認証と実証的防御について検討する。
論文 参考訳(メタデータ) (2020-03-14T19:57:31Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。