論文の概要: SoK: A Literature and Engineering Review of Regular Expression Denial of Service
- arxiv url: http://arxiv.org/abs/2406.11618v2
- Date: Fri, 6 Sep 2024 15:52:43 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-09 20:13:58.204461
- Title: SoK: A Literature and Engineering Review of Regular Expression Denial of Service
- Title(参考訳): SoK: 正規表現否定の文献と工学的レビュー
- Authors: Masudul Hasan Masud Bhuiyan, Berk Çakar, Ethan H Burmane, James C Davis, Cristian-Alexandru Staicu,
- Abstract要約: 正規表現拒否(ReDoS)は非対称なサイバー攻撃であり、近年顕著になっている。
この攻撃は、正規表現(regex)エンジンの遅い最悪のケースマッチング時間を利用する。
これまで、問題のある正規表現はCloudflareとStack Overflowで機能停止を引き起こしていた。
- 参考スコア(独自算出の注目度): 10.658712399317041
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Regular expression denial of service (ReDoS) is an asymmetric cyberattack that has become prominent in recent years. This attack exploits the slow worst-case matching time of regular expression (regex) engines. In the past, problematic regular expressions have led to outages at Cloudflare and Stack Overflow, showing the severity of the problem. While ReDoS has drawn significant research attention, there has been no systematization of knowledge to delineate the state of the art and identify opportunities for further research. In this paper, we describe the existing knowledge on ReDoS. We first provide a systematic literature review, dividing works into two classes: measurement studies and defenses. Then, our engineering review surveys the latest regex engines to examine whether and how ReDoS defenses have been realized. Combining our findings, we observe that (1) in the literature, almost no studies evaluate whether and how ReDoS vulnerabilities can be weaponized against real systems, making it difficult to assess their real-world impact; and (2) from an engineering view, many mainstream regex engines now have ReDoS defenses, rendering many threat models obsolete. The open challenges in ReDoS research are to evaluate the emerging defenses, and to support engineers in migrating to defended engines. To support these directions, we conclude by presenting the wrk-redos tool. This tool supports controlled measurements of ReDoS on a web service, and includes proof-of-concept Docker images that allow engineers to substitute different regex engines in their applications.
- Abstract(参考訳): 正規表現拒否(ReDoS)は非対称なサイバー攻撃であり、近年顕著になっている。
この攻撃は、正規表現(regex)エンジンの遅い最悪のケースマッチング時間を利用する。
これまで、問題のある正規表現はCloudflareとStack Overflowの障害を引き起こし、問題の深刻さを示している。
ReDoSは重要な研究の注目を集めてきたが、最先端の知識を体系化し、さらなる研究の機会を特定できるような知識の体系化は行われていない。
本稿では,ReDoSに関する既存の知識について述べる。
まず、文献を2つのクラスに分けて、計測研究と防衛の2つのクラスに分けて、体系的な文献レビューを行う。
そして,最新のレジェクスエンジンを調査し,ReDoSの防御が実現されたかどうかを検証した。
その結果,(1)本研究では,ReDoSの脆弱性が現実のシステムに対してどのように武器化され得るかを評価する研究はほとんどなく,その実世界への影響を評価することが困難であること,(2)工学的観点からは,多くの主流のReDoSエンジンがReDoSの防御機能を備えており,多くの脅威モデルが陳腐化していることを観察した。
ReDoS研究におけるオープンな課題は、新興防衛の評価と、防衛エンジンへの移行におけるエンジニアの支援である。
これらの方向を支援するために、wrk-redosツールを提示する。
このツールは、Webサービス上でのReDoSの制御された測定をサポートし、エンジニアがアプリケーションに異なるregexエンジンを置換できる概念実証Dockerイメージを含んでいる。
関連論文リスト
- Beyond Behaviorist Representational Harms: A Plan for Measurement and Mitigation [1.7355698649527407]
本研究は,現在定義されている表現的害の定義に焦点をあてて,含まないものと含まないものを識別する。
私たちの研究は、表現的害を繰り返すための大きな言語モデルのユニークな脆弱性を強調します。
本研究の目的は,表現的害の定義を拡大するための枠組みを確立することである。
論文 参考訳(メタデータ) (2024-01-25T00:54:10Z) - Review on the Feasibility of Adversarial Evasion Attacks and Defenses
for Network Intrusion Detection Systems [0.7829352305480285]
最近の研究は、サイバーセキュリティ分野における多くの懸念を提起している。
機械学習アルゴリズムに基づくセキュリティシステムに対する攻撃の可能性について研究する研究者が増えている。
論文 参考訳(メタデータ) (2023-03-13T11:00:05Z) - Measuring Equality in Machine Learning Security Defenses: A Case Study
in Speech Recognition [56.69875958980474]
この研究は、学習したシステムを守るためのアプローチと、異なるサブ人口間でのセキュリティ防衛がパフォーマンス上の不平等をもたらす方法を検討する。
提案された多くの手法は、虚偽の拒絶やロバストネストレーニングの不平等といった直接的な害を引き起こす可能性がある。
本稿では, ランダム化スムースメントとニューラルリジェクションの2つの防御法の比較を行い, マイノリティ集団のサンプリング機構により, ランダム化スムースメントがより公平であることを見出した。
論文 参考訳(メタデータ) (2023-02-17T16:19:26Z) - Fact-Saboteurs: A Taxonomy of Evidence Manipulation Attacks against
Fact-Verification Systems [80.3811072650087]
証拠のクレームサレントスニペットを微調整し,多様かつクレームアラインな証拠を生成することが可能であることを示す。
この攻撃は、主張のポストホックな修正に対しても堅牢である。
これらの攻撃は、インスペクタブルとヒューマン・イン・ザ・ループの使用シナリオに有害な影響を及ぼす可能性がある。
論文 参考訳(メタデータ) (2022-09-07T13:39:24Z) - A Unified Evaluation of Textual Backdoor Learning: Frameworks and
Benchmarks [72.7373468905418]
我々は,テキストバックドア学習の実装と評価を促進するオープンソースツールキットOpenBackdoorを開発した。
また,単純なクラスタリングに基づく防御ベースラインであるCUBEを提案する。
論文 参考訳(メタデータ) (2022-06-17T02:29:23Z) - A Survey on Gradient Inversion: Attacks, Defenses and Future Directions [81.46745643749513]
われわれはGradInvに関する包括的調査を行い、最先端の研究を要約し、異なる領域の地平を広げることを目的としている。
まず,既存攻撃を反復攻撃と再帰攻撃という2つのパラダイムに特徴付けることによって,GradInv攻撃の分類法を提案する。
第2に、GradInv攻撃に対する新たな防衛戦略を要約する。これらのアプローチは、データの隠蔽、モデル改善、勾配保護に関する3つの視点に焦点を当てている。
論文 参考訳(メタデータ) (2022-06-15T03:52:51Z) - Wild Patterns Reloaded: A Survey of Machine Learning Security against
Training Data Poisoning [32.976199681542845]
我々は、機械学習における中毒攻撃と防御の包括的体系化を提供する。
私たちはまず、現在の脅威モデルと攻撃を分類し、それに従って既存の防衛を組織化します。
我々は、我々の体系化は、他のデータモダリティに対する最先端の攻撃や防御も含んでいると論じている。
論文 参考訳(メタデータ) (2022-05-04T11:00:26Z) - Poisoning Attacks and Defenses on Artificial Intelligence: A Survey [3.706481388415728]
データ中毒攻撃は、トレーニングフェーズ中にモデルに供給されたデータサンプルを改ざんして、推論フェーズ中にモデルの精度を低下させる攻撃の一種である。
この研究は、この種の攻撃に対処する最新の文献で見つかった最も関連性の高い洞察と発見をまとめたものである。
実環境下での幅広いMLモデルに対するデータ中毒の影響を比較検討し,本研究の徹底的な評価を行った。
論文 参考訳(メタデータ) (2022-02-21T14:43:38Z) - A Review of Adversarial Attack and Defense for Classification Methods [78.50824774203495]
本稿では,敵対的事例の生成と保護に焦点をあてる。
この論文は、多くの統計学者が、この重要かつエキサイティングな分野において、敵の事例を生成・防御することを奨励するものである。
論文 参考訳(メタデータ) (2021-11-18T22:13:43Z) - Adversarial Machine Learning in Image Classification: A Survey Towards
the Defender's Perspective [1.933681537640272]
逆の例は、悪意のある最適化アルゴリズムによって生成される微妙な摂動を含む画像である。
ディープラーニングアルゴリズムは、生体認証システムや自動運転車など、セキュリティクリティカルなアプリケーションで使われてきた。
論文 参考訳(メタデータ) (2020-09-08T13:21:55Z) - Adversarial Attacks and Defenses on Graphs: A Review, A Tool and
Empirical Studies [73.39668293190019]
敵攻撃は入力に対する小さな摂動によって容易に騙される。
グラフニューラルネットワーク(GNN)がこの脆弱性を継承することを実証している。
本調査では,既存の攻撃と防御を分類し,対応する最先端の手法を概観する。
論文 参考訳(メタデータ) (2020-03-02T04:32:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。