論文の概要: SoK: A Literature and Engineering Review of Regular Expression Denial of Service

• arxiv url: http://arxiv.org/abs/2406.11618v3
• Date: Thu, 30 Jan 2025 16:42:06 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-31 22:50:03.820568
• Title: SoK: A Literature and Engineering Review of Regular Expression Denial of Service
• Title（参考訳）: SoK: 正規表現否定の文献と工学的レビュー
• Authors: Masudul Hasan Masud Bhuiyan, Berk Çakar, Ethan H. Burmane, James C. Davis, Cristian-Alexandru Staicu,
• Abstract要約: ReDoS(Regular Expression Denial of Service)は、近年注目されている脆弱性クラスである。 実際のシステムに対してReDoSの脆弱性が武器化されるかどうか、またどのように評価されるかは、ほとんど研究されていない。 多くのメインストリームエンジンはReDoSディフェンスを備えており、多くの脅威モデルが陳腐化している。
• 参考スコア（独自算出の注目度）: 10.658712399317041
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Regular Expression Denial of Service (ReDoS) is a vulnerability class that has become prominent in recent years. Attackers can weaponize such weaknesses as part of asymmetric cyberattacks that exploit the slow worst-case matching time of regular expression (regex) engines. In the past, problematic regular expressions have led to outages at Cloudflare and Stack Overflow, showing the severity of the problem. While ReDoS has drawn significant research attention, there has been no systematization of knowledge to delineate the state of the art and identify opportunities for further research. In this paper, we describe the existing knowledge on ReDoS. We first provide a systematic literature review, discussing approaches for detecting, preventing, and mitigating ReDoS vulnerabilities. Then, our engineering review surveys the latest regex engines to examine whether and how ReDoS defenses have been realized. Combining our findings, we observe that (1) in the literature, almost no studies evaluate whether and how ReDoS vulnerabilities can be weaponized against real systems, making it difficult to assess their real-world impact; and (2) from an engineering view, many mainstream regex engines now have ReDoS defenses, rendering many threat models obsolete. We conclude with an extensive discussion, highlighting avenues for future work. The open challenges in ReDoS research are to evaluate emerging defenses and support engineers in migrating to defended engines. We also highlight the parallel between performance bugs and asymmetric DoS, and we argue that future work should capitalize more on this similarity and adopt a more systematic view on ReDoS-like vulnerabilities.
• Abstract（参考訳）: ReDoS(Regular Expression Denial of Service)は、近年注目されている脆弱性クラスである。 攻撃者は、正規表現(regex)エンジンの遅い最悪のマッチング時間を利用する非対称サイバー攻撃の一部として、そのような弱点を兵器化することができる。 これまで、問題のある正規表現はCloudflareとStack Overflowの障害を引き起こし、問題の深刻さを示している。 ReDoSは重要な研究の注目を集めてきたが、最先端の知識を体系化し、さらなる研究の機会を特定できるような知識の体系化は行われていない。 本稿では,ReDoSに関する既存の知識について述べる。 まず、系統的な文献レビューを行い、ReDoS脆弱性を検出し、予防し、緩和するためのアプローチについて議論する。 そして,最新のレジェクスエンジンを調査し,ReDoSの防御が実現されたかどうかを検証した。 その結果,(1)本研究では,ReDoSの脆弱性が現実のシステムに対してどのように武器化され得るかを評価する研究はほとんどなく,その実世界への影響を評価することが困難であること,(2)工学的観点からは,多くの主流のReDoSエンジンがReDoSの防御機能を備えており,多くの脅威モデルが陳腐化していることを観察した。 今後の作業への道のりを強調して、広範な議論で締めくくります。 ReDoS研究におけるオープンな課題は、防衛機関への移行における新興の防衛と支援エンジニアの評価である。 我々はまた、パフォーマンスバグと非対称なDoSの並列性を強調し、将来的な作業は、この類似性をさらに活用し、ReDoSライクな脆弱性に関するより体系的な見解を採用するべきだと論じています。

関連論文リスト

• From Past to Present: A Survey of Malicious URL Detection Techniques, Datasets and Code Repositories [3.323388021979584]
  悪意のあるURLは、ユーザーを騙してプライベートデータを拡散させたり、ホストシステムに侵入するために有害なペイロードを配布することで、サイバーセキュリティエコシステムを絶えず脅かしている。 本稿では,従来のブラックリストから高度なディープラーニングアプローチまで,手法を体系的に分析する。 従来の調査とは違って,既存の研究を主要なデータモダリティに応じて分類する,新しいモダリティに基づく分類法を提案する。
  論文  参考訳（メタデータ） (2025-04-23T06:23:18Z)
• Reasoning-Augmented Conversation for Multi-Turn Jailbreak Attacks on Large Language Models [53.580928907886324]
  Reasoning-Augmented Conversationは、新しいマルチターンジェイルブレイクフレームワークである。 有害なクエリを良心的な推論タスクに再構成する。 RACEは,複雑な会話シナリオにおいて,最先端攻撃の有効性を実現する。
  論文  参考訳（メタデータ） (2025-02-16T09:27:44Z)
• Illusions of Relevance: Using Content Injection Attacks to Deceive Retrievers, Rerankers, and LLM Judges [52.96987928118327]
  検索,リランカー,大型言語モデル(LLM)の埋め込みモデルは,コンテンツインジェクション攻撃に対して脆弱であることがわかった。 主な脅威は,(1) 意味不明な内容や有害な内容の挿入,(2) 関連性を高めるために,問合せ全体あるいはキークエリ用語の挿入,の2つである。 本研究は, 注射内容の配置や関連物質と非関連物質とのバランスなど, 攻撃の成功に影響を与える要因を系統的に検討した。
  論文  参考訳（メタデータ） (2025-01-30T18:02:15Z)
• Jailbreaking and Mitigation of Vulnerabilities in Large Language Models [4.564507064383306]
  大規模言語モデル(LLM)は、自然言語の理解と生成を前進させることで、人工知能を変革した。 これらの進歩にもかかわらず、LSMは、特に注射と脱獄攻撃を急ぐために、かなりの脆弱性を示してきた。 このレビューでは、これらの脆弱性についての研究状況を分析し、利用可能な防衛戦略を提示する。
  論文  参考訳（メタデータ） (2024-10-20T00:00:56Z)
• Harmful Fine-tuning Attacks and Defenses for Large Language Models: A Survey [7.945893812374361]
  本研究の目的は,攻撃設定に関する共通懸念を解消し,研究課題を正式に確立することである。 具体的には、まず、問題の脅威モデルを示し、有害な微調整攻撃とそのバリエーションを紹介する。 最後に,この分野の発展に寄与する可能性のある今後の研究の方向性について概説する。
  論文  参考訳（メタデータ） (2024-09-26T17:55:22Z)
• Humanizing Machine-Generated Content: Evading AI-Text Detection through Adversarial Attack [24.954755569786396]
  そこで本研究では,機械生成コンテンツの小さな摂動を回避して検出を回避すべく,より広いレベルの敵攻撃のためのフレームワークを提案する。 我々は、ホワイトボックスとブラックボックスの2つの攻撃設定を検討し、現在の検出モデルのロバスト性を高める可能性を評価するために、動的シナリオにおける逆学習を採用する。 実験の結果、現在の検出モデルは10秒で妥協でき、機械が生成したテキストを人間の書き起こしコンテンツとして誤分類する結果となった。
  論文  参考訳（メタデータ） (2024-04-02T12:49:22Z)
• ESRO: Experience Assisted Service Reliability against Outages [2.647000585570866]
  私たちは、障害の根本原因と修復を推奨するESROと呼ばれる診断サービスを構築しています。 当社のモデルは,大企業のいくつかのクラウドサービス障害に対して,2年間にわたって評価を行った。
  論文  参考訳（メタデータ） (2023-09-13T18:04:52Z)
• Robust Recommender System: A Survey and Future Directions [58.87305602959857]
  まず,悪質な攻撃や自然騒音に耐える現在の手法を整理するための分類法を提案する。 次に、不正検出、敵の訓練、悪意のある攻撃から守るための確実な堅牢な訓練など、各カテゴリにおける最先端の手法を検討する。 さまざまなレコメンデーションシナリオの堅牢性や,正確性や解釈可能性,プライバシ,公正性といった他の特性との相互作用について論じる。
  論文  参考訳（メタデータ） (2023-09-05T08:58:46Z)
• A LLM Assisted Exploitation of AI-Guardian [57.572998144258705]
  IEEE S&P 2023で発表された敵に対する最近の防衛であるAI-Guardianの堅牢性を評価する。 我々は、このモデルを攻撃するためのコードを書かず、代わりに、GPT-4に命令とガイダンスに従って全ての攻撃アルゴリズムを実装するよう促します。 このプロセスは驚くほど効果的で効率的であり、言語モデルでは、この論文の著者が実行したよりも高速に曖昧な命令からコードを生成することもあった。
  論文  参考訳（メタデータ） (2023-07-20T17:33:25Z)
• IsoEx: an explainable unsupervised approach to process event logs cyber investigation [0.0]
  本稿では,異常および潜在的に問題のあるコマンド行を検出するための新しい手法であるIsoExを提案する。 異常を検出するために、IsoExは高度に敏感かつ軽量な教師なしの異常検出技術を利用する。
  論文  参考訳（メタデータ） (2023-06-07T14:22:41Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Verifying the Robustness of Automatic Credibility Assessment [50.55687778699995]
  入力テキストにおける意味保存的変化がモデルを誤解させる可能性があることを示す。 また、誤情報検出タスクにおける被害者モデルと攻撃方法の両方をテストするベンチマークであるBODEGAについても紹介する。 我々の実験結果によると、現代の大規模言語モデルは、以前のより小さなソリューションよりも攻撃に対して脆弱であることが多い。
  論文  参考訳（メタデータ） (2023-03-14T16:11:47Z)
• Wild Patterns Reloaded: A Survey of Machine Learning Security against Training Data Poisoning [32.976199681542845]
  我々は、機械学習における中毒攻撃と防御の包括的体系化を提供する。 私たちはまず、現在の脅威モデルと攻撃を分類し、それに従って既存の防衛を組織化します。 我々は、我々の体系化は、他のデータモダリティに対する最先端の攻撃や防御も含んでいると論じている。
  論文  参考訳（メタデータ） (2022-05-04T11:00:26Z)
• Threat of Adversarial Attacks on Deep Learning in Computer Vision: Survey II [86.51135909513047]
  ディープラーニングは、予測を操作できる敵攻撃に対して脆弱である。 本稿では,ディープラーニングに対する敵対的攻撃におけるコンピュータビジョンコミュニティの貢献を概観する。 この領域では、非専門家に技術的な用語の定義を提供する。
  論文  参考訳（メタデータ） (2021-08-01T08:54:47Z)
• Inspect, Understand, Overcome: A Survey of Practical Methods for AI Safety [54.478842696269304]
  安全クリティカルなアプリケーションにディープニューラルネットワーク(DNN)を使用することは、多数のモデル固有の欠点のために困難です。 近年,これらの安全対策を目的とした最先端技術動物園が出現している。 本稿は、機械学習の専門家と安全エンジニアの両方に対処する。
  論文  参考訳（メタデータ） (2021-04-29T09:54:54Z)
• Improving DGA-Based Malicious Domain Classifiers for Malware Defense with Adversarial Machine Learning [0.9023847175654603]
  ドメイン生成アルゴリズム(DGA)は、サイバー攻撃中にコマンドアンドコントロール(C&C)サーバー通信を確立するために、敵によって使用されます。 既知のc&cドメインのブラックリストは、しばしば防御機構の1つとして使用される。 敵対的機械学習を用いたマルウェア関連ドメインファミリーの生成手法を提案する。
  論文  参考訳（メタデータ） (2021-01-02T22:04:22Z)
• Backdoor Learning: A Survey [75.59571756777342]
  バックドア攻撃はディープニューラルネットワーク(DNN)に隠れたバックドアを埋め込む バックドア学習は、急速に成長する研究分野である。 本稿では,この領域を包括的に調査する。
  論文  参考訳（メタデータ） (2020-07-17T04:09:20Z)
• Adversarial Attacks and Defenses on Graphs: A Review, A Tool and Empirical Studies [73.39668293190019]
  敵攻撃は入力に対する小さな摂動によって容易に騙される。 グラフニューラルネットワーク(GNN)がこの脆弱性を継承することを実証している。 本調査では,既存の攻撃と防御を分類し,対応する最先端の手法を概観する。
  論文  参考訳（メタデータ） (2020-03-02T04:32:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。