論文の概要: Usefulness of data flow diagrams and large language models for security threat validation: a registered report
- arxiv url: http://arxiv.org/abs/2408.07537v1
- Date: Wed, 14 Aug 2024 13:14:27 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-15 13:14:29.196856
- Title: Usefulness of data flow diagrams and large language models for security threat validation: a registered report
- Title(参考訳): データフロー図と大規模言語モデルのセキュリティ脅威検証における有用性:登録報告
- Authors: Winnie Bahati Mbaka, Katja Tuma,
- Abstract要約: 脅威分析とリスクアセスメントは、新しいオードシステムのセキュリティ脅威を特定するために使用される。
完了の定義が欠如しているため、特定された脅威を検証する必要があるため、分析が遅くなる。
既存の文献では、脅威分析の全体的なパフォーマンスに焦点が当てられているが、これまでの研究では、アナリストが特定されたセキュリティ脅威を効果的に検証する前に、どの程度の深さを掘り下げなければならないかを調査していない。
- 参考スコア(独自算出の注目度): 1.8876415010297898
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The arrival of recent cybersecurity standards has raised the bar for security assessments in organizations, but existing techniques don't always scale well. Threat analysis and risk assessment are used to identify security threats for new or refactored systems. Still, there is a lack of definition-of-done, so identified threats have to be validated which slows down the analysis. Existing literature has focused on the overall performance of threat analysis, but no previous work has investigated how deep must the analysts dig into the material before they can effectively validate the identified security threats. We propose a controlled experiment with practitioners to investigate whether some analysis material (like LLM-generated advice) is better than none and whether more material (the system's data flow diagram and LLM-generated advice) is better than some material. In addition, we present key findings from running a pilot with 41 MSc students, which are used to improve the study design. Finally, we also provide an initial replication package, including experimental material and data analysis scripts and a plan to extend it to include new materials based on the final data collection campaign with practitioners (e.g., pre-screening questions).
- Abstract(参考訳): 最近のサイバーセキュリティ標準の到来は、組織におけるセキュリティ評価の基準を高めていますが、既存のテクニックが常にうまくスケールしているとは限らないのです。
脅威分析とリスクアセスメントは、新規またはリファクタリングされたシステムのセキュリティ脅威を特定するために使用される。
それでも、Doneの定義が欠如しているため、特定された脅威を検証する必要があるため、分析が遅くなる。
既存の文献では、脅威分析の全体的なパフォーマンスに焦点が当てられているが、これまでの研究では、アナリストが特定されたセキュリティ脅威を効果的に検証する前に、どの程度の深さを掘り下げなければならないかを調査していない。
本研究は,LLM生成アドバイスのような分析材料が,それよりも優れているか,さらに多くの材料(システムデータフロー図,LLM生成アドバイス)が,ある材料よりも優れているかを検討するための,実践者による制御実験である。
また, 41人のMSc学生を対象に, パイロットテストによる重要な知見を提示し, 学習設計の改善に利用した。
最後に、実験材料やデータ分析スクリプトを含む初期複製パッケージも提供し、実践者による最終データ収集キャンペーン(例えば、事前スクリーニング質問)に基づいて、新たな資料を含むように拡張する計画を立てています。
関連論文リスト
- Enhancing Cyber Security through Predictive Analytics: Real-Time Threat Detection and Response [0.0]
調査では、ネットワークトラフィックとセキュリティイベントの2000インスタンスを含む、Kaggleのデータセットを使用している。
その結果,予測分析は脅威の警戒と応答時間を高めることが示唆された。
本稿では,予防的サイバーセキュリティ戦略開発における重要な要素として,予測分析を提唱する。
論文 参考訳(メタデータ) (2024-07-15T16:11:34Z) - Safety in Graph Machine Learning: Threats and Safeguards [84.26643884225834]
社会的利益にもかかわらず、最近の研究はグラフMLモデルの普及に伴う重要な安全性上の懸念を浮き彫りにしている。
安全性を重視した設計が欠如しているため、これらのモデルは信頼性の低い予測を導き、一般化性の低下を示し、データの機密性を侵害することができる。
金融詐欺検出のような高額なシナリオでは、これらの脆弱性は個人と社会の両方を全般的に危険に晒す可能性がある。
論文 参考訳(メタデータ) (2024-05-17T18:11:11Z) - Large Language Models for Cyber Security: A Systematic Literature Review [14.924782327303765]
サイバーセキュリティ(LLM4Security)における大規模言語モデルの適用に関する文献の総合的なレビューを行う。
LLMは、脆弱性検出、マルウェア分析、ネットワーク侵入検出、フィッシング検出など、幅広いサイバーセキュリティタスクに応用されている。
第3に、細調整、転送学習、ドメイン固有の事前トレーニングなど、特定のサイバーセキュリティドメインにLLMを適用するための有望なテクニックをいくつか特定する。
論文 参考訳(メタデータ) (2024-05-08T02:09:17Z) - Unveiling the Misuse Potential of Base Large Language Models via In-Context Learning [61.2224355547598]
大規模言語モデル(LLM)のオープンソース化は、アプリケーション開発、イノベーション、科学的進歩を加速させる。
我々の調査は、この信念に対する重大な監視を露呈している。
我々の研究は、慎重に設計されたデモを配置することにより、ベースLSMが悪意のある命令を効果的に解釈し実行できることを実証する。
論文 参考訳(メタデータ) (2024-04-16T13:22:54Z) - How Dataflow Diagrams Impact Software Security Analysis: an Empirical
Experiment [5.6169596483204085]
本研究では,DFDがセキュリティ分析環境におけるアナリストのパフォーマンスに与える影響を調査するための実証実験を行った結果について述べる。
その結果, モデル支援条件下では, 分析課題の正解率は有意に向上した。
実験で得られた知見に基づいて,DFDをセキュリティ分析に使用する上でのオープンな3つの課題を特定した。
論文 参考訳(メタデータ) (2024-01-09T09:22:35Z) - It Is Time To Steer: A Scalable Framework for Analysis-driven Attack Graph Generation [50.06412862964449]
アタックグラフ(AG)は、コンピュータネットワーク上のマルチステップ攻撃をモデル化し分析する最も適したソリューションである。
本稿では,AG生成のための分析駆動型フレームワークを紹介する。
定量的な統計的意義を持つAG生成が完了する前に、リアルタイムな攻撃経路解析を可能にする。
論文 参考訳(メタデータ) (2023-12-27T10:44:58Z) - Model Stealing Attack against Graph Classification with Authenticity,
Uncertainty and Diversity [85.1927483219819]
GNNは、クエリ許可を通じてターゲットモデルを複製するための悪行であるモデル盗難攻撃に対して脆弱である。
異なるシナリオに対応するために,3つのモデルステルス攻撃を導入する。
論文 参考訳(メタデータ) (2023-12-18T05:42:31Z) - Poisoning Attacks and Defenses on Artificial Intelligence: A Survey [3.706481388415728]
データ中毒攻撃は、トレーニングフェーズ中にモデルに供給されたデータサンプルを改ざんして、推論フェーズ中にモデルの精度を低下させる攻撃の一種である。
この研究は、この種の攻撃に対処する最新の文献で見つかった最も関連性の高い洞察と発見をまとめたものである。
実環境下での幅広いMLモデルに対するデータ中毒の影響を比較検討し,本研究の徹底的な評価を行った。
論文 参考訳(メタデータ) (2022-02-21T14:43:38Z) - A Review of Topological Data Analysis for Cybersecurity [1.0878040851638]
トポロジカルデータ解析(TDA)は、代数的トポロジの技法を用いて、データの高レベル構造を研究する。
我々は、サイバーセキュリティデータサイエンスを改善する強力な可能性を持つ、有望な新しい領域について、研究者に強調したい。
論文 参考訳(メタデータ) (2022-02-16T13:03:52Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - SAMBA: Safe Model-Based & Active Reinforcement Learning [59.01424351231993]
SAMBAは、確率論的モデリング、情報理論、統計学といった側面を組み合わせた安全な強化学習のためのフレームワークである。
我々は,低次元および高次元の状態表現を含む安全な力学系ベンチマークを用いて,アルゴリズムの評価を行った。
アクティブなメトリクスと安全性の制約を詳細に分析することで,フレームワークの有効性を直感的に評価する。
論文 参考訳(メタデータ) (2020-06-12T10:40:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。