論文の概要: ProphetFuzz: Fully Automated Prediction and Fuzzing of High-Risk Option Combinations with Only Documentation via Large Language Model
- arxiv url: http://arxiv.org/abs/2409.00922v1
- Date: Mon, 2 Sep 2024 03:31:08 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-06 08:21:03.083117
- Title: ProphetFuzz: Fully Automated Prediction and Fuzzing of High-Risk Option Combinations with Only Documentation via Large Language Model
- Title(参考訳): ProphetFuzz: 大規模言語モデルによるドキュメントのみによるハイリスクオプションの組み合わせの完全な自動予測とファズリング
- Authors: Dawei Wang, Geng Zhou, Li Chen, Dan Li, Yukai Miao,
- Abstract要約: オプションの組み合わせに関連する脆弱性は、膨大な検索スペースのため、ソフトウェアのセキュリティテストにおいて重大な課題となる。
提案手法は,大規模言語モデル(LLM)を駆動し,リスクの高い選択肢の組み合わせを予測するために,慎重に設計したプロンプトエンジニアリングを利用する。
ProphetFuzzは1プログラムあたり平均8.69ドルという価格で1748のハイリスクオプションの組み合わせを予測した。
- 参考スコア(独自算出の注目度): 16.647211264954667
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Vulnerabilities related to option combinations pose a significant challenge in software security testing due to their vast search space. Previous research primarily addressed this challenge through mutation or filtering techniques, which inefficiently treated all option combinations as having equal potential for vulnerabilities, thus wasting considerable time on non-vulnerable targets and resulting in low testing efficiency. In this paper, we utilize carefully designed prompt engineering to drive the large language model (LLM) to predict high-risk option combinations (i.e., more likely to contain vulnerabilities) and perform fuzz testing automatically without human intervention. We developed a tool called ProphetFuzz and evaluated it on a dataset comprising 52 programs collected from three related studies. The entire experiment consumed 10.44 CPU years. ProphetFuzz successfully predicted 1748 high-risk option combinations at an average cost of only \$8.69 per program. Results show that after 72 hours of fuzzing, ProphetFuzz discovered 364 unique vulnerabilities associated with 12.30\% of the predicted high-risk option combinations, which was 32.85\% higher than that found by state-of-the-art in the same timeframe. Additionally, using ProphetFuzz, we conducted persistent fuzzing on the latest versions of these programs, uncovering 140 vulnerabilities, with 93 confirmed by developers and 21 awarded CVE numbers.
- Abstract(参考訳): オプションの組み合わせに関連する脆弱性は、膨大な検索スペースのため、ソフトウェアのセキュリティテストにおいて重大な課題となる。
従来の研究は、全てのオプションの組み合わせが脆弱性に対して同等の可能性を秘めているとして非効率に扱った突然変異やフィルタリング技術を通じてこの問題に対処していたため、非脆弱なターゲットではかなりの時間が費やされ、結果としてテスト効率が低下した。
本稿では,大規模言語モデル(LLM)を設計したプロンプトエンジニアリングを用いて,リスクの高い選択肢の組み合わせ(脆弱性を含む可能性が高くなる)を予測し,人間の介入なしにファジテストを自動的に実施する。
我々はProphetFuzzというツールを開発し、関連する3つの研究から収集された52のプログラムからなるデータセット上で評価した。
実験全体では10.44CPUを消費した。
ProphetFuzzは1748のハイリスクオプションの組み合わせを平均8.69ドルと予測した。
72時間のファジグの後、ProphetFuzzは予測されたハイリスクオプションの組み合わせの12.30\%に関連する364のユニークな脆弱性を発見した。
さらに、ProphetFuzzを使用して、これらのプログラムの最新バージョンで永続的なファジィを行い、140の脆弱性を発見し、93人の開発者が確認し、21人のCVE番号が与えられた。
関連論文リスト
- Dance of the ADS: Orchestrating Failures through Historically-Informed Scenario Fuzzing [8.11982607011994]
本稿では,シナリオベースのファジテスト手法であるScenarioFuzzを紹介する。
提案手法は,グラフニューラルネットワークモデルと組み合わせて,高リスクシナリオシードの予測とフィルタリングを行う。
他の手法と比較して、我々の手法は時間コストを平均60.3%削減する一方、単位時間当たりのエラーシナリオの数は103%増加した。
論文 参考訳(メタデータ) (2024-07-05T08:58:09Z) - FOX: Coverage-guided Fuzzing as Online Stochastic Control [13.3158115776899]
ファジィング(fuzzing)は、ターゲットプログラムに対してランダムなテスト入力を生成してソフトウェア脆弱性を発見する効果的な手法である。
本稿では、スケジューラとミュータレータコンポーネントに焦点をあて、既存のカバレッジ誘導ファザの限界に対処する。
本稿では、制御理論アプローチの概念実証実装であるFOXについて、業界標準ファザと比較する。
論文 参考訳(メタデータ) (2024-06-06T21:21:05Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Advancing LLM Reasoning Generalists with Preference Trees [119.57169648859707]
推論に最適化された大規模言語モデル(LLM)のスイートであるEulusを紹介する。
Eurusモデルは、様々なベンチマークでオープンソースのモデルの間で最先端の結果を得る。
論文 参考訳(メタデータ) (2024-04-02T16:25:30Z) - Make out like a (Multi-Armed) Bandit: Improving the Odds of Fuzzer Seed Scheduling with T-Scheduler [8.447499888458633]
Fuzzingは高度にスケール可能なソフトウェアテスト技術であり、変更された入力で実行することでターゲットプログラムのバグを明らかにする。
マルチアームバンディット理論に基づくシードスケジューラであるT-Schedulerを提案する。
ファジィリングの35 CPU yr 以上の T-Scheduler を評価し,11 の最先端スケジューラと比較した。
論文 参考訳(メタデータ) (2023-12-07T23:27:55Z) - Improving Selective Visual Question Answering by Learning from Your
Peers [74.20167944693424]
VQA(Visual Question Answering)モデルは、間違っていた場合の回答を控えるのに苦労する可能性がある。
本稿では,複数モーダル選択関数の学習におけるLearning from Your Peers (LYP) アプローチを提案する。
提案手法では,学習データの異なるサブセットに基づいて訓練されたモデルの予測を,選択的VQAモデルの最適化のターゲットとして利用する。
論文 参考訳(メタデータ) (2023-06-14T21:22:01Z) - Wild Face Anti-Spoofing Challenge 2023: Benchmark and Results [73.98594459933008]
顔認証システム(FAS)は、顔認識システムの完全性を保護するための重要なメカニズムである。
この制限は、公開可能なFASデータセットの不足と多様性の欠如に起因する可能性がある。
制約のない環境で収集された大規模で多様なFASデータセットであるWild Face Anti-Spoofingデータセットを紹介した。
論文 参考訳(メタデータ) (2023-04-12T10:29:42Z) - ASPEST: Bridging the Gap Between Active Learning and Selective
Prediction [56.001808843574395]
選択予測は、不確実な場合の予測を棄却する信頼性のあるモデルを学ぶことを目的としている。
アクティブラーニングは、最も有意義な例を問うことで、ラベリングの全体、すなわち人間の依存度を下げることを目的としている。
本研究では,移動対象領域からより情報のあるサンプルを検索することを目的とした,新たな学習パラダイムである能動的選択予測を導入する。
論文 参考訳(メタデータ) (2023-04-07T23:51:07Z) - AdAUC: End-to-end Adversarial AUC Optimization Against Long-tail
Problems [102.95119281306893]
我々は、AUCを最適化するための敵の訓練方法を探求するための早期トライアルを提示する。
我々は、AUC最適化問題をサドル点問題として再構成し、目的がインスタンスワイズ関数となる。
我々の分析は, min-max問題の勾配を計算して, 逆例を生成するアルゴリズムが求められているため, 既存の研究と異なる。
論文 参考訳(メタデータ) (2022-06-24T09:13:39Z) - Using Sampling to Estimate and Improve Performance of Automated Scoring
Systems with Guarantees [63.62448343531963]
本稿では,既存のパラダイムを組み合わせることで,人間が知能的に収集する応答をサンプリングする手法を提案する。
比較的少ない予算で精度(平均19.80%)と二次重み付きカッパ(平均25.60%)の顕著な増加を観察した。
論文 参考訳(メタデータ) (2021-11-17T05:00:51Z) - MEUZZ: Smart Seed Scheduling for Hybrid Fuzzing [21.318110758739675]
機械学習によるハイブリッドfUZZシステム(MEUZZ)
MEUZZは、過去の種スケジューリング決定から学んだ知識に基づいて、どの新しい種がより良いファジィング収量をもたらすと期待されているかを決定する。
結果: MEUZZ は最先端のグレーボックスとハイブリッドファジィよりも優れていた。
論文 参考訳(メタデータ) (2020-02-20T05:02:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。