論文の概要: Towards Robust Detection of Open Source Software Supply Chain Poisoning Attacks in Industry Environments

• arxiv url: http://arxiv.org/abs/2409.09356v1
• Date: Sat, 14 Sep 2024 08:01:43 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-17 21:09:38.731175
• Title: Towards Robust Detection of Open Source Software Supply Chain Poisoning Attacks in Industry Environments
• Title（参考訳）: 産業環境におけるオープンソースソフトウェアサプライチェーン攻撃のロバスト検出に向けて
• Authors: Xinyi Zheng, Chen Wei, Shenao Wang, Yanjie Zhao, Peiming Gao, Yuanchao Zhang, Kailong Wang, Haoyu Wang,
• Abstract要約: 我々は,NPMおよびPyPIエコシステムのための動的コード中毒検出パイプラインOSCARを提案する。 OSCARはサンドボックス環境でパッケージを完全に実行し、エクスポートされた関数やクラスに対してファズテストを採用し、アスペクトベースの振る舞い監視を実装している。 我々は、現実世界の悪質で良質なパッケージの包括的なベンチマークデータセットを用いて、OSCARを既存の6つのツールと比較した。
• 参考スコア（独自算出の注目度）: 9.29518367616395
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The exponential growth of open-source package ecosystems, particularly NPM and PyPI, has led to an alarming increase in software supply chain poisoning attacks. Existing static analysis methods struggle with high false positive rates and are easily thwarted by obfuscation and dynamic code execution techniques. While dynamic analysis approaches offer improvements, they often suffer from capturing non-package behaviors and employing simplistic testing strategies that fail to trigger sophisticated malicious behaviors. To address these challenges, we present OSCAR, a robust dynamic code poisoning detection pipeline for NPM and PyPI ecosystems. OSCAR fully executes packages in a sandbox environment, employs fuzz testing on exported functions and classes, and implements aspect-based behavior monitoring with tailored API hook points. We evaluate OSCAR against six existing tools using a comprehensive benchmark dataset of real-world malicious and benign packages. OSCAR achieves an F1 score of 0.95 in NPM and 0.91 in PyPI, confirming that OSCAR is as effective as the current state-of-the-art technologies. Furthermore, for benign packages exhibiting characteristics typical of malicious packages, OSCAR reduces the false positive rate by an average of 32.06% in NPM (from 34.63% to 2.57%) and 39.87% in PyPI (from 41.10% to 1.23%), compared to other tools, significantly reducing the workload of manual reviews in real-world deployments. In cooperation with Ant Group, a leading financial technology company, we have deployed OSCAR on its NPM and PyPI mirrors since January 2023, identifying 10,404 malicious NPM packages and 1,235 malicious PyPI packages over 18 months. This work not only bridges the gap between academic research and industrial application in code poisoning detection but also provides a robust and practical solution that has been thoroughly tested in a real-world industrial setting.
• Abstract（参考訳）: オープンソースパッケージエコシステム、特にNPMとPyPIの指数関数的な成長は、ソフトウェアサプライチェーンの毒殺攻撃の急増に繋がった。 既存の静的解析手法は高い偽陽性率に悩まされており、難読化や動的コード実行技術によって容易に回避される。 動的分析アプローチは改善を提供するが、多くの場合、パッケージ以外の振る舞いをキャプチャし、洗練された悪意のある振る舞いを引き起こすのに失敗する簡易なテスト戦略を採用することに苦しむ。 これらの課題に対処するため、NPMおよびPyPIエコシステムのための堅牢な動的コード中毒検出パイプラインであるOSCARを提案する。 OSCARはサンドボックス環境でパッケージを完全に実行し、エクスポートされた関数やクラスに対してファズテストを採用し、APIフックポイントを調整したアスペクトベースの動作監視を実装している。 我々は、現実世界の悪質で良質なパッケージの包括的なベンチマークデータセットを用いて、OSCARを既存の6つのツールと比較した。 OSCARはNPMで0.95点、PyPIで0.91点を獲得し、OSCARが現在の最先端技術と同じくらい有効であることを確認する。 さらに、悪質なパッケージの特徴を示す良質なパッケージの場合、OSCARは他のツールと比較して、NPMで平均32.06%(34.63%から2.57%)、PyPIで39.87%(41.10%から1.23%)の偽陽性率を減少させ、実際のデプロイメントにおいて手動レビューの負荷を大幅に削減する。 主要な金融技術企業であるAnt Groupと協力し、2023年1月からOSCARをNPMおよびPyPIミラーにデプロイし、18ヶ月で10,404個のNPMパッケージと1,235個のPyPIパッケージを特定しました。 この研究は、コード中毒検出における学術研究と産業応用のギャップを埋めるだけでなく、実世界の産業環境で徹底的にテストされた堅牢で実用的なソリューションも提供する。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Does the Vulnerability Threaten Our Projects? Automated Vulnerable API Detection for Third-Party Libraries [11.012017507408078]
  本稿では,TPLの脆弱性の原因となる脆弱性のあるルートメソッドを効果的に同定できるVAScannerを提案する。 VAScannerは、5.78%の偽陽性と2.16%の偽陰性を除去する。 脆弱性のあるTPLを使用した3,147のプロジェクトの大規模な分析では、脆弱性のあるAPIによって21.51%のプロジェクトが脅かされていることがわかった。
  論文  参考訳（メタデータ） (2024-09-04T14:31:16Z)
• Defending Against Weight-Poisoning Backdoor Attacks for Parameter-Efficient Fine-Tuning [57.50274256088251]
  パラメータ効率のよい微調整(PEFT)は,重み付けによるバックドア攻撃の影響を受けやすいことを示す。 PEFTを利用したPSIM(Poisoned Sample Identification Module)を開発した。 テキスト分類タスク,5つの微調整戦略,および3つの重み付けバックドア攻撃手法について実験を行った。
  論文  参考訳（メタデータ） (2024-02-19T14:22:54Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• An Empirical Study of Malicious Code In PyPI Ecosystem [15.739368369031277]
  PyPIは便利なパッケージ管理プラットフォームを開発者に提供します。 PyPIエコシステムの急速な発展は、悪意のあるパッケージの伝播という深刻な問題を引き起こしている。 PyPIエコシステムにおける悪意のあるコードライフサイクルの特徴と現状を理解するための実証的研究を行う。
  論文  参考訳（メタデータ） (2023-09-20T02:51:02Z)
• Malicious Package Detection in NPM and PyPI using a Single Model of Malicious Behavior Sequence [7.991922551051611]
  パッケージレジストリ NPM と PyPI は悪意のあるパッケージで溢れている。 既存の悪意あるNPMとPyPIパッケージ検出アプローチの有効性は、2つの課題によって妨げられている。 我々は,NPMとPyPIの悪意あるパッケージを検出するためにCerebroを提案し,実装する。
  論文  参考訳（メタデータ） (2023-09-06T00:58:59Z)
• G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks through Attributed Client Graph Clustering [116.4277292854053]
  Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。 FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。 本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:15:04Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Robust Out-of-distribution Detection for Neural Networks [51.19164318924997]
  既存の検出機構は, 分布内およびOOD入力の評価において, 極めて脆弱であることを示す。 ALOE と呼ばれる実効性のあるアルゴリズムを提案する。このアルゴリズムは,逆向きに構築された逆数と外数の両方の例にモデルを公開することにより,堅牢なトレーニングを行う。
  論文  参考訳（メタデータ） (2020-03-21T17:46:28Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。