論文の概要: Pipe-Cleaner: Flexible Fuzzing Using Security Policies

• arxiv url: http://arxiv.org/abs/2411.00261v1
• Date: Thu, 31 Oct 2024 23:35:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-05 14:45:40.633689
• Title: Pipe-Cleaner: Flexible Fuzzing Using Security Policies
• Title（参考訳）: Pipe-Cleaner: セキュリティポリシを使用したフレキシブルなファジィ
• Authors: Allison Naaktgeboren, Sean Noble Anderson, Andrew Tolmach, Greg Sullivan,
• Abstract要約: Pipe-CleanerはCコードの脆弱性を検出し解析するシステムである。 これは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいている。 いくつかのヒープ関連のセキュリティ脆弱性に対して、このアプローチの可能性を実証する。
• 参考スコア（独自算出の注目度）: 0.07499722271664144
• License:
• Abstract: Fuzzing has proven to be very effective for discovering certain classes of software flaws, but less effective in helping developers process these discoveries. Conventional crash-based fuzzers lack enough information about failures to determine their root causes, or to differentiate between new or known crashes, forcing developers to manually process long, repetitious lists of crash reports. Also, conventional fuzzers typically cannot be configured to detect the variety of bugs developers care about, many of which are not easily converted into crashes. To address these limitations, we propose Pipe-Cleaner, a system for detecting and analyzing C code vulnerabilities using a refined fuzzing approach. Pipe-Cleaner is based on flexible developer-designed security policies enforced by a tag-based runtime reference monitor, which communicates with a policy-aware fuzzer. Developers are able to customize the types of faults the fuzzer detects and the level of detail in fault reports. Adding more detail helps the fuzzer to differentiate new bugs, discard duplicate bugs, and improve the clarity of results for bug triage. We demonstrate the potential of this approach on several heap-related security vulnerabilities, including classic memory safety violations and two novel non-crashing classes outside the reach of conventional fuzzers: leftover secret disclosure, and heap address leaks.
• Abstract（参考訳）: ファジィングは、ある種のソフトウェア欠陥を発見するのに非常に効果的であるが、開発者がこれらの発見を処理するのを助けるのにあまり効果がないことが証明されている。 従来のクラッシュベースのファジィザは、根本原因を判断したり、新しいクラッシュや既知のクラッシュを区別するために失敗に関する情報が不足しているため、開発者は手動で、繰り返しのクラッシュレポートを処理せざるを得なかった。 また、従来のファッジャは、開発者が関心を持つさまざまなバグを検出するように設定することはできないが、その多くは簡単にクラッシュに変換できない。 これらの制約に対処するために,改良されたファジィ手法を用いてC言語の脆弱性を検出し解析するPipe-Cleanerを提案する。 Pipe-Cleanerは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいており、ポリシーを意識したファザーと通信する。 開発者は、ファジッターが検出した障害の種類と、障害レポートの詳細なレベルをカスタマイズできる。 詳細を追加することで、新しいバグを区別し、重複したバグを破棄し、バグトリアージの結果の明確さを向上させることができる。 本研究は,従来のファジィザの範囲外において,古典的メモリ安全性違反や2つの新しい非クラッシングクラスを含む,ヒープ関連セキュリティ脆弱性に対するこのアプローチの可能性を示す。

関連論文リスト

• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
  我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。 FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
  論文  参考訳（メタデータ） (2024-09-03T14:40:31Z)
• Detectors for Safe and Reliable LLMs: Implementations, Uses, and Limitations [76.19419888353586]
  大規模言語モデル(LLM)は、不誠実なアウトプットからバイアスや有害な世代に至るまで、さまざまなリスクを受けやすい。 我々は,様々な害のラベルを提供するコンパクトで容易に構築できる分類モデルである,検出器のライブラリを作成し,展開する取り組みについて述べる。
  論文  参考訳（メタデータ） (2024-03-09T21:07:16Z)
• Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug Unearthing [2.4287247817521096]
  BusyBoxの脆弱性は、はるかに大きな結果をもたらす可能性がある。 この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにした。 ソフトウェアテストの強化のための2つのテクニックを紹介します。
  論文  参考訳（メタデータ） (2024-03-06T17:57:03Z)
• Online Corrupted User Detection and Regret Minimization [49.536254494829436]
  現実世界のオンラインウェブシステムでは、複数のユーザがシステムに順次到着する。 乱れた行動から未知のユーザ関係を学習・活用するために,LOCUDという重要なオンライン学習問題を提案する。 我々はRCLUB-WCUの推測ユーザ関係に基づく新しいオンライン検出アルゴリズムOCCUDを考案した。
  論文  参考訳（メタデータ） (2023-10-07T10:20:26Z)
• Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer [2.2000560351723504]
  LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。 LeakFuzzerは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。
  論文  参考訳（メタデータ） (2023-08-17T16:15:02Z)
• What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
  我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。 コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
  論文  参考訳（メタデータ） (2023-05-19T05:15:36Z)
• Beyond the Prior Forgery Knowledge: Mining Critical Clues for General Face Forgery Detection [61.74632676703288]
  本稿では,様々なバックボーンを柔軟に組立てて一般化と性能を向上させる,新しいクリティカルフォージェリーマイニングフレームワークを提案する。 具体的には,まず,従来の知識に依存しないデータ拡張を通じて,細粒度三重項を構築し,特定の偽の痕跡を抑える。 そこで我々は,例えば,局所的類似性を意識した損失を通じて,偽造の重要情報をマイニングする,きめ細かな関係学習プロトタイプを提案する。
  論文  参考訳（メタデータ） (2023-04-24T23:02:27Z)
• Enhancing Multiple Reliability Measures via Nuisance-extended Information Bottleneck [77.37409441129995]
  トレーニングデータに制限がある現実的なシナリオでは、データ内の多くの予測信号は、データ取得のバイアスからより多く得る。 我々は,相互情報制約の下で,より広い範囲の摂動をカバーできる敵の脅威モデルを考える。 そこで本研究では,その目的を実現するためのオートエンコーダベーストレーニングと,提案したハイブリッド識別世代学習を促進するための実用的なエンコーダ設計を提案する。
  論文  参考訳（メタデータ） (2023-03-24T16:03:21Z)
• Multi-context Attention Fusion Neural Network for Software Vulnerability Identification [4.05739885420409]
  ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。 モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。 提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
  論文  参考訳（メタデータ） (2021-04-19T11:50:36Z)
• Robust and Transferable Anomaly Detection in Log Data using Pre-Trained Language Models [59.04636530383049]
  クラウドのような大規模コンピュータシステムにおける異常や障害は、多くのユーザに影響を与える。 システム情報の主要なトラブルシューティングソースとして,ログデータの異常検出のためのフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-02-23T09:17:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。