論文の概要: ChatHTTPFuzz: Large Language Model-Assisted IoT HTTP Fuzzing

• arxiv url: http://arxiv.org/abs/2411.11929v1
• Date: Mon, 18 Nov 2024 10:48:53 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-20 13:35:02.617822
• Title: ChatHTTPFuzz: Large Language Model-Assisted IoT HTTP Fuzzing
• Title（参考訳）: ChatHTTPFuzz: 大規模言語モデル支援IoT HTTPファズ
• Authors: Zhe Yang, Hao Peng, Yanling Jiang, Xingwei Li, Haohua Du, Shuhai Wang, Jianwei Liu,
• Abstract要約: Internet of Things(IoT)デバイスは、Webインターフェース、Web VPN、その他のWebベースのサービスを通じて利便性を提供し、すべてHTTPプロトコルに依存している。 最先端のツールの多くは依然としてランダムな突然変異戦略に依存しており、HTTPプロトコルの構造を正確に理解し、多くの無効なテストケースを生成するのが困難である。 本稿では,プロトコルフィールドを自動的に解析し,サービスコードロジックを解析してプロトコル準拠のテストケースを生成する,新たなLLM誘導型IoT HTTPファジリング手法ChatHTTPFuzzを提案する。
• 参考スコア（独自算出の注目度）: 18.095573835226787
• License:
• Abstract: Internet of Things (IoT) devices offer convenience through web interfaces, web VPNs, and other web-based services, all relying on the HTTP protocol. However, these externally exposed HTTP services resent significant security risks. Although fuzzing has shown some effectiveness in identifying vulnerabilities in IoT HTTP services, most state-of-the-art tools still rely on random mutation trategies, leading to difficulties in accurately understanding the HTTP protocol's structure and generating many invalid test cases. Furthermore, These fuzzers rely on a limited set of initial seeds for testing. While this approach initiates testing, the limited number and diversity of seeds hinder comprehensive coverage of complex scenarios in IoT HTTP services. In this paper, we investigate and find that large language models (LLMs) excel in parsing HTTP protocol data and analyzing code logic. Based on these findings, we propose a novel LLM-guided IoT HTTP fuzzing method, ChatHTTPFuzz, which automatically parses protocol fields and analyzes service code logic to generate protocol-compliant test cases. Specifically, we use LLMs to label fields in HTTP protocol data, creating seed templates. Second, The LLM analyzes service code to guide the generation of additional packets aligned with the code logic, enriching the seed templates and their field values. Finally, we design an enhanced Thompson sampling algorithm based on the exploration balance factor and mutation potential factor to schedule seed templates. We evaluate ChatHTTPFuzz on 14 different real-world IoT devices. It finds more vulnerabilities than SNIPUZZ, BOOFUZZ, and MUTINY. ChatHTTPFuzz has discovered 103 vulnerabilities, of which 68 are unique, and 23 have been assigned CVEs.
• Abstract（参考訳）: Internet of Things(IoT)デバイスは、Webインターフェース、Web VPN、その他のWebベースのサービスを通じて利便性を提供し、すべてHTTPプロトコルに依存している。 しかし、これらの外部に公開されたHTTPサービスは、重大なセキュリティリスクを負った。 ファジィングはIoT HTTPサービスの脆弱性を特定する上でいくつかの効果を示しているが、最先端のツールの多くは依然としてランダムな突然変異戦略に依存しており、HTTPプロトコルの構造を正確に理解し、多くの無効なテストケースを生成するのが困難である。 さらに、これらのファッジャはテスト用の初期種子の限られたセットに依存している。 このアプローチはテストを開始するが、種子の数と多様性の制限は、IoT HTTPサービスにおける複雑なシナリオの包括的カバレッジを妨げる。 本稿では,大規模言語モデル (LLM) がHTTPプロトコルデータの解析やコードロジックの解析に優れていることを検証し,発見する。 これらの知見に基づいて,プロトコルフィールドを自動的に解析し,サービスコードロジックを解析してプロトコル準拠のテストケースを生成する,新たなLLM誘導型IoT HTTPファジリング手法ChatHTTPFuzzを提案する。 具体的には、LLMを使ってHTTPプロトコルデータのフィールドをラベル付けし、シードテンプレートを作成します。 第2に、LLMはサービスコードを分析して、コードロジックに沿った追加のパケットの生成をガイドし、シードテンプレートとそのフィールド値を強化する。 最後に,探索バランス係数と突然変異ポテンシャル係数に基づく改良されたトンプソンサンプリングアルゴリズムを設計し,シードテンプレートをスケジュールする。 実世界の14のIoTデバイス上でChatHTTPFuzzを評価する。 SNIPUZZ、BOOFUZZ、MUTINYよりも脆弱性が多い。 ChatHTTPFuzzは103の脆弱性を発見し、そのうち68はユニークで、23はCVEに割り当てられている。

関連論文リスト

• AgentOccam: A Simple Yet Strong Baseline for LLM-Based Web Agents [52.13695464678006]
  本研究は, 観察空間と行動空間を簡略化することで, LLMベースのWebエージェントを強化する。 AgentOccam は以前の最先端および同時処理を 9.8 (+29.4%) と 5.9 (+15.8%) で上回っている。
  論文  参考訳（メタデータ） (2024-10-17T17:50:38Z)
• Denial-of-Service Poisoning Attacks against Large Language Models [64.77355353440691]
  LLMはDenial-of-Service(DoS)攻撃に対して脆弱で、スペルエラーや非意味的なプロンプトが[EOS]トークンを生成することなく、無限のアウトプットをトリガーする。 本研究では, LLM に対する毒素を用いた DoS 攻撃について提案し, 1 つの毒素を注入することで, 出力長の限界を破ることができることを示した。
  論文  参考訳（メタデータ） (2024-10-14T17:39:31Z)
• Web2Code: A Large-scale Webpage-to-Code Dataset and Evaluation Framework for Multimodal LLMs [112.89665642941814]
  MLLM(Multimodal large language model)は、画像、ビデオ、オーディオなどのモダリティにおいて顕著な成功を収めている。 現在のMLLMは、Webページのスクリーンショットを理解し、対応するHTMLコードを生成するのに驚くほど貧弱です。 命令チューニングのための大規模Webページ・ツー・コードデータセットを新たに構築したベンチマークを提案する。
  論文  参考訳（メタデータ） (2024-06-28T17:59:46Z)
• The HTTP Garden: Discovering Parsing Vulnerabilities in HTTP/1.1 Implementations by Differential Fuzzing of Request Streams [7.012240324005978]
  HTTP/1.1で不一致を解析することは、Webサーバに対する数多くの攻撃の基盤となっている。 我々のシステムであるHTTP Gardenは、元のサーバの解釈とHTTPリクエストのゲートウェイサーバの変換の両方を調べます。 私たちのツールを使って、人気のあるWebサーバで100以上のHTTPパースバグを発見し、報告しました。
  論文  参考訳（メタデータ） (2024-05-28T01:48:05Z)
• How to Craft Backdoors with Unlabeled Data Alone? [54.47006163160948]
  自己教師型学習(SSL)は、経済的かつスケーラブルな方法でリッチな機能を学ぶことができる。 リリースされたデータセットが悪意ある毒を盛られた場合、テストサンプルにトリガーが注入された場合、バックドアのSSLモデルはひどい振る舞いをする可能性がある。 本稿では, 疑似ラベルを用いたクラスタリングに基づく選別と, 相互情報原理に基づくコントラスト選択の2つの方法を提案する。
  論文  参考訳（メタデータ） (2024-04-10T02:54:18Z)
• Fingerprinting web servers through Transformer-encoded HTTP response headers [0.0]
  最先端のディープラーニング、ビッグデータ、自然言語処理を活用して、脆弱なWebサーババージョンの検出を強化しています。 我々は、さまざまな曖昧で非標準のHTTPリクエストを477万のドメインに送信して実験を行った。
  論文  参考訳（メタデータ） (2024-03-26T17:24:28Z)
• Beyond the Request: Harnessing HTTP Response Headers for Cross-Browser Web Tracker Classification in an Imbalanced Setting [0.0]
  本研究は、二項化HTTP応答ヘッダを用いたWebトラッカー検出のための効果的な機械学習分類器を設計する試みである。 10の教師付きモデルがChromeデータ上でトレーニングされ、1年後のChromeデータセットを含むすべてのブラウザでテストされた。 結果は、ChromeとFirefoxで高い精度、F1スコア、精度、リコール、最小ログロスエラーを示した。
  論文  参考訳（メタデータ） (2024-02-02T09:07:09Z)
• Tensor Trust: Interpretable Prompt Injection Attacks from an Online Game [86.66627242073724]
  本稿では,126,000以上のプロンプトインジェクションと46,000以上のプロンプトベースのプロンプトインジェクションに対する「防御」のデータセットを提案する。 我々の知る限り、これは現在、命令追従 LLM に対する人間生成の敵例の最大のデータセットである。 また、データセットを使用して、2種類のプロンプトインジェクションに対する耐性のベンチマークを作成し、これをプロンプト抽出とプロンプトハイジャックと呼ぶ。
  論文  参考訳（メタデータ） (2023-11-02T06:13:36Z)
• DATA: Domain-Aware and Task-Aware Pre-training [94.62676913928831]
  我々は、自己教師付き学習(SSL)に特化した、シンプルで効果的なNASアプローチであるDataを提示する。 提案手法は,画像分類,オブジェクト検出,セマンティックセグメンテーションなど,下流タスクにおける計算コストの広い範囲にわたる有望な結果を実現する。
  論文  参考訳（メタデータ） (2022-03-17T02:38:49Z)
• HTTP2vec: Embedding of HTTP Requests for Detection of Anomalous Traffic [0.0]
  我々は、HTTPリクエストを埋め込んだ後、トラフィックの異常を分類するための教師なし言語表現モデルを提案する。 このソリューションはDoc2Vecのような自然言語処理(NLP)で使われる手法によって動機付けられている。 実際の単語条件でどのようにソリューションが機能するかを検証するために、正規のトラフィックのみを使用してモデルをトレーニングする。
  論文  参考訳（メタデータ） (2021-08-03T21:53:31Z)
• Towards an ontology of HTTP interactions [0.0]
  HTTPは、すべてのWeb開発の中心に残っています。 RDF語彙の提案は存在する。 再利用可能なものにするために、適応と拡張を提案します。
  論文  参考訳（メタデータ） (2020-07-20T08:38:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。