論文の概要: Attacker Control and Bug Prioritization

• arxiv url: http://arxiv.org/abs/2501.17740v1
• Date: Wed, 29 Jan 2025 16:27:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-30 15:52:38.650867
• Title: Attacker Control and Bug Prioritization
• Title（参考訳）: アタッカー制御とバグ優先順位付け
• Authors: Guilhem Lacombe, Sébastien Bardin,
• Abstract要約: 脆弱性のパラメータに対する攻撃者の制御は、しばしば見過ごされるエクスプロイラビリティの要因である。 テナントだけでなく、単純な定性的かつ定量的な制御概念は、脆弱性を効果的に区別するのに十分なものではないことを示す。 我々は、脅威モデルや専門家の洞察を考慮に入れた上で、制御領域と呼ばれる実現可能な価値セットの分析に焦点を合わせることを提案する。
• 参考スコア（独自算出の注目度）: 5.639904484784127
• License:
• Abstract: As bug-finding methods improve, bug-fixing capabilities are exceeded, resulting in an accumulation of potential vulnerabilities. There is thus a need for efficient and precise bug prioritization based on exploitability. In this work, we explore the notion of control of an attacker over a vulnerability's parameters, which is an often overlooked factor of exploitability. We show that taint as well as straightforward qualitative and quantitative notions of control are not enough to effectively differentiate vulnerabilities. Instead, we propose to focus analysis on feasible value sets, which we call domains of control, in order to better take into account threat models and expert insight. Our new Shrink and Split algorithm efficiently extracts domains of control from path constraints obtained with symbolic execution and renders them in an easily processed, human-readable form. This in turn allows to automatically compute more complex control metrics, such as weighted Quantitative Control, which factors in the varying threat levels of different values. Experiments show that our method is both efficient and precise. In particular, it is the only one able to distinguish between vulnerabilities such as cve-2019-14192 and cve-2022-30552, while revealing a mistake in the human evaluation of cve-2022-30790. The high degree of automation of our tool also brings us closer to a fully-automated evaluation pipeline.
• Abstract（参考訳）: バグフィニング法が改良されるにつれて、バグ修正機能が超過し、潜在的な脆弱性が蓄積される。 したがって、エクスプロイラビリティに基づいた、効率的で正確なバグ優先順位付けが必要である。 本研究では、脆弱性のパラメータに対する攻撃者の制御の概念について検討する。 テナントだけでなく、単純な定性的かつ定量的な制御概念は、脆弱性を効果的に区別するのに十分なものではないことを示す。 その代わり、脅威モデルや専門家の洞察をよりよく考慮するために、制御領域と呼ばれる実現可能な値集合の分析に焦点を当てることを提案する。 我々の新しいShrink and Splitアルゴリズムは、シンボリックな実行によって得られた経路制約から制御領域を効率的に抽出し、容易に処理可能な形式でレンダリングする。 これにより、異なる値の様々な脅威レベルに影響を及ぼす重み付き量的制御のような、より複雑な制御メトリクスを自動的に計算することができる。 実験の結果,本手法は効率的かつ正確であることがわかった。 特に、cve-2019-14192やcve-2022-30552のような脆弱性を区別できる唯一の方法であり、cve-2022-30790の人間の評価における誤りを明らかにしている。 ツールの高度な自動化は、完全に自動化された評価パイプラインにも近づきます。

関連論文リスト

• Divide and Conquer based Symbolic Vulnerability Detection [0.16385815610837165]
  本稿では,シンボル実行と制御フローグラフ解析に基づく脆弱性検出手法を提案する。 提案手法では,無関係なプログラム情報を除去するために,分割・分散アルゴリズムを用いる。
  論文  参考訳（メタデータ） (2024-09-20T13:09:07Z)
• Automatically Adaptive Conformal Risk Control [49.95190019041905]
  本稿では,テストサンプルの難易度に適応して,統計的リスクの近似的条件制御を実現する手法を提案する。 我々のフレームワークは、ユーザが提供するコンディショニングイベントに基づく従来のコンディショニングリスク制御を超えて、コンディショニングに適した関数クラスのアルゴリズム的、データ駆動決定を行う。
  論文  参考訳（メタデータ） (2024-06-25T08:29:32Z)
• Dynamic Vulnerability Criticality Calculator for Industrial Control Systems [0.0]
  本稿では,動的脆弱性臨界計算機を提案する革新的な手法を提案する。 本手法は, 環境トポロジの分析と, 展開されたセキュリティ機構の有効性を包含する。 本手法では,これらの要因を総合的なファジィ認知マップモデルに統合し,攻撃経路を組み込んで全体の脆弱性スコアを総合的に評価する。
  論文  参考訳（メタデータ） (2024-03-20T09:48:47Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• Can An Old Fashioned Feature Extraction and A Light-weight Model Improve Vulnerability Type Identification Performance? [6.423483122892239]
  脆弱性型識別(VTI)の問題点について検討する。 我々は、大規模な脆弱性セットに基づいて、VTIのためのよく知られた、先進的な事前訓練モデルの性能を評価する。 ベースラインアプローチの予測を洗練させるために,軽量な独立コンポーネントを導入する。
  論文  参考訳（メタデータ） (2023-06-26T14:28:51Z)
• Learning to Quantize Vulnerability Patterns and Match to Locate Statement-Level Vulnerabilities [19.6975205650411]
  さまざまな脆弱性パターンを表す量子化されたベクトルで構成される脆弱性コードブックが学習される。 推論の間、コードブックは、すべての学習パターンにマッチし、潜在的な脆弱性の存在を予測するために反復される。 提案手法は188,000以上のC/C++関数からなる実世界のデータセットに対して広範に評価された。
  論文  参考訳（メタデータ） (2023-05-26T04:13:31Z)
• Improving robustness of jet tagging algorithms with adversarial training [56.79800815519762]
  本研究では,フレーバータグ付けアルゴリズムの脆弱性について,敵攻撃による検証を行った。 シミュレーション攻撃の影響を緩和する対人訓練戦略を提案する。
  論文  参考訳（メタデータ） (2022-03-25T19:57:19Z)
• Scalable Synthesis of Verified Controllers in Deep Reinforcement Learning [0.0]
  高品質の安全シールドを合成できる自動検証パイプラインを提案します。 私たちの重要な洞察は、事前に計算された安全シールドを使用して神経コントローラのトレーニングを制限し、神経コントローラから安全検証を分離することを含みます。 実測的な高次元深部RLベンチマークによる実験結果から,本手法の有効性が示された。
  論文  参考訳（メタデータ） (2021-04-20T19:30:29Z)
• A black-box adversarial attack for poisoning clustering [78.19784577498031]
  本稿では,クラスタリングアルゴリズムのロバスト性をテストするために,ブラックボックス対逆攻撃法を提案する。 我々の攻撃は、SVM、ランダムフォレスト、ニューラルネットワークなどの教師付きアルゴリズムに対しても転送可能であることを示す。
  論文  参考訳（メタデータ） (2020-09-09T18:19:31Z)
• An Information Bottleneck Approach for Controlling Conciseness in Rationale Extraction [84.49035467829819]
  我々は,情報ボトルネック(IB)の目的を最適化することで,このトレードオフをよりよく管理できることを示す。 我々の完全教師なしのアプローチは、文上のスパース二項マスクを予測する説明器と、抽出された合理性のみを考慮したエンドタスク予測器を共同で学習する。
  論文  参考訳（メタデータ） (2020-05-01T23:26:41Z)
• Adversarial vs behavioural-based defensive AI with joint, continual and active learning: automated evaluation of robustness to deception, poisoning and concept drift [62.997667081978825]
  人工知能(AI)の最近の進歩は、サイバーセキュリティのための行動分析(UEBA)に新たな能力をもたらした。 本稿では、検出プロセスを改善し、人間の専門知識を効果的に活用することにより、この攻撃を効果的に軽減するソリューションを提案する。
  論文  参考訳（メタデータ） (2020-01-13T13:54:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。