論文の概要: QUIC-Fuzz: An Effective Greybox Fuzzer For The QUIC Protocol

• arxiv url: http://arxiv.org/abs/2503.19402v1
• Date: Tue, 25 Mar 2025 07:21:35 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-26 16:52:30.354441
• Title: QUIC-Fuzz: An Effective Greybox Fuzzer For The QUIC Protocol
• Title（参考訳）: QUIC-Fuzz:QUICプロトコルに有効なGreybox Fuzzer
• Authors: Kian Kai Ang, Damith C. Ranasinghe,
• Abstract要約: 我々は最近承認されたQUICネットワークプロトコルのためのファジィザを開発し、セキュリティ脆弱性を明らかにする。 当社は,QUIC-Fuzzを使用したGoogleやAlibabaなど,メンテナンスのよいサーバサイド実装を6つテストしています。 私たちのテストでは,10の新たなセキュリティ脆弱性が発見されました。
• 参考スコア（独自算出の注目度）: 3.591122855617648
• License:
• Abstract: Network applications are routinely under attack. We consider the problem of developing an effective and efficient fuzzer for the recently ratified QUIC network protocol to uncover security vulnerabilities. QUIC offers a unified transport layer for low latency, reliable transport streams that is inherently secure, ultimately representing a complex protocol design characterised by new features and capabilities for the Internet. Fuzzing a secure transport layer protocol is not trivial. The interactive, strict, rule-based, asynchronous nature of communications with a target, the stateful nature of interactions, security mechanisms to protect communications (such as integrity checks and encryption), and inherent overheads (such as target initialisation) challenge generic network protocol fuzzers. We discuss and address the challenges pertinent to fuzzing transport layer protocols (like QUIC), developing mechanisms that enable fast, effective fuzz testing of QUIC implementations to build a prototype grey-box mutation-based fuzzer; QUIC-Fuzz. We test 6, well-maintained server-side implementations, including from Google and Alibaba with QUIC-Fuzz. The results demonstrate the fuzzer is both highly effective and generalisable. Our testing uncovered 10 new security vulnerabilities, precipitating 2 CVE assignments thus far. In code coverage, QUIC-Fuzz outperforms other existing state-of-the-art network protocol fuzzers (Fuzztruction-Net, ChatAFL, and ALFNet) with up to an 84% increase in code coverage where QUIC-Fuzz outperformed statistically significantly across all targets and with a majority of bugs only discoverable by QUIC-Fuzz. We open-source QUIC-Fuzz on GitHub.
• Abstract（参考訳）: ネットワークアプリケーションは日常的に攻撃を受けている。 我々は,セキュリティ脆弱性を明らかにするために,最近批准されたQUICネットワークプロトコルにおいて,効果的かつ効率的なファジィザを開発することの問題点を考察する。 QUICは低レイテンシで信頼性の高いトランスポートストリームのための統一されたトランスポート層を提供しており、本質的に安全であり、最終的にインターネットの新機能と機能によって特徴づけられる複雑なプロトコル設計を表している。 セキュアなトランスポート層プロトコルをファジィングするのは簡単ではありません。 対話的で厳密で規則に基づく非同期な通信の性質、対話のステートフルな性質、通信を保護するためのセキュリティ機構(整合性チェックや暗号化など)、および固有のオーバーヘッド(ターゲットの初期化など)は、汎用ネットワークプロトコルファジィザに挑戦する。 本稿では,輸送層プロトコル(QUICなど)のファジィングに関わる課題を論じ,QUIC実装の高速かつ効率的なファジィテストを可能にする機構を開発し,グレーボックス変異に基づくファジィザであるQUIC-Fuzzを開発した。 当社は,QUIC-Fuzzを使用したGoogleやAlibabaなど,メンテナンスのよいサーバサイド実装を6つテストしています。 その結果,ファジィザは非常に有効かつ汎用的であることが示された。 私たちのテストでは,10の新たなセキュリティ脆弱性が発見されました。 コードカバレッジでは、QUIC-Fuzzは既存の最先端ネットワークプロトコルファッザ(Fuzztruction-Net、ChatAFL、ALFNet)を84%のコードカバレッジで上回り、QUIC-Fuzzはすべてのターゲットに対して統計的に上回り、ほとんどのバグはQUIC-Fuzzによってのみ発見される。 GitHubでQUIC-Fuzzをオープンソース化しました。

関連論文リスト

• Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  認証サイクル冗長性チェック(ACRIC)を提案する。 ACRICは、追加のハードウェアを必要とせずに後方互換性を保持し、プロトコルに依存しない。 ACRICは最小送信オーバーヘッド(1ms)で堅牢なセキュリティを提供する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• Toward Mixture-of-Experts Enabled Trustworthy Semantic Communication for 6G Networks [82.3753728955968]
  本稿では,新しいMixture-of-Experts(MoE)ベースのSemComシステムを提案する。 このシステムはゲーティングネットワークと複数の専門家で構成され、それぞれ異なるセキュリティ課題に特化している。 ゲーティングネットワークは、ユーザ定義のセキュリティ要件に基づいて、異種攻撃に対抗するための適切な専門家を適応的に選択する。 車両ネットワークにおけるケーススタディは、MoEベースのSemComシステムの有効性を示す。
  論文  参考訳（メタデータ） (2024-09-24T03:17:51Z)
• No Peer, no Cry: Network Application Fuzzing via Fault Injection [19.345967816562364]
  我々は、メッセージを変更するのではなく、フォールトインジェクションに依存する、根本的に異なるアプローチを提案する。 Fuzztruction-Netは、他のファズーよりも、カバー範囲やバグの点で優れていることを示す。 全体として、Fuzztruction-Netは、WebサーバのNginxやApache HTTPd、OpenSSHクライアントなど、よくテストされたソフトウェアの23のバグを発見した。
  論文  参考訳（メタデータ） (2024-09-02T08:35:55Z)
• A Quantum of QUIC: Dissecting Cryptography with Post-Quantum Insights [2.522402937703098]
  QUICは2021年に標準化された新しいネットワークプロトコルである。 TCP/TLSスタックを置き換えるために設計され、UDPに基づいている。 本稿では,QUICの性能に及ぼす暗号の影響を詳細に評価する。
  論文  参考訳（メタデータ） (2024-05-15T11:27:28Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Generative AI-aided Joint Training-free Secure Semantic Communications via Multi-modal Prompts [89.04751776308656]
  本稿では,多モデルプロンプトを用いたGAI支援型SemComシステムを提案する。 セキュリティ上の懸念に応えて、フレンドリーなジャマーによって支援される隠蔽通信の応用を紹介する。
  論文  参考訳（メタデータ） (2023-09-05T23:24:56Z)
• Practical quantum secure direct communication with squeezed states [55.41644538483948]
  CV-QSDCシステムの最初の実験実験を行い,その安全性について報告する。 この実現は、将来的な脅威のない量子大都市圏ネットワークへの道を歩み、既存の高度な波長分割多重化(WDM)システムと互換性がある。
  論文  参考訳（メタデータ） (2023-06-25T19:23:42Z)
• Towards Flexible Anonymous Networks [0.5735035463793009]
  我々はボランティアベースの分散ネットワークのための新しいソフトウェアアーキテクチャを提案する。 FANは、開発者がソフトウェアの継続的進化を保証する能力を失うことなく、依存関係をプロトコル寛容からシフトさせる。
  論文  参考訳（メタデータ） (2022-03-07T22:58:36Z)
• SNPSFuzzer: A Fast Greybox Fuzzer for Stateful Network Protocols using Snapshots [14.927657157570053]
  SNPSFuzzerは、スナップショットを使用したステートフルネットワークプロトコル用の高速グレーボックスファザである。 SNPSFuzzerは、ネットワークプロトコルプログラムが特定の状態にあるときにコンテキスト情報をダンプし、状態がファジットされる必要があるときにそれを復元する。
  論文  参考訳（メタデータ） (2022-02-08T04:53:36Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。