論文の概要: A Human Study of Cognitive Biases in Web Application Security
- arxiv url: http://arxiv.org/abs/2505.12018v2
- Date: Fri, 30 May 2025 16:55:45 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-02 17:26:04.996599
- Title: A Human Study of Cognitive Biases in Web Application Security
- Title(参考訳): Webアプリケーションセキュリティにおける認知バイアスに関する人間学的研究
- Authors: Yuwei Yang, Skyler Grandel, Daniel Balasubramanian, Yu Huang, Kevin Leach,
- Abstract要約: 本稿では,認知バイアスが旗の教育とセキュリティの獲得にどのように役立つかを検討する。
本稿では,認知バイアス,特に検索と損失回避の満足度を制御するためのアプローチを提案する。
本研究は,多くの参加者が検索バイアスの満足度を示し,このバイアスがその成功に有意な影響を与えていることを明らかにする。
- 参考スコア(独自算出の注目度): 5.535195078929509
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Cybersecurity training has become a crucial part of computer science education and industrial onboarding. Capture the Flag (CTF) competitions have emerged as a valuable, gamified approach for developing and refining the skills of cybersecurity and software engineering professionals. However, while CTFs provide a controlled environment for tackling real world challenges, the participants' decision making and problem solving processes remain under explored. Recognizing that psychology may play a role in a cyber attacker's behavior, we investigate how cognitive biases could be used to improve CTF education and security. In this paper, we present an approach to control cognitive biases, specifically Satisfaction of Search and Loss Aversion, to influence and potentially hinder attackers' effectiveness against web application vulnerabilities in a CTF style challenge. We employ a rigorous quantitative and qualitative analysis through a controlled human study of CTF tasks. CTF exercises are widely used in cybersecurity education and research to simulate real world attack scenarios and help participants develop critical skills by solving security challenges in controlled environments. In our study, participants interact with a web application containing deliberately embedded vulnerabilities while being subjected to tasks designed to trigger cognitive biases. Our study reveals that many participants exhibit the Satisfaction of Search bias and that this bias has a significant effect on their success. On average, participants found 25% fewer flags compared to those who did not exhibit this bias. Our findings provide valuable insights into how cognitive biases can be strategically employed to enhance cybersecurity outcomes, education, and measurements through the lens of CTF challenges.
- Abstract(参考訳): サイバーセキュリティトレーニングは、コンピュータサイエンス教育と工業化の重要な部分となっている。
Capture the Flag(CTF)コンペティションは、サイバーセキュリティとソフトウェアエンジニアリングのプロフェッショナルのスキルを開発し、洗練するための価値ある、ゲーミフィケーションなアプローチとして登場した。
しかし、CTFは現実世界の課題に対処するための制御された環境を提供するが、参加者の意思決定と問題解決プロセスはまだ検討中である。
サイバー攻撃者の行動において心理学が果たす役割を認識し,認知バイアスがCTF教育とセキュリティの改善にどのように役立つかを検討する。
本稿では,認知バイアス,特に検索と損失回避の満足度を制御し,CTFスタイルの課題におけるWebアプリケーションの脆弱性に対する攻撃者の有効性に影響を及ぼし,潜在的に阻害するアプローチを提案する。
我々は、CTFタスクの制御された人間による研究を通して、厳密な量的および質的な分析を採用する。
CTF演習は、サイバーセキュリティ教育や研究で、現実世界の攻撃シナリオをシミュレートし、参加者が制御された環境でセキュリティ上の課題を解決することで重要なスキルを開発するのを助けるために広く使用されている。
本研究は,認知バイアスを誘発するタスクを担いながら,故意に埋め込まれた脆弱性を含むWebアプリケーションと対話する。
本研究は,多くの参加者が検索バイアスの満足度を示し,このバイアスがその成功に有意な影響を与えていることを明らかにする。
平均して、このバイアスを示さない人に比べて、25%のフラグが検出された。
我々の発見は、認知バイアスがCTF課題のレンズを通して、サイバーセキュリティの成果、教育、測定を高めるために戦略的にどのように活用できるかについての貴重な洞察を提供する。
関連論文リスト
- Towards Improving IDS Using CTF Events [1.812535004393714]
本稿では,CTF(Capture the Flag)イベントによる侵入検知システム(IDS)の評価手法を提案する。
本研究は,IDSの弱点をライブCTFコンペティションに組み込むことにより識別するために,調整したCTF課題を用いることの有効性を検討する。
我々は、IDS固有の課題の開発を支援する方法論、学習とエンゲージメントを促進するスコアシステム、そして実際のJeopardyスタイルのCTFイベントにおいてそのような課題を実行するための洞察を提供する。
論文 参考訳(メタデータ) (2025-01-20T19:11:30Z) - Open Problems in Machine Unlearning for AI Safety [61.43515658834902]
特定の種類の知識を選択的に忘れたり、抑圧したりするマシンアンラーニングは、プライバシとデータ削除タスクの約束を示している。
本稿では,アンラーニングがAI安全性の包括的ソリューションとして機能することを防止するための重要な制約を特定する。
論文 参考訳(メタデータ) (2025-01-09T03:59:10Z) - Comprehensive Survey on Adversarial Examples in Cybersecurity: Impacts, Challenges, and Mitigation Strategies [4.606106768645647]
広告敵例(AE)は、ディープラーニングベースのシステムの堅牢性と信頼性に重要な課題を提起する。
本稿では,主要なサイバーセキュリティアプリケーションに対するAE攻撃の影響を概観する。
我々は,近年の防御機構の進歩を探求し,グラデーションマスキング,対人訓練,検出技術について検討した。
論文 参考訳(メタデータ) (2024-12-16T01:54:07Z) - Ontology-Aware RAG for Improved Question-Answering in Cybersecurity Education [13.838970688067725]
AIによる質問応答(QA)システムは、サイバーセキュリティの問題解決における不確実性を積極的に管理することができる。
大規模言語モデル(LLM)は、高度な言語理解とユーザエンゲージメントを提供するAI駆動のQAシステムで注目を集めている。
我々は,サイバーセキュリティ教育における信頼性および安全性の高いQAシステムを開発するための,オントロジー対応検索強化世代(RAG)アプローチであるCyberRAGを提案する。
論文 参考訳(メタデータ) (2024-12-10T21:52:35Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - Navigating Cybersecurity Training: A Comprehensive Review [7.731471533663403]
本調査では,従来型,技術ベース,イノベーティブな戦略を分析し,サイバーセキュリティ意識の訓練方法について検討する。
それぞれの手法の原則、有効性、制約を評価し、それらの長所と短所を強調する比較分析を示す。
論文 参考訳(メタデータ) (2024-01-20T21:14:24Z) - Designing an attack-defense game: how to increase robustness of
financial transaction models via a competition [69.08339915577206]
金融セクターにおける悪意ある攻撃のエスカレートリスクを考えると、機械学習モデルの敵戦略と堅牢な防御メカニズムを理解することが重要である。
本研究の目的は、逐次的な財務データを入力として使用するニューラルネットワークモデルに対する敵攻撃と防御の現状とダイナミクスを調査することである。
我々は、現代の金融取引データにおける問題の現実的かつ詳細な調査を可能にする競争を設計した。
参加者は直接対決するので、実生活に近い環境で攻撃や防御が検討される。
論文 参考訳(メタデータ) (2023-08-22T12:53:09Z) - Measurement-driven Security Analysis of Imperceptible Impersonation
Attacks [54.727945432381716]
本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。
皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。
また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
論文 参考訳(メタデータ) (2020-08-26T19:27:27Z) - Modeling Penetration Testing with Reinforcement Learning Using
Capture-the-Flag Challenges: Trade-offs between Model-free Learning and A
Priori Knowledge [0.0]
侵入テストは、システムに対する攻撃をシミュレートしてシステムのセキュリティを評価するためのセキュリティエクササイズである。
本稿では,フラッグハックの難しさをとらえる形で表現された,簡易な浸透試験問題に焦点を当てる。
エージェントに提供可能な事前知識の異なる形式に依存することで、この課題が緩和される可能性を示す。
論文 参考訳(メタデータ) (2020-05-26T11:23:10Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。