論文の概要: An Automated Blackbox Noncompliance Checker for QUIC Server Implementations
- arxiv url: http://arxiv.org/abs/2505.12690v1
- Date: Mon, 19 May 2025 04:28:49 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-20 14:57:11.40026
- Title: An Automated Blackbox Noncompliance Checker for QUIC Server Implementations
- Title(参考訳): QUICサーバ実装のための自動ブラックボックス非準拠チェッカー
- Authors: Kian Kai Ang, Guy Farrelly, Cheryl Pope, Damith C. Ranasinghe,
- Abstract要約: QUICtesterは、承認されたQUICプロトコル実装(RFC 9000/)における非準拠の動作を明らかにするための自動化アプローチである。
我々はQUICtesterを用いて、19のQUIC実装から得られた186個の学習モデルを5つのセキュリティ設定で解析し、55個の実装エラーを発見した。
- 参考スコア(独自算出の注目度): 2.9248916859490173
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: We develop QUICtester, an automated approach for uncovering non-compliant behaviors in the ratified QUIC protocol implementations (RFC 9000/9001). QUICtester leverages active automata learning to abstract the behavior of a QUIC implementation into a finite state machine (FSM) representation. Unlike prior noncompliance checking methods, to help uncover state dependencies on event timing, QUICtester introduces the idea of state learning with event timing variations, adopting both valid and invalid input configurations, and combinations of security and transport layer parameters during learning. We use pairwise differential analysis of learned behaviour models of tested QUIC implementations to identify non-compliance instances as behaviour deviations in a property-agnostic way. This exploits the existence of the many different QUIC implementations, removing the need for validated, formal models. The diverse implementations act as cross-checking test oracles to discover non-compliance. We used QUICtester to analyze analyze 186 learned models from 19 QUIC implementations under the five security settings and discovered 55 implementation errors. Significantly, the tool uncovered a QUIC specification ambiguity resulting in an easily exploitable DoS vulnerability, led to 5 CVE assignments from developers, and two bug bounties thus far.
- Abstract(参考訳): 我々は、QUICプロトコル実装(RFC 9000/9001)において、非準拠な動作を明らかにするための自動アプローチであるQUICtesterを開発する。
QUICtesterはアクティブオートマトン学習を利用してQUIC実装の動作を有限状態マシン(FSM)表現に抽象化する。
従来の非準拠チェック方法とは異なり、QUICtesterは、イベントタイミングに対する状態依存を明らかにするために、イベントタイミングの変動を伴う状態学習の概念を導入し、有効な入力設定と無効な入力設定の両方を採用し、学習中にセキュリティとトランスポート層パラメータを組み合わせる。
テストされたQUIC実装の学習行動モデルのペアワイズ差分解析を用いて、非コンプライアンスインスタンスをプロパティに依存しない方法での振る舞い偏差として識別する。
これは多くの異なるQUIC実装の存在を悪用し、検証された形式モデルの必要性を排除した。
多様な実装は、非準拠を発見するためのクロスチェックテストオラクルとして機能する。
我々はQUICtesterを用いて、19個のQUIC実装から得られた186個の学習モデルを5つのセキュリティ設定で解析し、55個の実装エラーを発見した。
重要なことに、このツールはQUIC仕様の曖昧さを発見し、簡単に悪用できるDoS脆弱性を発生させ、開発者から5つのCVE割り当てと2つのバグ報奨金を得た。
関連論文リスト
- CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。
CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。
物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
論文 参考訳(メタデータ) (2025-05-14T13:37:07Z) - AI-Based Vulnerability Analysis of NFT Smart Contracts [6.378351117969227]
本研究では,NFTスマートコントラクトの脆弱性を検出するAI駆動型アプローチを提案する。
我々は16,527のパブリックなスマートコントラクトコードを収集し、これらを5つの脆弱性カテゴリに分類した: Risky Mutable Proxy, ERC-721 Reentrancy, Unlimited Minting, Missing Requirements, Public Burn。
ランダムデータ/機能サンプリングとマルチツリー統合によるロバスト性向上のために,ランダムフォレストモデルを実装した。
論文 参考訳(メタデータ) (2025-04-18T08:55:31Z) - On the Mistaken Assumption of Interchangeable Deep Reinforcement Learning Implementations [53.0667196725616]
ディープ・強化学習(Deep Reinforcement Learning, DRL)とは、エージェントがニューラルネットワークを使って特定の環境でどのアクションをとるかを学ぶ人工知能のパラダイムである。
DRLは最近、ドライビングシミュレーター、3Dロボット制御、マルチプレイヤー・オンライン・バトル・アリーナ・ビデオゲームといった複雑な環境を解くことで注目を集めている。
現在、Deep Q-Network (DQN) や Proximal Policy Optimization (PPO) アルゴリズムのような、これらのエージェントを訓練する最先端のアルゴリズムの実装が数多く存在する。
論文 参考訳(メタデータ) (2025-03-28T16:25:06Z) - Interactive Agents to Overcome Ambiguity in Software Engineering [61.40183840499932]
AIエージェントは、あいまいで不明確なユーザー指示に基づいて、タスクを自動化するためにますますデプロイされている。
不安定な仮定をし、明確な質問をしないことは、最適以下の結果につながる可能性がある。
対話型コード生成設定において,LLMエージェントが不明瞭な命令を処理する能力について,プロプライエタリモデルとオープンウェイトモデルを評価して検討する。
論文 参考訳(メタデータ) (2025-02-18T17:12:26Z) - A Match Made in Heaven? Matching Test Cases and Vulnerabilities With the VUTECO Approach [4.8556535196652195]
本稿では,Javaリポジトリから脆弱性知能テストのインスタンスを収集するディープラーニングベースのアプローチであるVUTECOを紹介する。
VUTECOはFindingタスクに対処し、VUL4Jで検証されたテストケースの完全精度と0.83 F0.5スコアを達成した。
マッチタスクに十分なパフォーマンスを示したにもかかわらず、VUTECOは野生での有効な試合の回収に失敗した。
論文 参考訳(メタデータ) (2025-02-05T17:02:42Z) - Automatically Adaptive Conformal Risk Control [49.95190019041905]
本稿では,テストサンプルの難易度に適応して,統計的リスクの近似的条件制御を実現する手法を提案する。
我々のフレームワークは、ユーザが提供するコンディショニングイベントに基づく従来のコンディショニングリスク制御を超えて、コンディショニングに適した関数クラスのアルゴリズム的、データ駆動決定を行う。
論文 参考訳(メタデータ) (2024-06-25T08:29:32Z) - MOTIF: A tool for Mutation Testing with Fuzzing [3.4742750855568763]
ミューテーションテストは、セーフティクリティカルなサイバー物理システムで動作する組み込みソフトウェアにとって望ましいプラクティスである。
MOTIFは、グレーボックスファジィツールを活用して、ミュータント内の注入された欠陥を検出するCの単体テストケースを生成することで制限を克服する。
論文 参考訳(メタデータ) (2024-06-04T15:12:01Z) - Unsupervised Continual Anomaly Detection with Contrastively-learned
Prompt [80.43623986759691]
UCADと呼ばれる新しい非教師付き連続異常検出フレームワークを提案する。
このフレームワークは、対照的に学習したプロンプトを通じて、UDAに継続的な学習能力を持たせる。
我々は総合的な実験を行い、教師なし連続異常検出とセグメンテーションのベンチマークを設定した。
論文 参考訳(メタデータ) (2024-01-02T03:37:11Z) - Test Generation Strategies for Building Failure Models and Explaining
Spurious Failures [4.995172162560306]
テスト入力は、テスト対象のシステムが故障している場合だけでなく、入力が無効または非現実的である場合も失敗する。
テストインプットに対して解釈可能なルールを推論し,重大な障害を引き起こす障害モデルを構築することを提案する。
提案手法は, 平均精度83%の故障モデルを生成する。
論文 参考訳(メタデータ) (2023-12-09T18:36:15Z) - DARTH: Holistic Test-time Adaptation for Multiple Object Tracking [87.72019733473562]
複数物体追跡(MOT)は、自律運転における知覚システムの基本的構成要素である。
運転システムの安全性の追求にもかかわらず、テスト時間条件における領域シフトに対するMOT適応問題に対する解決策は提案されていない。
我々はMOTの総合的なテスト時間適応フレームワークであるDARTHを紹介する。
論文 参考訳(メタデータ) (2023-10-03T10:10:42Z) - Verifying Quantized Neural Networks using SMT-Based Model Checking [2.38142799291692]
インクリメンタルモデルチェック(IMC)と満足度変調理論(SMT)を用いたシンボリック検証フレームワークの開発と評価を行った。
浮動小数点演算と不動小数点演算の両方で実装されたANNの安全な挙動を保証できる。
小規模から中規模のANNの場合、我々の手法は検証のほとんどを数分で完了します。
論文 参考訳(メタデータ) (2021-06-10T18:27:45Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。