論文の概要: From CVE to CWE: Syscall-Based HIDS Generalisation
- arxiv url: http://arxiv.org/abs/2606.22581v1
- Date: Sun, 21 Jun 2026 16:34:39 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-25 14:48:08.960071
- Title: From CVE to CWE: Syscall-Based HIDS Generalisation
- Title(参考訳): CVEからCWEへ:SyscallベースのHIDS一般化
- Authors: Alexander V. Kozachok, Stanislav G. Vyugov, Shamil G. Magomedov,
- Abstract要約: 運用環境では、ディフェンダーは既知の脆弱性の新たなエクスプロイトを認識する必要がある。
我々は,CWE(Common Weaknession)クラスを共有するCVEの正常な動作に基づいて訓練された一級異常検知器が,同一クラス内の別の未知のCVEに一般化するか否かを実証的に検証した。
- 参考スコア(独自算出の注目度): 41.99844472131922
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Host intrusion detection systems (HIDS) based on system-call traces are typically trained and evaluated against individual Common Vulnerabilities and Exposures (CVE) instances. In operational settings, however, defenders need to recognise new exploits of an already known type of weakness. We empirically examine whether a one-class anomaly detector trained on the normal behaviour of a set of CVEs that share a Common Weakness Enumeration (CWE) class generalises to a different, unseen CVE inside the same class. Using six scenarios drawn from LID-DS-2021 and grouped into three CWE families (CWE-307 broken authentication, CWE-89 SQL injection, CWE-434 unrestricted file upload), we extract a 66-dimensional Peng-Guo-style feature vector per sliding window and train Isolation Forest and SGD One-Class SVM detectors with normal-only thresholds calibrated to fixed target false positive rates. We define and answer four research questions covering self-detection, asymmetric cross-CVE transfer, the value of a combined CWE-level normal profile, and the effect of feature filtering on transferability. The combined CWE-307 detector reaches F1 = 0.6976 at calibration target FPR = 0.05 (precision = 0.8994, recall = 0.5698), whereas CWE-89 and CWE-434 collapse to F1 <= 0.21 under the same protocol. Cross-CVE transfer turns out to be strongly direction-dependent and dominated by the breadth of the source normal profile rather than by the CWE label. We conclude that CWE-level generalisation in HIDS is empirically attainable for some but not all weakness families with current syscall features, and we argue that calibrated FPR is a methodological prerequisite for honest reporting in this setting.
- Abstract(参考訳): システムコールトレースに基づくホスト侵入検知システム(HIDS)は、通常、個別の共通脆弱性および暴露(CVE)インスタンスに対して訓練され、評価される。
しかし、運用環境では、ディフェンダーは既知の弱点の新たなエクスプロイトを認識する必要がある。
我々は,CWE(Common Weakness Enumeration)クラスを共有するCVEの正常な動作に基づいて訓練された一級異常検知器が,同一クラス内の異なる未知のCVEに一般化するか否かを実証的に検証した。
LID-DS-2021から引き出された6つのシナリオを3つのCWEファミリー(CWE-307、CWE-89 SQLインジェクション、CWE-434ファイルアップロード)にグループ分けし、66次元のPeng-Guoスタイルの特徴ベクトルをスライディングウインドウと列車分離林とSGDワンクラスSVM検出器で抽出し、固定目標偽陽性率に調整した。
我々は,自己検出,非対称なクロスCVE転送,組み合わせたCWEレベルの正規プロファイルの値,特徴フィルタリングが伝達性に与える影響について,4つの研究課題を定義し,回答する。
組み合わせたCWE-307検出器はキャリブレーションターゲットFPR = 0.05(精度 = 0.8994、リコール = 0.5698)でF1 = 0.6976に達するが、CWE-89とCWE-434は同じプロトコルでF1 <= 0.21に崩壊する。
クロスCVE転送は、CWEラベルよりもソース正規プロファイルの幅が強く依存していることが判明した。
我々は、HIDSにおけるCWEレベルの一般化は、現在のサイスコール特徴を持つ弱体家族に対して経験的に達成可能であると結論付け、この設定において、キャリブレーションFPRは、正直な報告のための方法論的な前提条件である、と論じる。
関連論文リスト
- The Geometry of Refusal: Linear Instability in Safety-Aligned LLMs [1.4323566945483497]
我々は、"拒絶方向"を分離するゼロ最適化フレームワークであるContrastive Logit Steering (CLS)を紹介した。
CLSは出力分布を直接操作し、アライメントの診断プローブとして機能する。
7つのモデルファミリーに関する実験により、安全実装がアーキテクチャ上決定論的であることが判明した。
論文 参考訳(メタデータ) (2026-06-21T22:04:48Z) - Calibration Without Comprehension: Diagnosing the Limits of Fine-Tuning LLMs for Vulnerability Detection in Systems Software [1.0026496861838445]
CWE-Traceは、手動でキュレートされたLinuxカーネルサンプルから構築された脆弱性検出フレームワークである。
対象でない検出,ターゲット検出,CWE分類において,8つのバニラLLMと15のLORA微調整変異体を評価した。
論文 参考訳(メタデータ) (2026-06-18T17:19:26Z) - Online Shift Detection and Conformal Adaptation for Deployed Safety Classifiers [0.0]
デプロイされた安全分類器における分散シフトのオンラインモニタリングシステムを提案する。
検出後、共形吸収層は、目標誤差を回復する決定に適応する。
このシステムは平均遅延39.5800ステップで86.6%の検知を実現している。
論文 参考訳(メタデータ) (2026-06-10T11:24:25Z) - Output Type Before Quality: A Standards-Derived XAI Admissibility Rubric for Autonomous-Driving Safety [0.4958589793470846]
MLベースの自律運転の安全基準は、保証事例が含まなければならない証拠の種類を規定している(直接因果連鎖、定量化された介入効果、根因変数)。
しかし、XAI文献は出力型と技法系(相性マップ、特徴属性、反事実、因果グラフ、言語トレース)で整理されている。
私たちはこのミスマッチをエビデンスタイプのギャップと呼んでいます。
安全保証のためのXAI手法の選択は,メソッドの人気ではなく,ライフサイクル段階のエビデンス要求によって行うべきである。
論文 参考訳(メタデータ) (2026-06-03T21:37:52Z) - Amplifying, Not Learning: Fine-Tuned AI Text Detectors Amplify a Pretrained Direction [51.56484100374058]
テキスト検出器は、事前訓練された典型軸を増幅する。
タスク監督前の生エンコーダでは、3つのアーキテクチャでNYT-vs-HC3 AUROC 0.806/0.944/0.834を達成する。
RoBERTaベースでは、生のプロジェクションは微調整を超えるが、RoBERTaベースでは、フル微調整は、試験された流線型人口の双方で生よりも識別を小さくする。
論文 参考訳(メタデータ) (2026-05-20T19:08:38Z) - CLASP: Defending Hybrid Large Language Models Against Hidden State Poisoning Attacks [48.54598003197356]
Mambaのような状態空間モデル(SSM)はトランスフォーマーの効率的な代替品として大きな注目を集めている。
HiSPAsは、最近発見された脆弱性で、敵対する文字列を通じてSSMメモリを破損させる。
この脅威に対して防御するためのCLASPモデルを紹介します。
論文 参考訳(メタデータ) (2026-03-12T17:29:55Z) - AttentiveGRUAE: An Attention-Based GRU Autoencoder for Temporal Clustering and Behavioral Characterization of Depression from Wearable Data [46.262619407930266]
本稿では,時間的クラスタリングと縦型ウェアラブルデータによる結果の予測を目的とした,新しい注意型ゲートリカレントユニット(GRU)オートエンコーダであるAttentiveGRUAEを提案する。
372名(GLOBEM 2018-2019)の長期睡眠データからAttentiveGRUAEを評価する。
これは、クラスタリングの品質と抑うつの分類の両方において、ベースラインクラスタリング、ドメイン指向の自己教師付きモデル、および改善されたモデルよりも優れたパフォーマンスを示す。
論文 参考訳(メタデータ) (2025-10-02T20:52:16Z) - CLUE: Non-parametric Verification from Experience via Hidden-State Clustering [64.50919789875233]
隠れアクティベーションの軌跡内の幾何的に分離可能なシグネチャとして解の正しさが符号化されていることを示す。
ClUE は LLM-as-a-judge ベースラインを一貫して上回り、候補者の再選において近代的な信頼に基づく手法に適合または超えている。
論文 参考訳(メタデータ) (2025-10-02T02:14:33Z) - Learning Classifiers of Prototypes and Reciprocal Points for Universal
Domain Adaptation [79.62038105814658]
Universal Domainは、ドメインシフトとカテゴリシフトという2つのシフトを処理して、データセット間で知識を転送することを目的としている。
主な課題は、既知のクラス知識の分布をソースからターゲットに適応させながら、未知のターゲットサンプルを正しく識別することである。
既存のほとんどの手法は、まずターゲットが適応した既知の知識を訓練し、次に未知のターゲットサンプルを識別するために単一のしきい値に依存することでこの問題に対処する。
論文 参考訳(メタデータ) (2022-12-16T09:01:57Z) - ThreatZoom: CVE2CWE using Hierarchical Neural Network [4.254099382808598]
1つ以上のCVEは、Common Weakness Exposureion (CWE)クラスにグループ化される。
何千もの重要なCVEと新しいCVEは未分類のままだが、パッチできない。
本稿では,CVEをCWEに分類する最初の自動ツールを提案する。
論文 参考訳(メタデータ) (2020-09-24T06:04:56Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。