EAGER: Finding Semantic Security Bugs with Pseudo-Oracle Testing

EAGER:通过伪 Oracle 测试查找语义安全漏洞

基本信息

  • 批准号:
    1842456
  • 负责人:
  • 金额:
    $ 20万
  • 依托单位:
  • 依托单位国家:
    美国
  • 项目类别:
    Standard Grant
  • 财政年份:
    2018
  • 资助国家:
    美国
  • 起止时间:
    2018-10-01 至 2020-09-30
  • 项目状态:
    已结题

项目摘要

Semantic security bugs cause serious vulnerabilities across a wide range of software. For example, in a recent incident, attackers exploited a semantic security bug in Apache Struts to steal sensitive personal data of up to 143 million customers from Equifax servers. In fact, such vulnerabilities are quite common in practice. The total number of Common Vulnerabilities and Exposure Identifiers (CVEs) assigned to different types of semantic security bugs exceeds 2,000 just this year alone. The goal of this project is to improve security and reliability by automatically detecting such semantic vulnerabilities in critical software. Automatically detecting these bugs is hard because unlike crash bugs they may not show any obvious side effects. In contrast, semantic security bugs (e.g., bypassing security checks, gaining access to sensitive information, escalating privileges) usually result from violation of high-level safety/security specifications which, in practice, are rarely written formally. This project will investigate whether learning domain-specific metamorphic relations can help in detecting semantic bugs. In Software Engineering, metamorphic relations, which correlate outputs from multiple executions of a program with different inputs, have been shown to be effective at finding simple functional bugs. While metamorphic relations have promise to detect semantic security vulnerabilities, they are not able to detect semantic security vulnerabilities in their current form, as security properties cannot be expressed as simple input-output based properties. The approach uses pseudo-oracle testing techniques like differential testing and metamorphic testing. The project will use targeted path exploration techniques, with automata-learning algorithms to discover metamorphic testing rules. The project will learn how the semantics of metamorphic relations can be augmented to detect semantic security bugs. The research envisions a unified framework based on pseudo-random Oracles, which can automatically detect semantic security bugs without the need for manually creating formal specifications to compare program behaviors of related executions. As a first step, the objective of this EAGER project is to empirically measure whether there is a comprehensive range of semantically expressive pseudo-oracle relations that can detect semantic security vulnerabilities.This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria.
语义安全错误会导致多种软件出现严重漏洞。例如,在最近的一次事件中,攻击者利用 Apache Struts 中的语义安全漏洞从 Equifax 服务器窃取了多达 1.43 亿客户的敏感个人数据。事实上,此类漏洞在实践中相当普遍。仅今年一年,分配给不同类型语义安全漏洞的通用漏洞和暴露标识符 (CVE) 总数就超过 2,000 个。该项目的目标是通过自动检测关键软件中的此类语义漏洞来提高安全性和可靠性。自动检测这些错误很困难,因为与崩溃错误不同,它们可能不会表现出任何明显的副作用。相反,语义安全错误(例如,绕过安全检查、获取敏感信息的访问权限、升级权限)通常是由于违反高级安全/安保规范而导致的,而在实践中,这些规范很少被正式编写。该项目将研究学习特定领域的变形关系是否有助于检测语义错误。 在软件工程中,变质关系将程序多次执行的输出与不同的输入相关联,已被证明可以有效地发现简单的功能错误。虽然变质关系有望检测语义安全漏洞,但它们无法检测当前形式的语义安全漏洞,因为安全属性不能表示为简单的基于输入输出的属性。该方法使用伪预言测试技术,例如差异测试和变形测试。该项目将使用有针对性的路径探索技术和自动学习算法来发现变质测试规则。该项目将学习如何增强变质关系的语义来检测语义安全错误。该研究设想了一个基于伪随机预言的统一框架,它可以自动检测语义安全错误,而无需手动创建正式规范来比较相关执行的程序行为。作为第一步,该 EAGER 项目的目标是凭经验衡量是否存在可以检测语义安全漏洞的全面的语义表达伪预言关系。该奖项反映了 NSF 的法定使命,并通过评估认为值得支持利用基金会的智力优势和更广泛的影响审查标准。

项目成果

期刊论文数量(9)
专著数量(0)
科研奖励数量(0)
会议论文数量(0)
专利数量(0)
SABER: Identifying SimilAr BEhavioR for Program Comprehension
  • DOI:
  • 发表时间:
    2020
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Aditya Sridhar;Guanming Qiao;G. Kaiser
  • 通讯作者:
    Aditya Sridhar;Guanming Qiao;G. Kaiser
Testing DNN Image Classifier for Confusion & Bias Errors
测试 DNN 图像分类器的混淆情况
Side Channel Attack on Smartphone Sensors to Infer Gender of the User
对智能手机传感器进行侧信道攻击以推断用户性别
Binary Quilting to Generate Patched Executables without Compilation
二进制绗缝以生成修补的可执行文件而无需编译
Ad hoc Test Generation Through Binary Rewriting
{{ item.title }}
{{ item.translation_title }}
  • DOI:
    {{ item.doi }}
  • 发表时间:
    {{ item.publish_year }}
  • 期刊:
  • 影响因子:
    {{ item.factor }}
  • 作者:
    {{ item.authors }}
  • 通讯作者:
    {{ item.author }}

数据更新时间:{{ journalArticles.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ monograph.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ sciAawards.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ conferencePapers.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ patent.updateTime }}

Baishakhi Ray其他文献

Variation of Gender Biases in Visual Recognition Models Before and After Finetuning
视觉识别模型微调前后性别偏差的变化
  • DOI:
    10.48550/arxiv.2303.07615
  • 发表时间:
    2023
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Jaspreet Ranjit;Tianlu Wang;Baishakhi Ray;Vicente Ordonez
  • 通讯作者:
    Vicente Ordonez
A Case Study on the Impact of Similarity Measure on Information Retrieval based Software Engineering Tasks
相似性度量对基于信息检索的软件工程任务影响的案例研究
  • DOI:
  • 发表时间:
    2018
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Md Masudur Rahman;Saikat Chakraborty;G. Kaiser;Baishakhi Ray
  • 通讯作者:
    Baishakhi Ray
KGym: A Platform and Dataset to Benchmark Large Language Models on Linux Kernel Crash Resolution
KGym:在 Linux 内核崩溃解决方案上对大型语言模型进行基准测试的平台和数据集
  • DOI:
  • 发表时间:
    2024
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Alex Mathai;Chenxi Huang;Petros Maniatis;A. Nogikh;Franjo Ivancic;Junfeng Yang;Baishakhi Ray
  • 通讯作者:
    Baishakhi Ray
Poster: Searching for High-Performing Software Configurations with Metaheuristic Algorithms
海报:使用元启发式算法搜索高性能软件配置
Recommending GitHub Projects for Developer Onboarding
推荐用于开发人员入门的 GitHub 项目
  • DOI:
    10.1109/access.2018.2869207
  • 发表时间:
    2018-09
  • 期刊:
  • 影响因子:
    3.9
  • 作者:
    Chao Liu;Dan Yang;Xiaohong Zhang;Baishakhi Ray;Md. Masudur Rahman
  • 通讯作者:
    Md. Masudur Rahman

Baishakhi Ray的其他文献

{{ item.title }}
{{ item.translation_title }}
  • DOI:
    {{ item.doi }}
  • 发表时间:
    {{ item.publish_year }}
  • 期刊:
  • 影响因子:
    {{ item.factor }}
  • 作者:
    {{ item.authors }}
  • 通讯作者:
    {{ item.author }}

{{ truncateString('Baishakhi Ray', 18)}}的其他基金

Collaborative Research: SHF: Medium: Learning Semantics of Code To Automate Software Assurance Tasks
协作研究:SHF:媒介:学习代码语义以自动化软件保障任务
  • 批准号:
    2313055
  • 财政年份:
    2023
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
Collaborative Research: SHF: Medium: Causal Performance Debugging for Highly-Configurable Systems
合作研究:SHF:中:高度可配置系统的因果性能调试
  • 批准号:
    2107405
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
Workshop on Deep Learning and Software Engineering
深度学习与软件工程研讨会
  • 批准号:
    1945999
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
TWC: Small: Collaborative: Automated Detection and Repair of Error Handling Bugs in SSL/TLS Implementations
TWC:小:协作:自动检测和修复 SSL/TLS 实现中的错误处理错误
  • 批准号:
    1946068
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
CAREER: Systematic Software Testing for Deep Learning Applications
职业:深度学习应用程序的系统软件测试
  • 批准号:
    1845893
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Continuing Grant
CHS: Small: Translating Compilers for Visual Computing in Dynamic Languages
CHS:小型:用动态语言翻译用于视觉计算的编译器
  • 批准号:
    1936523
  • 财政年份:
    2018
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
CHS: Small: Translating Compilers for Visual Computing in Dynamic Languages
CHS:小型:用动态语言翻译用于视觉计算的编译器
  • 批准号:
    1619123
  • 财政年份:
    2016
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
TWC: Small: Collaborative: Automated Detection and Repair of Error Handling Bugs in SSL/TLS Implementations
TWC:小:协作:自动检测和修复 SSL/TLS 实现中的错误处理错误
  • 批准号:
    1618771
  • 财政年份:
    2016
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant

相似国自然基金

基于本体推理和语义网检索的中西药物相互作用知识发现研究
  • 批准号:
    82274684
  • 批准年份:
    2022
  • 资助金额:
    49 万元
  • 项目类别:
    面上项目
融合视觉特征的城市空间场景跨模态关联学习及其上下文语义模式发现
  • 批准号:
    41871305
  • 批准年份:
    2018
  • 资助金额:
    58.0 万元
  • 项目类别:
    面上项目
基于GIS和语义发掘的高原病藏医古籍文献诊疗知识可视化发现研究
  • 批准号:
    81803851
  • 批准年份:
    2018
  • 资助金额:
    20.0 万元
  • 项目类别:
    青年科学基金项目
基于标签语义挖掘的城市画像计算与应用模型研究
  • 批准号:
    71804055
  • 批准年份:
    2018
  • 资助金额:
    20.5 万元
  • 项目类别:
    青年科学基金项目
基于关注发现、标题提取、以及语义索引的查询感知视频诠释模型
  • 批准号:
    61872256
  • 批准年份:
    2018
  • 资助金额:
    63.0 万元
  • 项目类别:
    面上项目

相似海外基金

Neural dynamics and substrates of graphical knowledge
神经动力学和图形知识的基础
  • 批准号:
    10371663
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
Spatial and nonspatial knowledge
空间和非空间知识
  • 批准号:
    10334497
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
Neural dynamics and substrates of graphical knowledge
神经动力学和图形知识的基础
  • 批准号:
    10487519
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
Spatial and nonspatial knowledge
空间和非空间知识
  • 批准号:
    10556335
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
Finding Word and Sentence-based Semantic Similarity among Text-based Content
在基于文本的内容中查找基于单词和句子的语义相似性
  • 批准号:
    548620-2019
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    University Undergraduate Student Research Awards
{{ showInfoDetail.title }}

作者:{{ showInfoDetail.author }}

知道了