BLOGTIMES
« :: »
2017/07/17

脆弱性検査のためのテストデータを推薦するシステム

  testing 
このエントリーをはてなブックマークに追加

MBSD が PyRecommender というウェブアプリケーションの脆弱性検査を行うための入力文字列を推薦するシステムを公開していたのでメモ。

脆弱性検査のためのテストデータを生成する手法としてはファジングがすぐに思い浮かびます。以前紹介した IPA の iFuzzMaker を見ればわかりますが、データ生成はあらかじめ用意しておいた特定の値(同値類、境界値のうちエラーの原因になりやすいもの)を用いたり、それらの値を多少変更したり、もしくはランダムに値を選んだりするようになっています。

今回のシステムはこれらとは違って最近流行の機械学習を使ってパターンを自動的に生成してやろうというもののようです。

Webセキュリティエンジニアのためのレコメンドエンジン -初級編- | MBSD Blog

過去の膨大な脆弱性検査結果を基に、脆弱性の様々な発現パターンをベクトル化し、機械学習を用いて学習しています。そして、新たに脆弱性の可能性のある挙動を検知した場合、学習結果に基づいて最適な検査文字列をレコメンドする仕組みになっています。

Github にコードが公開されているようなので、後ほど試してみたいと思います。


    by hsur at 15:35 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
    こんな記事もあります 「検査 機械学習 脆弱性
    年次の人間ドックへ
    バレット食道?
    Windows Update の日 ( 2024 年 2 月 )
    米疾病予防管理センター (CDC) が日本に事務所を開設
    頸動脈エコーを受けてきた
    セキュリティ・クリアランス法制の罰則は特定秘密保護法と同等に
    久しぶりに普通の風邪をひいたらしい
    血液検査の結果は・・・
    今年の健康診断は要再検査に
    ネットワーク機器を廃棄する前に設定情報の消去を
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9434
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.