EAGER: Finding Semantic Security Bugs with Pseudo-Oracle Testing

EAGER:通过伪 Oracle 测试查找语义安全漏洞

基本信息

  • 批准号:
    1842456
  • 负责人:
    Baishakhi Ray
  • 金额:
    $ 20万
  • 依托单位:
    Columbia University
  • 依托单位国家:
    美国
  • 项目类别:
    Standard Grant
  • 财政年份:
    2018
  • 资助国家:
    美国
  • 起止时间:
    2018-10-01 至 2020-09-30
  • 项目状态:
    已结题

项目摘要

Semantic security bugs cause serious vulnerabilities across a wide range of software. For example, in a recent incident, attackers exploited a semantic security bug in Apache Struts to steal sensitive personal data of up to 143 million customers from Equifax servers. In fact, such vulnerabilities are quite common in practice. The total number of Common Vulnerabilities and Exposure Identifiers (CVEs) assigned to different types of semantic security bugs exceeds 2,000 just this year alone. The goal of this project is to improve security and reliability by automatically detecting such semantic vulnerabilities in critical software. Automatically detecting these bugs is hard because unlike crash bugs they may not show any obvious side effects. In contrast, semantic security bugs (e.g., bypassing security checks, gaining access to sensitive information, escalating privileges) usually result from violation of high-level safety/security specifications which, in practice, are rarely written formally. This project will investigate whether learning domain-specific metamorphic relations can help in detecting semantic bugs. In Software Engineering, metamorphic relations, which correlate outputs from multiple executions of a program with different inputs, have been shown to be effective at finding simple functional bugs. While metamorphic relations have promise to detect semantic security vulnerabilities, they are not able to detect semantic security vulnerabilities in their current form, as security properties cannot be expressed as simple input-output based properties. The approach uses pseudo-oracle testing techniques like differential testing and metamorphic testing. The project will use targeted path exploration techniques, with automata-learning algorithms to discover metamorphic testing rules. The project will learn how the semantics of metamorphic relations can be augmented to detect semantic security bugs. The research envisions a unified framework based on pseudo-random Oracles, which can automatically detect semantic security bugs without the need for manually creating formal specifications to compare program behaviors of related executions. As a first step, the objective of this EAGER project is to empirically measure whether there is a comprehensive range of semantically expressive pseudo-oracle relations that can detect semantic security vulnerabilities.This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria.
语义安全错误会导致大量软件出现严重漏洞。例如,在最近的一次事件中,攻击者利用Apache Struts中的语义安全漏洞从Equifax服务器窃取了多达1.43亿客户的敏感个人数据。事实上,这样的漏洞在实践中相当普遍。仅今年一年,针对不同类型语义安全漏洞的常见漏洞和暴露标识符(cve)的总数就超过了2000个。该项目的目标是通过自动检测关键软件中的语义漏洞来提高安全性和可靠性。自动检测这些bug是很困难的,因为与崩溃bug不同,它们可能不会显示出任何明显的副作用。相反,语义安全错误(例如,绕过安全检查、获得对敏感信息的访问、升级特权)通常是由于违反高级安全/安全规范而导致的,而这些规范在实践中很少被正式编写。这个项目将研究学习特定领域的变质关系是否有助于检测语义错误。在软件工程中,将程序的多次执行的输出与不同的输入相关联的变形关系,已被证明在查找简单的功能错误方面是有效的。虽然变形关系有希望检测语义安全漏洞,但由于安全属性不能表示为简单的基于输入-输出的属性,因此它们不能以当前形式检测语义安全漏洞。该方法使用伪oracle测试技术,如差分测试和变质测试。该项目将使用目标路径探索技术,以及自动学习算法来发现变形测试规则。该项目将学习如何增强变形关系的语义以检测语义安全漏洞。该研究设想了一个基于伪随机oracle的统一框架,它可以自动检测语义安全漏洞,而无需手动创建正式规范来比较相关执行的程序行为。作为第一步,这个EAGER项目的目标是经验地衡量是否存在一个全面的语义表达伪oracle关系,可以检测语义安全漏洞。该奖项反映了美国国家科学基金会的法定使命,并通过使用基金会的知识价值和更广泛的影响审查标准进行评估,被认为值得支持。

项目成果

期刊论文数量(9)
专著数量(0)
科研奖励数量(0)
会议论文数量(0)
专利数量(0)
SABER: Identifying SimilAr BEhavioR for Program Comprehension
  • DOI:
  • 发表时间:
    2020
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Aditya Sridhar;Guanming Qiao;G. Kaiser
  • 通讯作者:
    Aditya Sridhar;Guanming Qiao;G. Kaiser
Testing DNN Image Classifier for Confusion & Bias Errors
测试 DNN 图像分类器的混淆情况
Side Channel Attack on Smartphone Sensors to Infer Gender of the User
对智能手机传感器进行侧信道攻击以推断用户性别
Ad hoc Test Generation Through Binary Rewriting
Binary Quilting to Generate Patched Executables without Compilation
二进制绗缝以生成修补的可执行文件而无需编译
{{ item.title }}
{{ item.translation_title }}
  • DOI:
    {{ item.doi }}
  • 发表时间:
    {{ item.publish_year }}
  • 期刊:
    {{ item.journal_name }}
  • 影响因子:
    {{ item.factor }}
  • 作者:
    {{ item.authors }}
  • 通讯作者:
    {{ item.author }}

数据更新时间:{{ journalArticles.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ monograph.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ sciAawards.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ conferencePapers.updateTime }}

{{ item.title }}
  • 作者:
    {{ item.author }}

数据更新时间:{{ patent.updateTime }}

Baishakhi Ray其他文献

Variation of Gender Biases in Visual Recognition Models Before and After Finetuning
视觉识别模型微调前后性别偏差的变化
  • DOI:
    10.48550/arxiv.2303.07615
  • 发表时间:
    2023
  • 期刊:
    ArXiv
  • 影响因子:
    0
  • 作者:
    Jaspreet Ranjit;Tianlu Wang;Baishakhi Ray;Vicente Ordonez
  • 通讯作者:
    Vicente Ordonez
A Case Study on the Impact of Similarity Measure on Information Retrieval based Software Engineering Tasks
相似性度量对基于信息检索的软件工程任务影响的案例研究
  • DOI:
  • 发表时间:
    2018
  • 期刊:
    arXiv.org
  • 影响因子:
    0
  • 作者:
    Md Masudur Rahman;Saikat Chakraborty;G. Kaiser;Baishakhi Ray
  • 通讯作者:
    Baishakhi Ray
Recommending GitHub Projects for Developer Onboarding
推荐用于开发人员入门的 GitHub 项目
  • DOI:
    10.1109/access.2018.2869207
  • 发表时间:
    2018-09
  • 期刊:
    IEEE Access
  • 影响因子:
    3.9
  • 作者:
    Chao Liu;Dan Yang;Xiaohong Zhang;Baishakhi Ray;Md. Masudur Rahman
  • 通讯作者:
    Md. Masudur Rahman
KGym: A Platform and Dataset to Benchmark Large Language Models on Linux Kernel Crash Resolution
KGym:在 Linux 内核崩溃解决方案上对大型语言模型进行基准测试的平台和数据集
  • DOI:
  • 发表时间:
    2024
  • 期刊:
  • 影响因子:
    0
  • 作者:
    Alex Mathai;Chenxi Huang;Petros Maniatis;A. Nogikh;Franjo Ivancic;Junfeng Yang;Baishakhi Ray
  • 通讯作者:
    Baishakhi Ray
Poster: Searching for High-Performing Software Configurations with Metaheuristic Algorithms
海报:使用元启发式算法搜索高性能软件配置

Baishakhi Ray的其他文献

{{ item.title }}
{{ item.translation_title }}
  • DOI:
    {{ item.doi }}
  • 发表时间:
    {{ item.publish_year }}
  • 期刊:
    {{ item.journal_name }}
  • 影响因子:
    {{ item.factor }}
  • 作者:
    {{ item.authors }}
  • 通讯作者:
    {{ item.author }}
立即体验

{{ truncateString('Baishakhi Ray', 18)}}的其他基金

Collaborative Research: SHF: Medium: Learning Semantics of Code To Automate Software Assurance Tasks
协作研究:SHF:媒介:学习代码语义以自动化软件保障任务
  • 批准号:
    2313055
  • 财政年份:
    2023
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
Collaborative Research: SHF: Medium: Causal Performance Debugging for Highly-Configurable Systems
合作研究:SHF:中:高度可配置系统的因果性能调试
  • 批准号:
    2107405
  • 财政年份:
    2021
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
Workshop on Deep Learning and Software Engineering
深度学习与软件工程研讨会
  • 批准号:
    1945999
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
TWC: Small: Collaborative: Automated Detection and Repair of Error Handling Bugs in SSL/TLS Implementations
TWC:小:协作:自动检测和修复 SSL/TLS 实现中的错误处理错误
  • 批准号:
    1946068
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
CAREER: Systematic Software Testing for Deep Learning Applications
职业:深度学习应用程序的系统软件测试
  • 批准号:
    1845893
  • 财政年份:
    2019
  • 资助金额:
    $ 20万
  • 项目类别:
    Continuing Grant
CHS: Small: Translating Compilers for Visual Computing in Dynamic Languages
CHS:小型:用动态语言翻译用于视觉计算的编译器
  • 批准号:
    1936523
  • 财政年份:
    2018
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
CHS: Small: Translating Compilers for Visual Computing in Dynamic Languages
CHS:小型:用动态语言翻译用于视觉计算的编译器
  • 批准号:
    1619123
  • 财政年份:
    2016
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
TWC: Small: Collaborative: Automated Detection and Repair of Error Handling Bugs in SSL/TLS Implementations
TWC:小:协作:自动检测和修复 SSL/TLS 实现中的错误处理错误
  • 批准号:
    1618771
  • 财政年份:
    2016
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant

相似海外基金

Finding Australia’s Disabled Authors: Connection, Creativity, Community
寻找澳大利亚的残疾人作家:联系、创造力、社区
  • 批准号:
    DP240103154
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Discovery Projects
Mixed Quantum-Classical Semiclassical Theory: Finding Reaction Paths in Open Quantum Systems
混合量子经典半经典理论:寻找开放量子系统中的反应路径
  • 批准号:
    2404809
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Standard Grant
精神疾患患者の家族のbenefit findingの促進:国際共同研究によるプログラム開発とRCT
促进精神疾病患者家属的福利发现:通过国际合作研究进行项目开发和随机对照试验
  • 批准号:
    23K27886
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Grant-in-Aid for Scientific Research (B)
Benefit-Findingに着目したAYA世代がんサバイバーサポートプログラムの構築
为 AYA 癌症幸存者建立一个支持计划,重点关注利益发现
  • 批准号:
    24K13741
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Grant-in-Aid for Scientific Research (C)
Finding the targets of natural products in complex botanical extracts.
寻找复杂植物提取物中天然产物的靶标。
  • 批准号:
    LP230100225
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Linkage Projects
Finding a second Earth through stellar understanding
通过对恒星的了解寻找第二个地球
  • 批准号:
    MR/X033244/1
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Fellowship
Finding equivalence between natural and artificial intelligences
寻找自然智能和人工智能之间的等价性
  • 批准号:
    DP240100400
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Discovery Projects
A Phase 1 Dose Finding Study Of Intraocular Mitomycin-C Adjunct In Vitrectomy For Retinal Detachment And Proliferative Vitreoretinopathy (MORPH-1)
眼内丝裂霉素 C 辅助治疗视网膜脱离和增殖性玻璃体视网膜病变 (MORPH-1) 玻璃体切除术的 1 期剂量探索研究
  • 批准号:
    MR/Y008626/1
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Research Grant
CHECKPOINT: Finding immune & metabolic pathways to SMI
检查点:寻找免疫力
  • 批准号:
    MR/Z50354X/1
  • 财政年份:
    2024
  • 资助金额:
    $ 20万
  • 项目类别:
    Research Grant
Fact-finding survey of nursing diagnoses, nursing outcomes, and nursing interventions in medical institution and edcational institution under COVID-19 pandemic
COVID-19大流行背景下医疗机构和教育机构护理诊断、护理结果和护理干预的实况调查
  • 批准号:
    23K09822
  • 财政年份:
    2023
  • 资助金额:
    $ 20万
  • 项目类别:
    Grant-in-Aid for Scientific Research (C)
{{ showInfoDetail.title }}

作者:{{ showInfoDetail.author }}

知道了