软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要

按语:IEEE/ACM ICSE全称International Conference on Software Engineering,是软件工程领域公认的旗舰学术会议,中国计算机学会推荐的A类国际学术会议,Core Conference Ranking A*类会议,H5指数74,Impact score 11.55。2023年完整的议题清单参考此处:https://conf.researchr.org/program/icse-2023/program-icse-2023,有些议题并没有公开pdf,涉及网络安全议题的只有6篇。虽然会议属于软件工程领域,但是每年都会有一些安全议题,比如近2年都会有Fuzzing,AI  for security相关议题,也是值得关注的研究方向。

babd32aee5f54d5843ce4303c6dd1efd.png

1、ASTRO: An AST-Assisted Approach for Generalizable Neural Clone Detection

神经克隆检测已经引起了软件工程研究人员和从业者的关注。然而,大多数神经克隆检测方法无法推广到训练数据集中未出现的克隆范围之外。这导致模型性能不佳,尤其是在模型召回率方面。在本文中,我们提出了一种抽象语法树(AST)辅助的通用神经克隆检测方法,即ASTRO,这是一种用于在反映行业实践的代码库中查找克隆的框架。我们提出了三个主要组成部分:(1)一种基于AST的源代码表示形式,利用程序结构和语义;(2)一个全局图表示,捕获AST在程序语料库中的上下文;(3)一个程序的图嵌入,与现有的大规模语言模型相结合,提高了最先进的代码克隆检测技术。我们的实验结果表明,ASTRO在召回率和F-1得分方面均优于最先进的神经克隆检测方法。

https://arxiv.org/pdf/2208.08067.pdf

ced20ba36d519236b10b1a5e8091a4b9.png

2、Truth or Dare: Real-World Fuzz Testing of UAVs in Flight

小型无人机系统(sUAS)在高压应急响应场景中部署时需要满足严格的安全要求。这需要对硬件、软件、通信网络和人机交互点进行系统测试。模糊测试在查找边缘情况下的故障方面特别有效,这些故障可能会被忽略。在物理-数字系统中,如sUAS,测试通常从模拟转移到实际世界。但是,即使在模拟中完美执行的测试有时也可能在物理sUAS上运行时出现严重失败,凸显了增强模拟与现实世界模糊测试的重要性。不幸的是,真实世界的模糊测试不仅非常耗时,而且可能是危险的,因为有效模糊测试产生的必然失败可能会导致sUAS冲毁或飞走。在本次演讲中,Cleland-Huang将借鉴她自己在开发和验证sUAS应用软件方面的真实经验,并探讨现场模糊测试的‘真相’和‘挑战’。事实是,在进行物理飞行测试的正常过程中,意外的错误输入值可能会导致严重的失败和崩溃,但是在系统中暴露需要修改的脆弱点时也可能非常有帮助。然而,意外的模糊测试远远达不到真正模糊测试的系统目标,引入了如何在现场安全地部署模糊测试的非微不足道的困境。本次演讲通过探讨一种系统化的方法来对物理sUAS系统进行模糊测试,从而使测试人员能够在可能被模拟忽略的边缘情况下识别现实世界的弱点。最终结果是增强了真实世界sUAS系统的稳健性。

6e06308e4bbbd769e857845f1ccc7f29.png

3、Automatic Detection of Security Deficiencies and Refactoring Advises for Microservices

微服务架构使组织能够缩短开发周期并快速交付云原生应用程序。然而,它也带来了需要开发人员解决的安全问题。因此,在微服务中进行安全测试变得更加关键。最近的研究论文表明,由于缺乏时间、缺乏安全领域的经验和缺乏自动化测试环境等原因,微服务的安全测试经常被忽略。尽管存在多种安全扫描工具来检测容器、容器化工作负载管理(Kubernetes)和网络问题,但是单个工具无法覆盖微服务中的所有安全问题。使用多个扫描工具会增加分析结果和缓解安全漏洞的复杂性。本文提出了一个完全自动化的测试工具套件,可以帮助开发人员解决微服务中的安全问题并解决它们。它旨在通过将开源扫描工具封装到一个套件中并提供改进的反馈来减少安全活动的时间和精力。开发的安全扫描套件名为石榴(Pomegranate)。为了开发Pomegranate,我们采用了设计科学,并在Ericsson进行了调查。我们使用静态方法评估了我们的工具。评估结果表明,Pomegranate可以通过提供简化和分类的输出来帮助开发人员检测微服务中的安全漏洞。超过一半的从业者给我们反馈,他们发现Pomegranate有助于检测和缓解微服务中的安全问题。我们得出结论,一个完全自动化的测试工具套件可以帮助开发人员解决微服务中的大多数安全问题。基于本文的发现,未来的工作方向是在实时项目中对Pomegranate进行动态验证。

https://ieeexplore.ieee.org/document/10169061/

98939dbd388c90c9381ef8d46574a7df.png

4、On the Strengths of Pure Evolutionary Algorithms in Generating Adversarial Examples

深度学习(DL)模型被认为是高精度的,但容易受到对抗性样本的攻击。早期的研究集中于使用白盒策略生成对抗性样本,后来的研究则专注于黑盒策略,因为模型通常不可被外部攻击者访问。以前的研究表明,基于近似梯度下降算法和元启发式搜索的黑盒方法(即BMI-FGSM算法)优于之前提出的白盒和黑盒策略。在本文中,我们提出了一种基于差分进化(DE)的全新黑盒方法,纯粹依靠差分进化来生成对抗性攻击,而不使用任何梯度近似方法。我们提出了两个自定义变异算子的定制DE变体:(1)单目标(Pixel-SOO)变体,生成欺骗DL模型的攻击,(2)多目标(Pixel-MOO)变体,同时最小化生成攻击中的改变数量。我们在五个经典图像分类模型上进行了初步研究,结果表明Pixel-SOO和Pixel-MOO比现有的BMI-FGSM更有效地生成对抗性攻击。此外,Pixel-SOO比Pixel-MOO更快,而后者产生的攻击比其单目标变体更微妙。

https://pure.tudelft.nl/ws/portalfiles/portal/149088283/V4_Less_is_More_Minimal_Adversarial_Example_Generation_with_Multi_objective_Search_1.pdf

53938096a061b50cd7075a7020328a41.png

5、Continuous Fuzzing: A Study of the Effectiveness and Scalability of Fuzzing in CI/CD Pipelines

模糊测试已经被证明是一种自动化软件测试的基本技术,但也是一种代价高昂的技术。随着CI/CD实践在软件开发中的广泛应用,一个自然的问题是“考虑到代码变化的速度和自动化的交付/部署实践,将模糊测试集成到CI/CD管道中的最佳方法是什么?”事实上,Böhme和Zhu最近的一项研究表明,每五个bug中有四个是由最近的代码更改(即回归)引入的。在本文中,我们从自动化软件测试和持续开发的角度,着眼于将模糊测试器集成到CI/CD管道中。首先,我们研究了一种优化机会,即筛选出不需要模糊测试的提交,并通过实验分析发现,在我们分析的9个库中,平均模糊测试的工作量可以减少约63%(对于其中6个库而言,可以减少超过40%)。其次,我们研究了模糊测试运行时间对CI/CD过程的影响:短时间的模糊测试(例如15分钟)有助于更快的管道,仍然可以发现重要的bug,但可能会降低发现复杂bug的能力。最后,我们讨论了一种优先级策略,可以根据一组预定义的优先级策略自动为模糊测试活动分配资源。我们的研究结果表明,持续模糊测试(作为CI/CD自动化测试的一部分)确实是有益的,而且有许多优化机会可以提高模糊测试的有效性和可扩展性。

https://arxiv.org/pdf/2205.14964.pdf

4decd2666bfbb7d35f80ebf33be01806.png

6、Grammar-Based Evolutionary Fuzzing for JSON-RPC APIs

Web应用程序编程接口(API)允许通过编程方式访问系统,并构成互联网的基础。RESTful和RPC API是最常用的API架构之一。在过去的几十年中,研究人员提出了各种自动化测试RESTful API的技术,但据作者所知,没有关于测试JSON-RPC(RPC支持的两种数据格式之一)API的工作。为了解决这个限制,我们提出了一种基于语法的进化模糊测试方法,用于测试使用JSON-RPC API的方法,并使用一种新颖的黑盒启发式算法。具体来说,我们使用基于层次聚类的多样性适应度函数来量化API方法响应之间的差异。我们的假设是,与以前看到的响应不同的响应表明已到达新的未发现的代码路径。我们在使用JSON-RPC API的大型工业区块链系统XRP分类账上评估了我们的方法。我们的结果表明,所提出的方法比基线(基于语法的模糊测试器)表现显著优异,并覆盖了额外的240个分支。

https://research.tudelft.nl/en/publications/grammar-based-evolutionary-fuzzing-for-json-rpc-apis

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/45527.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【NLP】如何使用Hugging-Face-Pipelines?

一、说明 随着最近开发的库,执行深度学习分析变得更加容易。其中一个库是拥抱脸。Hugging Face 是一个平台,可为 NLP 任务(如文本分类、情感分析等)提供预先训练的语言模型。 本博客将引导您了解如何使用拥抱面部管道执行 NLP 任务…

华为eNSP:isis的配置

一、拓扑图 二、路由器的配置 配置接口IP AR1&#xff1a; <Huawei>system-view [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 1.1.1.1 24 [Huawei-GigabitEthernet0/0/0]qu AR2: <Huawei>system-view [Huawei]int g0/0/0 [Huawei-GigabitEthe…

测等保2.0——安全区域边界

一、前言 今天我们来说说安全区域边界&#xff0c;顾名思义&#xff0c;安全区域边界就是保障网络边界处&#xff0c;包括网络对外界的边界和内部划分不同区域的交界处&#xff0c;我们的重点就是查看这些边界处是否部署必要的安全设备&#xff0c;包括防火墙、网闸、网关等安…

Linux新手小程序——进度条

前言 目录 前言 需要先了解 1.\r和\n 2.缓冲区 一.理解字符的含义&#xff1a; 学习c语言时&#xff0c;我们可以粗略把字符分为可显字符和控制字符. 在按回车换到下一行开始的操作时&#xff0c;实际上是进行了两个操作&#xff1a;1.让光标跳到下一行&#xff08;只…

Android 之 动画合集之帧动画

本节引言&#xff1a; 从本节开始我们来探究Android中的动画&#xff0c;毕竟在APP中添加上一些动画&#xff0c;会让我们的应用变得 很炫&#xff0c;比如最简单的关开Activity&#xff0c;当然自定义控件动画肯定必不可少啦~而Android中的动画 分为三大类&#xff0c;逐帧动画…

mac电脑强大的解压缩软件BetterZip 5.3.4 for Mac中文版及betterzip怎么压缩

BetterZip 5.3.4 for Mac 是Mac系统平台上一款功能强大的文件解压缩软件&#xff0c;不必解压就能快速地检查压缩文档。它能执行文件之间的合并并提供密码。使用它&#xff0c;用户可以更快捷的向压缩文件中添加和删除文件。它支持包括zip、gz、bz、bz2、tar、tgz、tbz、rar、7…

6_回归算法 —欠拟合、过拟合原因及解决方法

文章目录 一、过拟合与欠拟合1 过拟合1.1 线性回归的过拟合1.2 过拟合和正则项1.2.1 带有L2正则化的线性回归—Ridge回归1.2.2 带有L1正则化的线性回归—LASSO回归1.2.3 Ridge&#xff08;L2-norm&#xff09;和LASSO&#xff08;L1-norm&#xff09;比较1.2.4 Elasitc Net 2 欠…

关于封装的定义?以及API接口封装作用有哪些

封装是面向对象编程中的一个重要概念&#xff0c;它指的是将数据和程序代码包含在类中&#xff0c;并对外部对象隐藏其内部实现细节&#xff0c;只提供公共接口。这种方式可以有效地保护数据&#xff0c;防止被外部对象随意访问或修改&#xff0c;同时也更容易维护、升级和复用…

7.25 作业 QT

手动实现登录框&#xff1a; widget.cpp: #include "widget.h" #include <QMovie> Widget::Widget(QWidget *parent): QWidget(parent) {//设置尺寸this->resize(800,600); //设置宽高//设置固定尺寸this->setFixedSize(800,600);//窗口标题操作qDebu…

SpringBoot登陆+6套前端主页-【JSB项目实战】

SpringBoot系列文章目录 SpringBoot知识范围-学习步骤【JSB系列之000】 文章目录 SpringBoot系列文章目录本系列校训 SpringBoot技术很多很多环境及工具&#xff1a;上效果图主页登陆 配置文件设置导数据库项目目录如图&#xff1a;代码部分&#xff1a;控制器过滤器详细的解…

使用网络 IP 扫描程序的原因

随着网络不断扩展以满足业务需求&#xff0c;高级 IP 扫描已成为网络管理员确保网络可用性和性能的关键任务。在大型网络中扫描 IP 地址可能具有挑战性&#xff0c;这些网络通常包括具有动态 IP、多个 DNS、DHCP 配置和复杂子网的有线和无线设备。使用可提供全面 IP 地址管理 &…

TypeScript -- 函数

文章目录 TypeScript -- 函数JS -- 函数的两种表现形式函数声明函数的表达式es6 箭头函数 TS -- 定义一个函数TS -- 函数声明使用接口(定义)ts 定义参数可选参数写法 -- ?的使用TS函数 -- 设置剩余参数函数重载 TypeScript – 函数 JS – 函数的两种表现形式 我们熟知js有两…

3.1flex布局

参考链接 MDN 核心组成 容器 容器指定元素item的布局方式 元素 元素自定义自身的宽度大小

随手笔记——3D−2D:PnP

随手笔记——3D−2D&#xff1a;PnP 说明理论源代码雅可比矩阵求解 说明 PnP&#xff08;Perspective-n-Point&#xff09;是求解3D到2D点对运动的方法。它描述了当知道n个3D空间点及其投影位置时&#xff0c;如何估计相机的位姿。 理论 特征点的3D位置可以由三角化或者RGB-…

记一次杀猪盘的渗透之旅

所谓“杀猪盘”&#xff0c;是指诈骗分子利用网络交友通常是“异性”交友&#xff0c;诱导受害人下载诈骗APP并在上面进行各种“投资”&#xff0c;如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局&#xff0c;他先是被骗子通过QQ添加并下载了一个…

Linux环境Arduino IDE中配置ATOM S3

linux选择ubuntu发行版。 硬件设备有多小呢&#xff1a; 功能超级强大。 之前的ROS1和ROS2案例已经全部移植完成并测试结束&#xff08;三轮纯人力校验&#x1f60e;&#xff09;。 官网文档信息非常非常好&#xff1a; https://docs.m5stack.com/zh_CN/quick_start/atoms3…

下载安装:SQLite+SQLiteStudio+VS

目录 1、SQLite 1.1、下载SQLite 1.2、配置SQLite的环境变量 2、SQLite Studio 2.1、下载SQLite Studio 2.2、安装SQLite Studio 3、Visual Studio 3.1、下载Visual Studio 3.2、安装Visual Studio 1、SQLite 1.1、下载SQLite SQLite官网&#xff1a;SQLite Downl…

AXI协议之AXILite开发设计(一)

微信公众号上线&#xff0c;搜索公众号小灰灰的FPGA,关注可获取相关源码&#xff0c;定期更新有关FPGA的项目以及开源项目源码&#xff0c;包括但不限于各类检测芯片驱动、低速接口驱动、高速接口驱动、数据信号处理、图像处理以及AXI总线等 本设计主要介绍AXILite的设计开发&a…

Python实战之数据挖掘详解

一、Python数据挖掘 1.1 数据挖掘是什么&#xff1f; 数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中&#xff0c;通过算法&#xff0c;找出其中的规律、知识、信息的过程。Python作为一门广泛应用的编程语言&#xff0c;拥有丰富的数据挖掘库&#…

secureCRT软件菜单不见了的解决方法

1、打开securecrt软件 2、在方框处&#xff0c;选择右键&#xff0c;点击勾选 3、菜单即可正常显示了