講演名 | 2023-06-21 集合間類似度算出アルゴリズムを用いたソフトウェアに内在する脆弱なコードのクローン検知手法 荒川 玲佳(NTT), 鐘本 楊(NTT), 塩治 榮太朗(NTT), 秋山 満昭(NTT), |
---|---|
PDFダウンロードページ | PDFダウンロードページへ |
抄録(和) | 近年のソフトウェア開発では,開発効率化のためにサードパーティのライブラリやOSSを再利用するケースが増えている.しかし,再利用したコードは再利用先の管理状況に依存するため,再利用元のコードに脆弱性が発見されてパッチが公開されていたとしても,再利用先でパッチを適用していない場合にはソフトウェアの脆弱性として残存してしまう.そのようなソフトウェアの脆弱性を検知する技術は,脆弱性を悪用したサイバー攻撃によるセキュリティリスクを軽減するために重要な役割を果たす.既存の検知方法は脆弱性情報データベースから収集したコードを用いた字句列の比較で行うが,検知対象のコードに再利用時のバージョンの違いやコード編集などによって,字句列特徴に差異が生まれている場合には検知が難しくなる.そのコード編集の程度によって既存手法のハッシュ値やシグネチャによって検知する手法では検知漏れが発生する課題がある.そこで本研究では脆弱性を持つコードの関数を行の集合とみなし,集合間類似度算出アルゴリズムを適用することで,字句列類似性を基に検知するアプローチで検知漏れの課題に対処する.検証実験による既存手法との比較評価では,検知精度は10%以上改善し,処理時間は最新の既存手法よりも17倍高速に検知できることを示した. |
抄録(英) | |
キーワード(和) | ソフトウェア / 脆弱性検知 / 類似度算出 / OSS / b-Bit minwise Hashing / コードクローン |
キーワード(英) | |
資料番号 | IA2023-7,ICSS2023-7 |
発行日 | 2023-06-13 (IA, ICSS) |
研究会情報 | |
研究会 | IA / ICSS |
---|---|
開催期間 | 2023/6/20(から2日開催) |
開催地(和) | 佐賀大学 |
開催地(英) | Saga Univ. |
テーマ(和) | インターネットセキュリティ、一般 |
テーマ(英) | Internet Security, etc. |
委員長氏名(和) | 秋山 豊和(京都産大) / 吉岡 克成(横浜国大) |
委員長氏名(英) | Toyokazu Akiyama(Kyoto Sangyo Univ.) / Katsunari Yoshioka(Yokohama National Univ.) |
副委員長氏名(和) | 作元 雄輔(関西学院大) / 渡辺 俊貴(NEC) / 屏 雄一郎(KDDI) / 笠間 貴弘(NICT) / 山田 明(KDDI labs.) |
副委員長氏名(英) | Yusuke Sakumoto(Kwansei Gakuin Univ.) / Toshiki Watanabe(NEC) / Yuichiro Hei(KDDI) / Takahiro Kasama(NICT) / Akira Yamada(KDDI labs.) |
幹事氏名(和) | 大平 健司(阪大) / 坂野 遼平(工学院大) / 野林 大起(九工大) / 山内 利宏(岡山大) / 木藤 圭亮(三菱電機) |
幹事氏名(英) | Kenji Ohira(Osaka Univ.) / Ryohei Banno(Kogakuin Univ.) / Daiki Nobayashi(Kyushu Inst. of Tech.) / Toshihiro Yamauchi(Okayama Univ.) / Keisuke Kito(Mitsubishi Electric) |
幹事補佐氏名(和) | 小谷 大祐(京大) / 中村 遼(福岡大) / 中村 遼(東大) / 菅原 健(電通大) / 鐘本 楊(NTT) |
幹事補佐氏名(英) | Daisuke Kotani(Kyoto Univ.) / Ryo Nakamura(Fukuoka Univ.) / Ryo Nakamura(Univ. of Tokyo) / Takeshi Sugawara(Univ. of Electro-Comm.) / Yo Kanemoto(NTT) |
講演論文情報詳細 | |
申込み研究会 | Technical Committee on Internet Architecture / Technical Committee on Information and Communication System Security |
---|---|
本文の言語 | JPN |
タイトル(和) | 集合間類似度算出アルゴリズムを用いたソフトウェアに内在する脆弱なコードのクローン検知手法 |
サブタイトル(和) | |
タイトル(英) | A Precise Approach of Software Vulnerability Detection Using Set Similarity Calculation Algorithm |
サブタイトル(和) | |
キーワード(1)(和/英) | ソフトウェア |
キーワード(2)(和/英) | 脆弱性検知 |
キーワード(3)(和/英) | 類似度算出 |
キーワード(4)(和/英) | OSS |
キーワード(5)(和/英) | b-Bit minwise Hashing |
キーワード(6)(和/英) | コードクローン |
第 1 著者 氏名(和/英) | 荒川 玲佳 / Reika Arakawa |
第 1 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
第 2 著者 氏名(和/英) | 鐘本 楊 / Yo Kanemoto |
第 2 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
第 3 著者 氏名(和/英) | 塩治 榮太朗 / Eitaro Shioji |
第 3 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
第 4 著者 氏名(和/英) | 秋山 満昭 / Mitsuaki Akiyama |
第 4 著者 所属(和/英) | 日本電信電話株式会社(略称:NTT) NIPPON TELEGRAPH AND TELEPHONE CORPORATION(略称:NTT) |
発表年月日 | 2023-06-21 |
資料番号 | IA2023-7,ICSS2023-7 |
巻番号(vol) | vol.123 |
号番号(no) | IA-85,ICSS-86 |
ページ範囲 | pp.32-39(IA), pp.32-39(ICSS), |
ページ数 | 8 |
発行日 | 2023-06-13 (IA, ICSS) |