[논문]보안 취약점 자동 탐색 및 대응기술 동향

장대일; 김태은; 김환국

보안 취약점 자동 탐색 및 대응기술 동향 원문보기

情報保護學會誌 = KIISC review, v.28 no.2, 2018년, pp.33 - 42

장대일 (한국인터넷진흥원 보안기술R&D2팀) , 김태은 (한국인터넷진흥원 보안기술R&D2팀) , 김환국 (한국인터넷진흥원 보안기술R&D2팀)

초록
AI-Helper

머신러닝 및 인공지능 기술의 발전은 다양한 분야 활용되고 있고, 이는 보안 분야에서도 마찬가지로 로그 분석이나, 악성코드 탐지, 취약점 탐색 및 대응 등 다양한 분야에서 자동화를 위한 연구가 진행되고 있다. 특히 취약점 탐색 및 대응 분야의 경우 2016년 데프콘에서 진행된 CGC를 필두로 바이너리나 소스코드 내의 취약점을 정확하게 탐색하고 패치하기 위해 다양한 연구가 시도되고 있다. 이에 본 논문에서는 취약점을 탐색 및 대응하기 위해 각 연구 별 탐색 기술과 대응 기술을 분류 및 분석한다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

은 기호실행을 활용하여 C++ 프로그램 대상의 자동화된 테스트케이스를 생성하는 방안을 제안했다[34]. C언어 기반의 기호실행 모듈을 C++로 확장하면서 C++의 예외처리, C++ RTTI, 메모리 모델 등을 특징으로 추가하여 테스트케이스 생성에 효율성을 높이고자 노력하였다. 또한 c++용 라이브러리 최적화와 개체 수준에서 실행 및 추론, 특정 유형의 효율적인 Solver를 구현하였다.
본 논문에서는 지능형 취약점 탐색 및 대응을 위한연구 동향을 소개하였다. 지능형 취약점 탐색 연구는 크게 2가지로 분류할 수 있다.
Candea et al.은 마이크로 리부트 개념을 도입하면서세부적으로 재부팅이 가능한 계측정 구성요소를 통해 오류 발생 시 가장 작은 구성요소에서 가장 큰 구성요소로 재부팅 시도를 통해 상태를 패치하기 위한 연구를 수행하였다[30]. Smirnov et al.
Walden et al.은 소프트웨어 특성과 텍스트 마이닝을 기반으로 취약한 소프트웨어 구성 요소를 예측하기 위한 연구를 수행하였다. 이를 위해 223개의 취약점이 포함된 3개의 오픈소스를 대상으로 취약점 데이터를 생성한 후 12개의 코드 복잡도 메트릭을 선정하였고, 텍스트 마이닝을 위해 소스 파일을 먼저 토큰화한이후 토큰을 제거하거나 변경하여 최종 토큰의 빈도를 계산하였다.
younis et al.은 악용될 가능성이 더 높은 취약점을 포함하는 코드의 속성을 확인하기 위한 연구를 수행하였다[14]. 리눅스커널 및 아파치 웹 서버의 익스플로잇이 가능한 취약점 83개를 포함한 취약점 183개를 수집하여 취약점의 특성에 따라 4가지 카테고리로 나눈 후 소스코드 라인수, 패스 복잡도, 패스 수, 중첩도, 정보 흐름, 호출된 함수, 호출한 함수 및 호출 수 등 8개의 소프트웨어 메트릭을 선정하였다.
취약점을 탐색하기 위해 머신러닝이나 딥러닝 알고리즘을 적용하여 취약점을 예측하거나 기존과 유사한 취약점의 패턴을 탐지하기 위한 연구들이 진행되고 있고, 탐색된 취약점에 자동으로 대응하기 위해 소프트웨어의 행위나 상태를 패치하기 위한 많은 연구가 진행되고 있다. 이에 본 논문에서는 소프트웨어를 분석하기 위한 기법들을 언급하고 자동으로 취약점을 찾고 대응하기 위한 지능형 취약점 탐색 및 대응 연구에 대한 동향을 분석하고자 한다.
취약점 예측 모델은 알려진 소프트웨어 메트릭을 기반으로 한 예측 모델을 구축하고 소프트웨어 아티팩트의 취약 상태를 평가하기 위한 연구이다.
퍼징 테스트는 소프트웨어 테스트 기법으로 테스트 대상에 다양하고 무작위의 데이터를 입력하여 소프트웨어 내부의 충돌, 검증 실패 및 메모리 누수 등의 예외를 발생시키는 것을 목적으로 한다. 이를 위해 화이트박스, 블랙박스, 그레이 박스 등 다양한 방법을 활용한다[4,5].

가설 설정

은 소프트웨어 입력값의 제어를 통해 오류를 수정하기 위한 연구를 수행하였다[32]. 프로그램의 일부 입력이 실패하였을 때 상태를 변경하기 위한 방법 중 하나는 입력값을 수정하는 것으로, 수정된 입력값은 오류를 발생시키지 않는다는 것을 가정한다. Lewis et al.

제안 방법

개발자 활동 메트릭에는 소스 파일을 변경한 고유 개발자 수, 파일에 대한 커밋 수 등을 포함하고 있다. 3가지 오픈소스를 대상으로 베이지안 네트워크를 이용하여 상관 관계를 분석하였다. Doyleet al.
C언어 기반의 기호실행 모듈을 C++로 확장하면서 C++의 예외처리, C++ RTTI, 메모리 모델 등을 특징으로 추가하여 테스트케이스 생성에 효율성을 높이고자 노력하였다. 또한 c++용 라이브러리 최적화와 개체 수준에서 실행 및 추론, 특정 유형의 효율적인 Solver를 구현하였다. Luo et al.
은 악용될 가능성이 더 높은 취약점을 포함하는 코드의 속성을 확인하기 위한 연구를 수행하였다[14]. 리눅스커널 및 아파치 웹 서버의 익스플로잇이 가능한 취약점 83개를 포함한 취약점 183개를 수집하여 취약점의 특성에 따라 4가지 카테고리로 나눈 후 소스코드 라인수, 패스 복잡도, 패스 수, 중첩도, 정보 흐름, 호출된 함수, 호출한 함수 및 호출 수 등 8개의 소프트웨어 메트릭을 선정하였다. wrapper subset 선택 접근법을 사용하여 취약점 예측 정확도 84%를 기록하였다.
Grieco et al은 제한된 시간과 예산을 통해 OS 규모의 큰 프로그램을 테스트하기 위한 방법을 연구하였다[20]. 바이너리 코드에 대한 기계학습을 기반으로 확장가능한 취약점 분석 방법을 제안하였다. 경량의 정적 및 동적 분석을 사용하여 바이너리에서 쉽게 발견되는 메모리 손상 취약점을 포함하여 다양한 취약점에 대한 탐색이 가능하다.
은 어플리케이션 또는 입력 형식에 대한 사전 지식이 필요하지 않은 퍼징 기법을 연구하였다[36]. 어플리케이션을 인식하는 진화적 퍼징 정책을 토대로 탐지 범위를 확대하기 위해 정적 및 동적 분석에기초한 데이터 흐름을 분석하고, 이를 응용하여 소프트웨어의 기본 속성을 추론하였다. 그 결과 어플리케이션에 제한이 없는 접근 방식에 비해 효율적으로 테스트케이스를 생성할 수 있다.
GenProg는 확장된 형태의 유전 프로그래밍을 사용하여 소프트웨어의 패치를 진행한다. 이때 필요한 기능은 유지하면서 발견된 결함에는 취약하지 않도록 패치를 생성한 후 테스트케이스를 이용하여 검증을 수행한다. 그 결과 120만 라인의 소스코드에서 6만 라인의 수정된 코드 및 8가지 타입의 에러를 수정하엿다.
Shin and Williams는 복잡도 및 코드 이탈 메트릭을 기반으로 하는 장애 예측 모델이 취약점 탐색에 사용가능함을 보였다[9]. 이를 위해 18가지의 복장도 메트릭과 5가지 코드 이탈 메트릭 및 오류 내역 메트릭을 사용하여 파이어폭스에 대해 취약점 탐색을 수행하였다. 그 결과 논문에서 사용한 전통적인 메트릭을 기반으로 하는 오류 예측 모델이 취약점 예측에도 사용될 수있다고 주장한다.
은 소프트웨어 특성과 텍스트 마이닝을 기반으로 취약한 소프트웨어 구성 요소를 예측하기 위한 연구를 수행하였다. 이를 위해 223개의 취약점이 포함된 3개의 오픈소스를 대상으로 취약점 데이터를 생성한 후 12개의 코드 복잡도 메트릭을 선정하였고, 텍스트 마이닝을 위해 소스 파일을 먼저 토큰화한이후 토큰을 제거하거나 변경하여 최종 토큰의 빈도를 계산하였다. 취약점에 대한 예측을 수행하기 위해 Random-Forest를 1차 분류 알고리즘으로 선택하였다.
PAR는 복구 템플릿을 기반으로 패치를 생성하는데, 10개의 복구 템플릿 각각은 일반적인 종류의 버그를 수정하는 방법을 정의한다. 이를 위해 6만개 이상의 사람이 작성한 패치를 수동으로 검사한 결과 몇 가지 공통적인 수정 패턴을 발견하여, 해당 패턴을 활용한 패치를 자동을 생성하였다. 119개의 실제 버그 중 27개에 대한 패치를 성공적으로 생성하였다.
은 정적 오연 데이터 흐름 분석을 통해 취약점 발견 알고리즘에서의 높은 오탐 문제를 해결하고자 노력했다[24]. 이를 위해 데이터 마이닝 및 기계 학습에서 사용하는 오탐을 예측하여 웹 어플리케이션 취약성을 자동발견 및 수정하는 새로운 하이브리드 방식을 제안하였다. 오탐을 유발하는 14가지 속성 집합을 선택한 후 32개의 오탐을 포함하는 76개의 취약점 보고서를 가지고 학습을 수행하였을 때 로지스틱 회귀 알고리즘이 가장 좋은 성능을 보였다.
Arcuri는 유전 프로그래밍 기반의 소프트웨어 패치와 검색 기반 소프트웨어 테스팅을 이용한 테스트케이스 생성 방안을 연구하였다[27]. 이를 위해 소프트웨어 패치와 테스트 케이스 생성 간 서로 연관성을 분석하여 공동 진화 프레임워크를 구축하여 소프트웨어 패치의 신뢰도를 향상시켰다.
Android프레임워크의 심볼 실행을 가능하게 하는 미들웨어 특성 및 특이한 복잡성과 같은 프레임워크의 몇가지 고유한 특성으로 인해 많은 새로운 문제가 발생한다. 이를 해결하기 위해 콘크리트 실행과 기호실행을 단계적으로 적용하여 패스를 최적화 하고, 경량화된 오염분석을 통해 특정 접근 패턴을 추적하여 악성 앱에서 파생된 변수를 기호 실행으로 식별한다.
HIV는 보안 영향을 받고 취약점으로 분류되기 전에 버그 데이터베이스를 통해 대중에게 공개되는 소프트웨어 버그로 리눅스 커널과 MySQL에서 보고된 취약점의 상당수가 HIB(Hidden ImpactBug)로 보고되었음을 발견하였다. 이후 추가적인 연구를 통해 공개된 버그 데이터베이스에서 텍스트 마이닝과 버그 보고서 분석을 통해 HIB를 식별하기 위한 방법론을 제안하였다[22]. Alvares et al.
또한 비지도 학습 기반의 분류 모델을 통해 평균 76%의 정확도를 달성하였다. 이후 프로그램 슬라이스에서 다른 실행 경로를 추출하기 위해 정적 역방향 프로그램 슬라이싱 및 제어 종속성 정보를 사용하여 취약점 탐색을 위한 추가적인 연구를 수행하였다[19].
취약점을 탐색하기 위해 생성되는 테스트케이스에 대해서 소프트웨어가 받는 영향을 측정 기법으로, 취약한 메모리 영역의 추적에 주로 사용된다. 입력된 테스트케이스를 오염되었다고 판단한 뒤, 해당 입력이 악의적인 목적으로 버그 혹은 에러를 발생시키는지 판단한다. 동적 혹은 정적 데이터 흐름 분석을 사용한다.
은 워드프레스나 미디어위키 같은 오픈소스 웹 응용프로그램에 대해 소프트웨어 메트릭과 취역점 간의관계를 분석하였다[8]. 정적 분석을 이용하여 취약성 밀도, 소스코드 크기, 순환 복잡성 등을 비롯한 다양한 메트릭을 분석하고, 예측 가능성을 위해 Spearman의 순위 상관관계를 SAVD와 메트릭을 통해 계산한다. 이를 통해 함수 별 평균 사이클로메틱 복잡도가 취약점 탐색에 효율적임을 보였다.
은 정적 속성의 제한된 예측 정확도와 라벨링 된 테스트 셋 필요성에 대한 문제를 해결하기 위해 소프트웨어의 실행 중 수집 가능한 동적 속성을 기반으로 취약점을 탐색하기 위한 방법을 연구하였다[18]. 제안된 동적 속성은 특정 입력 유효성 검사 및 명령문 수 등을 사용한다. 총 15개의 정적속성과 7개의 동적 속성을 추출하여 k-means와 유크리드 거리를 이용하여 취약점 탐색을 수행하였다.
제안된 동적 속성은 특정 입력 유효성 검사 및 명령문 수 등을 사용한다. 총 15개의 정적속성과 7개의 동적 속성을 추출하여 k-means와 유크리드 거리를 이용하여 취약점 탐색을 수행하였다. 또한 비지도 학습 기반의 분류 모델을 통해 평균 76%의 정확도를 달성하였다.
이를 위해 추상화된 신텍스 트리를 생성하고 이를 벡터 공간에 매핑시킨다. 코드 기반의 AST에서 자주 발생하는 코드의 구조 패턴을 식별하고, 코사인 거리를 이용하여 출력 행렬의 행을 비교함으로써 취약점 추상을 수행한다. 이러한 기법을 이용하여 최근 취약점을 시드로 사용하여 제로데이 취약점을 찾기도 하였다.
그레이 박스 테스팅은 블랙박스 테스팅과 화이트박스 테스팅의 중간단계로 소프트웨어의 내부 구조 중 일부만 알고 시험을 수행하는 기법이다. 테스트를 위한 테스트케이스를 만들 때 내부 구조 정보를 활용하며, 시험은 블랙박스 테스팅 형태로 수행된다.
Debroy와 Wong은 변이 엔진을 사용하여 프로그램 에러의 자동화된 수정 방안을 연구하였다[28]. 프로그램을 수정하기 위해 산술, 관계형, 논리식, 증가 및 감소, 또는 할당 연산자를 같은 클래스의 다른 연산자로 대체하는 형태로 패치를 수행한다. 이때 결함 상태의 위치는 스펙트럼 기반의 결함 위치 추정 기술을 사용한다.
총 66개의 GitHub 프로젝트에서 170,860개의 커밋을 포함하는 데이터를 대상으로 관련 CVE를 640개의 취약점 컨트리뷰트 커밋에 매핑하였다. 해당 프로젝트에서 프로젝트, 작성자, 커밋 및 파일등 다양한 GitHub 메타 데이터를 포함한 데이터를 추출하고 SVC를 사용하여 줄립 커밋에서 취약점 기여 커밋을 식별하는 VCCFinder를 개발하였다. younis et al.

대상 데이터

에서는 취약점 예측 모델의 이전 연구들에 대한 한계를 해결하기 위해 소프트웨어의 취약한 위치를 예측하기 위해 복잡도 메트릭스를 이용한 새로운 프레임워크를 제안하였다[11]. 5개의 오픈소스에서 수집한 데이터를 기반으로 프로젝트간 취약점 예측에 활용하였다. Walden et al.
은 취약점 커밋을 식별하기 위해 코드 리포지토리에 포함된 메타 데이터를 코드 메트릭과 함께 사용하는 방안을 연구하였다[13]. 총 66개의 GitHub 프로젝트에서 170,860개의 커밋을 포함하는 데이터를 대상으로 관련 CVE를 640개의 취약점 컨트리뷰트 커밋에 매핑하였다. 해당 프로젝트에서 프로젝트, 작성자, 커밋 및 파일등 다양한 GitHub 메타 데이터를 포함한 데이터를 추출하고 SVC를 사용하여 줄립 커밋에서 취약점 기여 커밋을 식별하는 VCCFinder를 개발하였다.

데이터처리

다른 논문에서는 소프트웨어 취약점을 지표로 실행 복잡도 메트릭을 조사했다[10]. 소프트웨어 취약점을 탐색하기 위한 실행 복잡도 및 정적 복잡도 메트릭스의 비교 검증을 수행하였다. 이를 위해 통계에 대한 차별적 분석과 예측 분석을 모두 수행하였는데 파이어폭스와 와이어샤크를 대상으로 실험하였을 때 실행 복잡도 메트릭스가 더 나을 지표임을 주장하고 있다.

이론/모형

이를 위해 223개의 취약점이 포함된 3개의 오픈소스를 대상으로 취약점 데이터를 생성한 후 12개의 코드 복잡도 메트릭을 선정하였고, 텍스트 마이닝을 위해 소스 파일을 먼저 토큰화한이후 토큰을 제거하거나 변경하여 최종 토큰의 빈도를 계산하였다. 취약점에 대한 예측을 수행하기 위해 Random-Forest를 1차 분류 알고리즘으로 선택하였다. 그 결과 텍스트 마이닝에 기초한 예측 기술의 취약점 탐색 정확도가 더 높다고 주장하였다.

성능/효과

리눅스커널 및 아파치 웹 서버의 익스플로잇이 가능한 취약점 83개를 포함한 취약점 183개를 수집하여 취약점의 특성에 따라 4가지 카테고리로 나눈 후 소스코드 라인수, 패스 복잡도, 패스 수, 중첩도, 정보 흐름, 호출된 함수, 호출한 함수 및 호출 수 등 8개의 소프트웨어 메트릭을 선정하였다. wrapper subset 선택 접근법을 사용하여 취약점 예측 정확도 84%를 기록하였다.
어플리케이션을 인식하는 진화적 퍼징 정책을 토대로 탐지 범위를 확대하기 위해 정적 및 동적 분석에기초한 데이터 흐름을 분석하고, 이를 응용하여 소프트웨어의 기본 속성을 추론하였다. 그 결과 어플리케이션에 제한이 없는 접근 방식에 비해 효율적으로 테스트케이스를 생성할 수 있다.
총 15개의 정적속성과 7개의 동적 속성을 추출하여 k-means와 유크리드 거리를 이용하여 취약점 탐색을 수행하였다. 또한 비지도 학습 기반의 분류 모델을 통해 평균 76%의 정확도를 달성하였다. 이후 프로그램 슬라이스에서 다른 실행 경로를 추출하기 위해 정적 역방향 프로그램 슬라이싱 및 제어 종속성 정보를 사용하여 취약점 탐색을 위한 추가적인 연구를 수행하였다[19].
이를 위해 데이터 마이닝 및 기계 학습에서 사용하는 오탐을 예측하여 웹 어플리케이션 취약성을 자동발견 및 수정하는 새로운 하이브리드 방식을 제안하였다. 오탐을 유발하는 14가지 속성 집합을 선택한 후 32개의 오탐을 포함하는 76개의 취약점 보고서를 가지고 학습을 수행하였을 때 로지스틱 회귀 알고리즘이 가장 좋은 성능을 보였다.
정적 분석을 이용하여 취약성 밀도, 소스코드 크기, 순환 복잡성 등을 비롯한 다양한 메트릭을 분석하고, 예측 가능성을 위해 Spearman의 순위 상관관계를 SAVD와 메트릭을 통해 계산한다. 이를 통해 함수 별 평균 사이클로메틱 복잡도가 취약점 탐색에 효율적임을 보였다.

후속연구

이를 위해 18가지의 복장도 메트릭과 5가지 코드 이탈 메트릭 및 오류 내역 메트릭을 사용하여 파이어폭스에 대해 취약점 탐색을 수행하였다. 그 결과 논문에서 사용한 전통적인 메트릭을 기반으로 하는 오류 예측 모델이 취약점 예측에도 사용될 수있다고 주장한다. 다른 논문에서는 소프트웨어 취약점을 지표로 실행 복잡도 메트릭을 조사했다[10].
그러나 취약점 탐색 결과에 대한 높은 오탐율이나 미탐율 해결하기 위한 연구 및 취약점이 패치된 소프트웨어의 성능에 대한 검증 방안에 대한 추가적인 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	동적 분석이란?	동적 분석은 통제 가능한 가상 환경에서 소스코드나 바이너리를 실행시켜 오류를 찾아내는 방법이다. 바이너리에서 사용하는 API, 네트워크 활동 정보, 접근하는 파일, 레지스트리, 메모리 정보 등 다양한 정보를 확인할 수 있다.
	정적분석이란?	정적분석은 소프트웨어의 소스코드나 바이너리를 실행하지 않은 상태에서 대상에 맞는 분석을 수행하였을 때 나타나는 오류나 논리적인 문제 혹은 취약점을 찾아내는 방법이다. 이를 위해 대상 소프트웨어의 실행 가능한 경로, 변수가 가질 수 있는 값의 범위 등을 분석하고, 대상 내 탐색이 가능한 실행 경로나 값의 범위가 프로그램의 오류를 발생시키는 조건을 만족하는 지 검사하여 오류가 발생하는 소스코드나 바이너리의 인스트럭션을 찾아내는 기술이 정적 분석 기술이다.
	지능형 취약점 탐색 연구에는 무엇이 있는가?	지능형 취약점 탐색 연구는 크게 2가지로 분류할 수 있다. 첫째는 취약점 예측 모델을 통해 취약점을 탐색하는 연구이고, 둘째는 기존 취약점을 활용하여 대상 소스코드나 바이너리 내에 동일한 패턴의 취약점이 존재하는지 탐색하는 연구이다. 지능형 취약점 대응에 관한 연구도 크게 2가지로 나눌 수 있는데, 첫 번째는 소프트웨어의 행위를 패치하는 연구이다.

참고문헌 (36)

CVE Details, https://www.cvedetails.com/
B. Arkin, S. Stender, G. McGraw, "Software penetration testing," IEEE Security and Privacy, 3(1), pp. 84-87, 2005.

상세보기
Matt Bishop, "About penetration testing", IEEE Security & Privacy, pp.84-87, 2007.
Patrice Godefroid, "Random testing for security: Blackbox vs. whitebox fuzzing", In Proceedings of the 2nd International Workshop on Random Testing (RT'07), 2007.
M. E. Khan, F. Khan, "A comparative study of white box, black box and grey box testing techniques", International Journal of Advanced Computer Science and Applications (IJACSA), 2012.
Thomas Zimmermann, Nachiappan Nagappan, Laurie Williams, "Searching for a needle in a haystack: Predicting security vulnerabilities for windows vista", In Proceedings of the 3rd International Conference on Software Testing, Verification and Validation (ICST'10), pp. 421-428, 2010.
Andrew Meneely, Laurie Williams, "Strengthening the empirical analysis of the relationship between linus' law and software security", In Proceedings of the ACM/IEEE International Symposium on Empirical Software Engineering and Measurement (ESEM'10), 2010.
MaureenDoyle, JamesWalden, "An empirical study of the evolution of PHPweb application security", In Proceedings of the 3rd International Workshop on Security Measurements and Metrics (MetriSec'11), pp.11-20, 2011.
Yonghee Shin, Laurie Williams, "Can traditional fault prediction models be used for vulnerability prediction?", Empir. Softw. Eng, pp.25-59, 2013.
Yonghee Shin, Laurie Williams, "An initial study on the use of execution complexity metrics as indicators of software vulnerabilities", In Proceedings of the 7th International Workshop on Software Engineering for Secure Systems(SESS'11), pp.1-7, 2011.
Sara Moshtari, Ashkan Sami, Mahdi Azimi, "Using complexity metrics to improve software security", Computer Fraud & Security, pp.8-17, May 2011.
James Walden, Jeffrey Stuckman, Riccardo Scandariato, "Predicting vulnerable components: Software metrics vs text mining",In Proceedings of the 25th International Symposium on Software Reliability Engineering (ISSRE'14), pp.23-33, 2014.
Henning Perl, Sergej Dechand, Matthew Smith, Daniel Arp, Fabian Yamaguchi, Konrad Rieck, Sascha Fahl, Yasemin Acar, "VccFinder: Finding potential vulnerabilities in open-source projects to assist code audits", In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security (CCS'15), pp.426-437, 2015.
Awad Younis, Yashwant Malaiya, Charles Anderson, Indrajit Ray, "To fear or not to fear that is the question: Code characteristics of a vulnerable function with an existing exploit", In Proceedings of the 6th ACM Conference on Data and Application Security and Privacy (CODASPY'16), pp.97-104, March 2016.
Fabian Yamaguchi, Felix Lindner, Konrad Rieck, "Vulnerability extrapolation : Assisted discovery of vulnerabilities using machine learning", In Proceedings of the 5th USENIX Workshop on Offensive Technologies, 2011.
Fabian Yamaguchi, Felix Lindner, Konrad Rieck. "Generalized vulnerability extrapolation using abstract syntax trees", In Proceedings of the 28th Annual Computer Security Applications Conference (ACSAC'12), pp.359-368, 2012.
Sean Heelan, "Vulnerability detection systems: Think cyborg, not robot", IEEE Security and Privacy, pp.74-77, 2011.
Lwin Khin Shar, Hee Beng Kuan Tan, Lionel C. Briand, "Mining SQL injection and cross site scripting vulnerabilities using hybrid program analysis", In Proceedings of the 35th International Conference on Software Engineering (ICSE'13), pp.642-651, 2013.
Lwin Khin Shar, Lionel C Briand, Hee Beng Kuan Tan, "Web application vulnerability prediction using hybrid program analysis and machine learning", IEEE Transactions on Dependable and Secure Computing, pp.688-707, 2015.
Gustavo Grieco, Guillermo Luis Grinblat, Lucas Uzal, Sanjay Rawat, Josselin Feist, Laurent Mounier, "Toward Large-scale Vulnerability Discovery Using Machine Learning", In Proceedings of the Sixth ACM Conference on Data and Application Security and Privacy (CODASPY'16), pp.85-96, March 2016.
Dumidu Wijayasekara, Milos Manic, Jason L. Wright, Miles McQueen, "Mining bug databases for unidentified software vulnerabilities", In Proceedings of the 5th International Conference on Human System Interactions (HSI'12), pp.89-96, 2012.
Dumidu Wijayasekara, Milos Manic, Jason L. Wright, Miles McQueen, "Vulnerability identification and classification via text mining bug databases", In Proceedings of the 40th Annual Conference of the IEEE Industrial Electronics Society (IECON'14), 2014.
Dumidu Wijayasekara, Milos Manic, Jason L. Wright, Miles McQueen, "Applications of computational intelligence for static software checking against memory corruption vulnerabilities", In Proceedings of the IEEE Symposium on Computational Intelligence in Cyber Security (CICS'13), pp. 59-66, 2013.
Iberia Medeiros, Nuno F. Neves, Miguel Correia, "Automatic detection and correction of web application vulnerabilities using data mining to predict false positives", In Proceedings of the 23rd International Conference on World Wide Web (WWW'14), pp. 63-74, 2014.
W.Weimer, T. Nguyen, C. Le Goues, and S. Forrest, "Automatically Finding Patches Using Genetic Programming", In Proceedings of the International Conference on Software Engineering, 2009.
Claire Le Goues, ThanhVu Nguyen, Stephanie Forrest, "GenProg: A Generic Method for Automatic Software Repair", IEEE transactions on software engineering, pp 54-72, 2012.
A. Arcuri, "Automatic Software Generation and Improvement Through Search Based Techniques", PhD thesis. The University of Birmingham, 2009.
V. Debroy, W.Wong, "Using Mutation to Automatically Suggest Fixes for Faulty Programs", In Proceedings of the International Conference on Software Testing, Verification and Validation, pp. 65-74, 2010.
D. Kim, J. Nam, J. Song, S. Kim, "Automatic Patch Generation Learned From Human-Written Patches", In: Proceedings of ICSE, 2013.
G. Candea, S. Kawamoto, Y. Fujiki, G. Friedman, A. Fox, "Microreboot: a Technique for Cheap Recovery", In: Proceedings of the 6th Conference on Symposium on Operating Systems Design & Implementation, pp. 31-44, 2004.
A. Smirnov, T. Chiueh, "DIRA: Automatic Detection, Identification, and Repair of Control-hijacking Attacks", The 12th Annual Network and Distributed System Security Symposium, 2005.
P. E. Ammann, J. C. Knight, "Data Diversity: An Approach to Software Fault Tolerance", Ieee transactions on computers, pp. 418-425, 2005.
C. Lewis, J. Whitehead, "Runtime Repair of Software Faults Using Event-driven Monitoring", In Proceedings of the 32nd acm/ieee international conference on software engineering(icse '10), pp. 275-280, 2010.
Guodong Li, Indradeep Ghosh, and Sreeranga P. Rajan, "KLOVER: A Symbolic Execution and Automatic Test Generation Tool for C++ Programs", IEEE Software, pp. 33-37, 2017.
L. Luo, Q. Zeng, C. Cao, K. Chen, J. Liu, L. Liu, N. Gao, M. Yang, X. Xing, and P. Liu, "System service call-oriented symbolic execution of android framework with applications to vulnerability discovery and exploit generation," In Proceedings of the 15th Annual International Conference on Mobile Systems, Applications, and Services. ACM, pp. 225-238, 2017.
S. Rawat, V. Jain, A.Kumar, L. Cojocar, C. Giuffrida, H. Bos, "Vuzzer: Application-aware evloutionary fuzzing," In Proceedings of the Network and Districuted System Security Symposium(NDSS), 2017.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

보안 취약점 자동 탐색 및 대응기술 동향 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (36)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

보안 취약점 자동 탐색 및 대응기술 동향 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (36)

이 논문을 인용한 문헌

저자의 다른 논문 :

김태은 (3) 김환국 (12)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

초록
AI-Helper

AI 본문요약
AI-Helper