会员服务
软件 · 级联 · 分析 · 工具 · 攻击 ·
1 月 28 日
Cascaded Vulnerability Attacks in Software Supply Chains
翻译:软件供应链中的级联漏洞攻击
Laura Baird,Armin Moin
Laura Baird,Armin Moin
from arxiv, IEEE/ACM International Conference on Software Engineering (ICSE) 2026 Extended Abstract

Most of the current software security analysis tools assess vulnerabilities in isolation. However, sophisticated software supply chain security threats often stem from cascaded vulnerability and security weakness chains that span dependent components. Moreover, although the adoption of Software Bills of Materials (SBOMs) has been accelerating, downstream vulnerability findings vary substantially across SBOM generators and analysis tools. We propose a novel approach to SBOM-driven security analysis methods and tools. We model vulnerability relationships over dependency structure rather than treating scanner outputs as independent records. We represent enriched SBOMs as heterogeneous graphs with nodes being the SBOM components and dependencies, the known software vulnerabilities, and the known software security weaknesses. We then train a Heterogeneous Graph Attention Network (HGAT) to predict whether a component is associated with at least one known vulnerability. Since documented multi-vulnerability chains are scarce, we model cascade discovery as a link prediction problem over CVE pairs using a multi-layer perceptron neural network. This way, we produce ranked candidate links that can be composed into multi-step paths. The HGAT component classifier achieves an Accuracy of 91.03% and an F1-score of 74.02%.


翻译:当前大多数软件安全分析工具孤立地评估漏洞。然而,复杂的软件供应链安全威胁通常源于跨越依赖组件的级联漏洞与安全缺陷链。此外,尽管软件物料清单(SBOM)的采用正在加速,但下游漏洞发现在不同SBOM生成器和分析工具之间存在显著差异。我们提出了一种新颖的SBOM驱动安全分析方法与工具。我们基于依赖结构对漏洞关系进行建模,而非将扫描器输出视为独立记录。我们将增强型SBOM表示为异构图,其节点包括SBOM组件与依赖项、已知软件漏洞以及已知软件安全缺陷。随后训练异构图注意力网络(HGAT)以预测组件是否关联至少一个已知漏洞。由于已记录的多漏洞链稀缺,我们将级联发现建模为基于CVE对的链路预测问题,采用多层感知器神经网络实现。通过这种方式,我们生成可排序的候选链接,这些链接可组合成多步路径。HGAT组件分类器实现了91.03%的准确率与74.02%的F1分数。
0
下载
关闭预览

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
专知会员服务
12+阅读 · 2025年5月13日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
专知会员服务
39+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
《 基于博弈论的高级持续威胁(APT)防御方法》25页最新论文
《 基于博弈论的高级持续威胁(APT)防御方法》25页最新论文
专知会员服务
46+阅读 · 2022年10月8日
【卡迪夫大学2022博士论文】《智能家居物联网生态系统中网络攻击的检测和防御》221页
【卡迪夫大学2022博士论文】《智能家居物联网生态系统中网络攻击的检测和防御》221页
专知会员服务
31+阅读 · 2022年8月31日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
专知
32+阅读 · 2022年11月12日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
外包开发的风险,一半以上的企业都被坑过
外包开发的风险,一半以上的企业都被坑过
DBAplus社群
16+阅读 · 2019年9月1日
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
AI前线
46+阅读 · 2019年2月25日
【MES】从ERP到MES,大部分企业都会踩到这些坑
【MES】从ERP到MES,大部分企业都会踩到这些坑
产业智能官
23+阅读 · 2018年10月12日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
复杂通信网络传输容量与级联效应安全防护综合研究
国家自然科学基金
0+阅读 · 2015年12月31日
相互关联研发网络上风险级联传播建模及控制方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
An Empirical Study of the Imbalance Issue in Software Vulnerability Detection
Arxiv
0+阅读 · 2月12日
VulReaD: Knowledge-Graph-guided Software Vulnerability Reasoning and Detection
Arxiv
0+阅读 · 2月11日
QUT-DV25: A Dataset for Dynamic Analysis of Next-Gen Software Supply Chain Attacks
Arxiv
0+阅读 · 2月11日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
Did You Forkget It? Detecting One-Day Vulnerabilities in Open-source ForksWith Global History Analysis
Arxiv
0+阅读 · 1月28日
Trustworthy and Confidential SBOM Exchange
Arxiv
0+阅读 · 1月26日
Multi-Agent End-to-End Vulnerability Management for Mitigating Recurring Vulnerabilities
Arxiv
0+阅读 · 1月25日
A Prompt-Based Framework for Loop Vulnerability Detection Using Local LLMs
Arxiv
0+阅读 · 1月21日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
软件
级联
分析
工具
攻击
相关VIP内容
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
专知会员服务
12+阅读 · 2025年5月13日
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页
专知会员服务
23+阅读 · 2024年6月3日
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
专知会员服务
39+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
《 基于博弈论的高级持续威胁(APT)防御方法》25页最新论文
《 基于博弈论的高级持续威胁(APT)防御方法》25页最新论文
专知会员服务
46+阅读 · 2022年10月8日
【卡迪夫大学2022博士论文】《智能家居物联网生态系统中网络攻击的检测和防御》221页
【卡迪夫大学2022博士论文】《智能家居物联网生态系统中网络攻击的检测和防御》221页
专知会员服务
31+阅读 · 2022年8月31日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
推荐!《不确定性下的作战决策:推理、序贯和对抗性方法》美国空军293页博士论文,含代码
专知
47+阅读 · 2022年11月16日
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
专知
32+阅读 · 2022年11月12日
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
【博士论文】《安全博弈中的分层规划:战略、战术和行动决策的博弈论方法》南加州大学
专知
24+阅读 · 2022年9月25日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
外包开发的风险,一半以上的企业都被坑过
外包开发的风险,一半以上的企业都被坑过
DBAplus社群
16+阅读 · 2019年9月1日
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
微软重磅开源Recommenders:企业级可扩展推荐系统实践指南
AI前线
46+阅读 · 2019年2月25日
【MES】从ERP到MES,大部分企业都会踩到这些坑
【MES】从ERP到MES,大部分企业都会踩到这些坑
产业智能官
23+阅读 · 2018年10月12日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
相关论文
VeriSBOM: Secure and Verifiable SBOM Sharing Via Zero-Knowledge Proofs
Arxiv
0+阅读 · 2月14日
An Empirical Study of the Imbalance Issue in Software Vulnerability Detection
Arxiv
0+阅读 · 2月12日
VulReaD: Knowledge-Graph-guided Software Vulnerability Reasoning and Detection
Arxiv
0+阅读 · 2月11日
QUT-DV25: A Dataset for Dynamic Analysis of Next-Gen Software Supply Chain Attacks
Arxiv
0+阅读 · 2月11日
HAMLOCK: HArdware-Model LOgically Combined attacK
Arxiv
0+阅读 · 2月2日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
Did You Forkget It? Detecting One-Day Vulnerabilities in Open-source ForksWith Global History Analysis
Arxiv
0+阅读 · 1月28日
Trustworthy and Confidential SBOM Exchange
Arxiv
0+阅读 · 1月26日
Multi-Agent End-to-End Vulnerability Management for Mitigating Recurring Vulnerabilities
Arxiv
0+阅读 · 1月25日
A Prompt-Based Framework for Loop Vulnerability Detection Using Local LLMs
Arxiv
0+阅读 · 1月21日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
复杂通信网络传输容量与级联效应安全防护综合研究
国家自然科学基金
0+阅读 · 2015年12月31日
相互关联研发网络上风险级联传播建模及控制方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top