公开(公告)号：DE112012003812T5

公开(公告)日：2014-07-24

申请号：DE112012003812

申请日：2012-07-12

Applicant: IBM

Inventor： TRIPP OMER ,  PISTOIA MARCO ,  TATEISHI TAKAAKI

IPC: G06F21/52 ,  H04L12/70

Abstract: Ein Verfahren zum dynamischen Auswählen von String-Analysealgorithmen kann mit dem Trainieren des Steuerungsprogramms zur dynamischen String-Analyse eines String-Analysemoduls beginnen, um eine Teilmenge von String-Abfragen wirkungsvoll zu bearbeiten, die kontextabhängige Metadaten aufweisen, die von einer Client-Anwendung in einer Befehlsumgebung empfangen werden. Die Wirksamkeit des Trainingsmoduls kann auf einer Rückmeldung von der Client-Anwendung beruhen. Bei Beendigung des Trainierens kann eine Auswahlrichtlinie des String-Analysealgorithmus synthetisiert werden. Die Auswahlrichtlinie des String-Analysealgorithmus kann einen Kontext einer String-Abfrage in der Teilmenge mit der Nutzung eines String-Analysealgorithmus korrelieren. In der Betriebsumgebung kann das Steuerungsprogramm zur dynamischen String-Analyse String-Abfragen, die kontextabhängige Metadaten aufweisen, die von der Client-Anwendung empfangen werden, gemäß der Auswahlrichtlinie des String-Analysealgorithmus dynamisch bearbeiten. Der String-Analysealgorithmus, der für eine String-Abfrage verwendet werden soll, kann dynamisch und unabhängig festgelegt werden.

公开(公告)号：DE112012000279T5

公开(公告)日：2013-10-10

申请号：DE112012000279

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00

Abstract: Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen, wobei zum Beispiel ein Befehlsklassifizierungsprogramm so konfiguriert wird, dass es zum Identifizieren eines möglichen zugriffsbeschränkten Bereichs der Befehle einer Computer-Software-Anwendung verwendet werden soll, und ein statisches Analyseprogramm so konfiguriert wird, dass es den möglichen zugriffsbeschränkten Bereich statisch analysiert, um zu ermitteln, ob eine bedingte Anweisung vorhanden ist, die einen Ausführungsablauf in den möglichen zugriffsbeschränkten Bereich steuert, dass es eine statische Analyse durchführt, um zu ermitteln, ob die bedingte Anweisung von einer Datenquelle innerhalb der Computer-Software-Anwendung abhängig ist, und dass es den möglichen zugriffsbeschränkten Bereich mangels entweder der bedingten Anweisung oder der Datenquelle als anfällig gegenüber Rechteausweitungsangriffen kennzeichnet.

公开(公告)号：GB2499353A

公开(公告)日：2013-08-14

申请号：GB201310455

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00 ,  G06F11/36 ,  G06F21/50

Abstract: Determining the vulnerability of computer software applications to privilege-escalation attacks, such as where an instruction classifier is configured to be used for identifying a candidate access-restricted area of the instructions of a computer software application, and a static analyzer is configured to statically analyze the candidate access-restricted area to determine if there is a conditional instruction that controls execution flow into the candidate access-restricted area, perform static analysis to determine if the conditional instruction is dependent on a data source within the computer software application, and designate the candidate access-restricted area as vulnerable to privilege-escalation attacks absent either of the conditional instruction and the date source.

公开(公告)号：DE112018006377T5

公开(公告)日：2020-08-20

申请号：DE112018006377

申请日：2018-12-13

Applicant: IBM

Inventor： CHEN RICHARD ,  FAN QUANFU ,  PISTOIA MARCO ,  SUZUMURA TOYOTARO

IPC: G06N3/08

Abstract: Bereitgestellt werden Techniken, die eine Erzeugung eines verschmolzenen Kernels ermöglichen, der einen vollen Kernel eines neuronalen Faltungsnetzes approximieren kann. In einem Beispiel umfasst ein durch einen Computer implementiertes Verfahren Bestimmen eines ersten Musters aus Abtastwerten einer ersten Abtastwertmatrix und eines zweiten Musters aus Abtastwerten einer zweiten Abtastwertmatrix. Die erste Abtastwertmatrix kann einen spärlich besetzten Kernel repräsentieren, und die zweite Abtastwertmatrix kann einen komplementären Kernel repräsentieren. Das erste Muster und das zweite Muster können zueinander komplementär sein. Das durch einen Computer implementierte Verfahren umfasst zudem Erzeugen eines verschmolzenen Kernels auf Grundlage einer Kombination aus Merkmalen des spärlich besetzten Kernels und Merkmalen des komplementären Kernels, die gemäß einem Verschmelzungsansatz kombiniert werden, und Trainieren des verschmolzenen Kernels.

公开(公告)号：GB2529363A

公开(公告)日：2016-02-17

申请号：GB201521768

申请日：2014-05-22

Applicant: IBM

Inventor： LIGMAN JOSEPH WILLIAM ,  PISTOIA MARCO ,  THOMAS GEGI ,  TRIPP OMER

IPC: G06F9/50 ,  H04L29/08 ,  H04W52/02

Abstract: A method to share a computation task amongst a plurality of devices including at least one mobile device. The method includes estimating a cost to perform a computation task on a data set. If the estimated cost is greater than a threshold cost, the method further includes forming an ad-hoc wireless network comprised of a plurality of devices; downloading a portion of the data set to individual ones of the devices; performing a computation task by each device on the downloaded portion of the data set; and wirelessly transferring a result of the computation task from each device to all other devices of the network. The method can be performed by execution of an application program stored in mobile devices configured for local area wireless connectivity with neighboring mobile devices and for wireless connectivity to a remote server from which the portion of the data set is downloaded.

公开(公告)号：GB2505623B

公开(公告)日：2014-06-11

申请号：GB201400029

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L29/06 ,  G06F21/57

Abstract: Method to detect security vulnerabilities includes: interacting with a web application during its execution to identify a web page exposed by the web application; statically analyzing the web page to identify a parameter within the web page that is constrained by a client-side validation measure and that is to be sent to the web application; determining a server-side validation measure to be applied to the parameter in view of the constraint placed upon the parameter by the client-side validation measure; statically analyzing the web application to identify a location within the web application where the parameter is input into the web application; determining whether the parameter is constrained by the server-side validation measure prior to the parameter being used in a security-sensitive operation; and identifying the parameter as a security vulnerability.

公开(公告)号：DE112010004526T5

公开(公告)日：2012-10-31

申请号：DE112010004526

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  SHARABANI ADI ,  TRIPP OMER ,  PISTOIA MARCO

IPC: G06F9/00 ,  G06F15/16

Abstract: Richtlinien zur Zugriffskontrolle und Integrität von Informationsflüssen werden in einem Computersystem durchgesetzt, indem sicherheitsrelevante Senken im Software-Code für eine Anwendung ermittelt werden, die auf dem Computersystem ausgeführt wird, und eine Richtlinie zur Zugriffskontrolle aus einer Datenbank abgerufen wird, auf die das Computersystem zugreifen kann. Die Richtlinie zur Zugriffskontrolle bildet einen Satz von Zugriffsberechtigungen in dem Computersystem auf jeden einer Vielzahl von Prinzipalen ab. Für jede ermittelte sicherheitsrelevante Senke werden alle Prinzipale ermittelt, die diese sicherheitsrelevante Senke beeinflussen, und jeder sicherheitsrelevanten Senke wird eine umfassende Zugriffsberechtigung zugeordnet, indem die Schnittmenge der Zugriffsberechtigungssätze für alle Einfluss nehmenden Prinzipale dieser sicherheitsrelevanten Senke gebildet wird. Wenn dieser Berechtigungssatz nicht ausreicht, wird eine Verletzung der Integrität gemeldet. Darüber hinaus werden jedem Wert von Variablen, die in den sicherheitsrelevanten Senken verwendet werden, Berechtigungslabels zugeordnet. Jedes Berechtigungslabel ist ein Berechtigungssatz.

公开(公告)号：GB2487862A

公开(公告)日：2012-08-08

申请号：GB201206958

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  PISTOIA MARCO ,  SHARABANI ADI ,  TRIPP OMER

IPC: G06F21/00 ,  H04L29/06

Abstract: Access-control and information-flow integrity policies are enforced in a computing system by detecting security-sensitive sinks in software code for an application running on the computing system and retrieving an access-control policy from a database accessible to the computing system. The access-control policy maps a set of access permissions within the computing system to each one of a plurality of principals. For each detected security-sensitive sink, all principals that influence that security-sensitive sink are detected and an overall access permission is assigned to each security-sensitive sink by taking the intersection of the access permission sets for all influencing principals of that security-sensitive sink. If this permission set is inadequate, an integrity violation is reported. In addition, permission labels are assigned to each value of variables used in the security-sensitive sinks. Each permission label is a set of permissions.

公开(公告)号：DE112012003812B4

公开(公告)日：2021-02-11

申请号：DE112012003812

申请日：2012-07-12

Applicant: IBM

Inventor： TRIPP OMER ,  TATEISHI TAKAAKI ,  PISTOIA MARCO

IPC: G06F21/52 ,  H04L12/70

Abstract: Verfahren, das beinhaltet:in einer Befehlsumgebung Trainieren eines Steuerungsprogramms (handler) zur dynamischen String-Analyse eines String-Analysemoduls, um eine Teilmenge von einer Vielzahl von String-Abfragen, die eine Vielzahl von kontextabhängigen Metadaten aufweisen, die von einer Client-Anwendung empfangen werden, wirkungsvoll zu bearbeiten, wobei das Steuerungsprogramm zur dynamischen String-Analyse in einer Trainingsbetriebsart betrieben wird, wobei eine Wirksamkeit des Steuerungsprogramms zur dynamischen String-Analyse auf einer Rückmeldung von der Client-Anwendung beruht, und wobei die Teilmenge von String-Abfragen ein Spektrum von String-Abfragen repräsentiert, die erwartungsgemäß durch die Client-Anwendung in einer Betriebsumgebung erzeugt werden;bei Beendigung des Trainierens Synthetisieren einer Auswahlrichtlinie des String-Analysealgorithmus für die Client-Anwendung, wobei die Auswahlrichtlinie des String-Analysealgorithmus auf Interaktionen zwischen dem Steuerungsprogramm zur dynamischen String-Analyse und der Client-Anwendung beruht, wenn die Teilmenge von String-Abfragen während des Trainierens bearbeitet wird, wobei die Auswahlrichtlinie des String-Analysealgorithmus einen Kontext einer String-Abfrage in der Teilmenge mit der Verwendung eines String-Analysealgorithmus korreliert; undin der Betriebsumgebung dynamisches Bearbeiten der Vielzahl von String-Abfragen, die kontextabhängige Metadaten aufweisen, die von der Client-Anwendung empfangen werden, gemäß der Auswahlrichtlinie des String-Analysealgorithmus durch das Steuerungsprogramm zur dynamischen String-Analyse, wobei das Steuerungsprogramm zur dynamischen String-Analyse in einer Produktionsbetriebsart betrieben wird, wobei der String-Analysealgorithmus, der für eine String-Abfrage verwendet werden soll, dynamisch und unabhängig festgelegt wird.

公开(公告)号：DE112012003527T5

公开(公告)日：2014-05-08

申请号：DE112012003527

申请日：2012-07-27

Applicant: IBM

Inventor： TRIPP OMER ,  PISTOIA MARCO ,  TEILHET STEPHEN DARWIN ,  TATEISHI TAKAAKI

IPC: G06F9/45

Abstract: Mechanismen zum Bewerten eines Herabstufungseinrichtungs-Codes in einem Anwendungscode in Bezug auf eine Zieleinsatzumgebung. Es wird ein Herabstufungseinrichtungs-Code in dem Anwendungscode identifiziert. Auf der Grundlage einer Eingabezeichenfolge wird eine Ausgabezeichenfolge identifiziert, die von dem Herabstufungseinrichtungs-Code in Reaktion auf Empfangen der Eingabezeichenfolge ausgegeben wird. Es werden eine oder mehrere Mengen an unzulässigen Zeichenfolgemustern abgerufen. Jede der einen oder mehreren Mengen an unzulässigen Zeichenfolgemustern gehört zu einer entsprechenden Einsatzumgebung. Bei den unzulässigen Zeichenfolgemustern handelt es sich um Zeichenfolgemuster, die eine Herabstufungseinrichtung zu Sicherheitszwecken in dem Informationsfluss identifiziert. Es wird ermittelt, ob der Herabstufungseinrichtungs-Code mit der Zieleinsatzumgebung kompatibel ist, auf der Grundlage der einen oder mehreren Mengen an unzulässigen Zeichenfolgemustern und der Ausgabezeichenfolge. Es wird eine Ausgabe, die die Ergebnisse anzeigt, erzeugt.