网络安全学术顶会——S&P 2023 议题清单、摘要与总结（上）

总结

本文总结了196篇近期涉及网络安全领域的研究论文。主要可分为以下几类:

1. 隐私保护,涉及到匿名认证、隐私保护机器学习等

2. 机器学习安全,主要研究对抗样本和隐蔽后门等问题

3. 浏览器和网络安全,涉及指纹识别、端到端加密、网站选择标志等

4. 嵌入式系统安全,主要针对 IOT 安全

5. 操作系统和软件安全,滥用漏洞检测和代码审计等

6. 混合加密和安全多方计算

7. 区块链安全,包括以太坊和比特币等

8. 密码学相关,如 zk snarks、零知识证明、匿名数字证书等

热门领域:

1. 对抗样本研究。众多论文针对对抗样本进行分析、建模和提出新的应对机制。

2. 隐私保护联邦学习。研究如何在保护隐私的前提下实施联邦学习。

3. 浏览器安全。包括指纹识别、网站选择标志和端到端加密等方面。

冷门领域:

1. 智能家居安全。尽管这是重要的领域但领头论文相对较少。

2. 嵌入式系统安全。嵌入式设备普及但相关安全研究仍较少。

未来值得研究的方向:

1. 通过零知识证明和混合加密提高安全系统的可验证性。

2. 面向非技术专业人员提高安全意识并提供个性化的解决方案。

3. 建模和理论化网络安全问题以提供完整和有力的证明。

研究建议:

1. 多钻研新的离散数学和密码学理论以解决复杂的安全问题。

2. 多与其他领域(如人机交互、用户研究)进行跨学科合作。

3. 多提供可验证和可复现的结果以改善学术质量。

4. 注重安全系统的实际可行性和易用性。

5. 注意关注新兴的技术和威胁,同时研究可以提高安全系统成本效益的方法。

1、"Always Contribute Back": A Qualitative Study on Security Challenges of the Open Source Supply Chain

开源组件在公司的设置、流程和软件中无处不在。利用这些外部组件作为构建块使公司能够利用开源软件的优势，让他们专注于功能和更快的交付，而不是编写自己的组件。但是，通过将这些组件引入他们的软件堆栈，公司继承了独特的安全挑战和攻击面：包括来自可能未经审核的贡献者的代码和评估和减轻外部组件漏洞影响的义务。在对来自行业项目的软件开发人员、架构师和工程师进行了25次深入、半结构化的访谈后，我们调查了他们项目中外部开源代码的流程、决策和考虑因素。我们发现开源组件在许多参与者的项目中发挥着重要作用，大多数项目都有某种形式的公司政策或至少最佳实践来包括外部代码，许多开发人员希望拥有更多的开发时间、专门的团队或工具来更好地审计包含的组件。根据我们的发现，我们讨论了公司利益相关者和开源软件生态系统的影响。总的来说，我们呼吁公司不要将开源生态系统视为免费（软件）供应链，而是为他们受益并成为其中一部分的整体软件生态系统的健康和安全做出贡献。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbYPDlzTW/pdf

2、"How technical do you get? I'm an English teacher": Teaching and Learning Cybersecurity and AI Ethics in High School

今天的网络安全和人工智能技术常常涉及道德挑战。一个有前途的方向是向今天的青年教授网络安全和人工智能伦理学。然而，我们对高中之前如何教授这些学科知之甚少。通过对美国高中教师（n=16）和学生（n=11）的访谈，我们发现网络安全和人工智能伦理学通常在非技术课程，如社会研究和语言艺术中教授。我们还确定了相关的主题，其中认识规范、隐私和数字公民身份出现最频繁。虽然教师利用传统和新颖的教学策略，包括讨论（将当前事件作为案例研究）、游戏化活动和内容创作，但仍存在许多挑战。例如，教师因担心被认为是党派和激怒家长而犹豫讨论当前事件；网络卫生教育在教育青年和促进更安全的在线行为方面似乎非常无效；代际差异使得教师难以与学生建立联系。基于研究结果，我们提供了实用的建议，以改善网络安全和人工智能伦理学对青年的教育，包括教育工作者、学校管理人员和网络安全从业人员。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Ykmov3G/pdf

3、"It's up to the Consumer to be Smart": Understanding the Security and Privacy Attitudes of Smart Home Users on Reddit

智能家居技术为用户带来许多好处。然而，它们也带来了复杂的安全和隐私问题，用户在采用时往往很难评估和考虑。为了更好地了解用户对智能家居安全和隐私的考虑和态度，特别是用户如何逐渐形成这些态度，我们对来自/r/homeautomation，一个主要的Reddit智能家居论坛上的180个安全和隐私相关讨论主题的4,957个评论进行了定性内容分析。我们的分析揭示了用户的安全和隐私态度，表现为关注程度和他们采用保护策略的程度，是由多维考虑因素塑造的。用户的态度会随着采用阶段和他们对这些因素的认识而发生变化。此外，我们描述了关于安全和隐私风险和保护的在线话语如何促进个人和集体态度的发展。根据我们的发现，我们提供了改善智能家居设计、支持用户态度发展、促进信息交流和指导未来智能家居安全和隐私研究的建议。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Y7STzBS/pdf

4、"We are a startup to the core":   A qualitative interview study on the security and privacy development practices in Turkish software startups

安全和隐私在软件开发中经常被忽视，很少成为开发者的优先考虑事项。这种看法通常基于研究者和居住在美国、欧洲和英国的开发者群体的研究。然而，软件生产是全球性的，重要技术中心的关键人群没有得到足够的研究。土耳其的软件创业场景具有影响力，与软件安全和隐私相关的理解、知识和缓解措施仍未得到充分研究。为了弥补这一研究空白，我们对16名土耳其软件创业公司的开发者进行了半结构化访谈研究。访谈研究的目的是分析开发者是否以及如何确保其软件安全并保护用户隐私。我们的主要发现是，由于缺乏意识、技能和资源，开发者很少将安全和隐私作为优先考虑事项。我们发现，监管可以对安全和隐私产生积极影响。基于这项研究，我们向行业、个人开发者、研究、教育者和监管机构提出了建议。我们的建议可以为软件开发中的安全和隐私提供更全球化的方法。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DRrdGNi/pdf

5、3DFed: Adaptive and Extensible Framework for Covert Backdoor Attack in Federated Learning

Federated Learning（FL）是一种分布式机器学习模式，它在个体设备上本地训练数据集，但容易受到后门模型污染攻击。攻击者可以通过破坏或冒充这些设备，上传制作的恶意模型更新来操纵全局模型，在攻击者指定的触发器下实现后门行为。然而，现有的后门攻击需要更多的关于受害FL系统的信息，而且它们通常是专门为优化单一目标而设计的，这在现代FL系统中变得无效，因为这些系统往往采用深度防御来从不同角度检测后门模型。受到这些问题的启发，本文提出了3DFed，这是一个自适应、可扩展和多层次的框架，用于在黑盒设置下启动隐蔽的FL后门攻击。3DFed具有三个避免模块，可以伪装后门模型：约束损失的后门训练、噪声掩蔽和诱饵模型。通过将指示器植入后门模型中，3DFed可以从全局模型中获取先前时期的攻击反馈，并动态调整这些后门避免模块的超参数。通过广泛的实验结果，我们展示了当它的所有组件一起工作时，3DFed可以逃避所有最先进的FL后门防御，包括Deepsight、Foolsgold、FLAME、FL-Detector和RFLBAT。未来还可以将新的避免模块纳入3DFed中，因为它是一个可扩展的框架。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZhCP5ao/pdf

6、A Security RISC: Microarchitectural Attacks on Hardware RISC-V CPUs

微架构攻击威胁计算机系统的安全，即使在没有软件漏洞的情况下也是如此。这样的攻击已在x86和ARM CPU上得到了很好的探索，提出了广泛的硬件对策，但尚未部署。随着RISC-V指令集架构的标准化和主要处理器供应商宣布支持该架构，RISC-V CPU即将普及。然而，第一批商用RISC-V硬件CPU的微架构攻击面仍需要探索。本文分析了大多数RISC-V系统中使用的两种商用现成的64位RISC-V（硬件）CPU的微架构攻击面，这些系统运行着一个完整的商品化Linux系统。我们评估了微架构攻击面，引入了3种新的微架构攻击技术：Cache+Time，一种新颖的缓存行粒度的缓存攻击，不需要共享内存；Flush+Fault，利用哈佛缓存架构进行Flush+Reload；CycleDrift，利用特权访问指令退役信息。我们还展示了许多已知的攻击适用于这些RISC-V CPU，主要是由于不存在的硬件对策和指令集细节没有考虑微架构攻击面。我们在6个案例研究中演示了我们的攻击，包括第一个针对RISC-V的微架构KASLR破解和一个基于CycleDrift的检测内核活动的方法。根据我们的分析，我们强调在CPU设计的每个步骤中都要考虑微架构攻击面，包括定制的ISA扩展。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZEn0hmU/pdf

7、A Theory to Instruct Differentially-Private Learning via Clipping Bias Reduction

我们研究了在差分隐私随机梯度下降（DP-SGD）中引入的偏差，其中采用了裁剪或归一化的每个样本梯度。作为确保有界敏感性的最流行但人为操作之一，梯度裁剪使得许多迭代优化方法的复合隐私分析成为可能，而无需对学习模型或输入数据做出额外的假设。尽管其适用性广泛，但梯度裁剪在系统地指导隐私或效用的改善方面也存在理论上的挑战。一般来说，在没有对全局梯度进行有界假设的情况下，经典的收敛分析不适用于裁剪的梯度下降。此外，由于对效用损失的理解有限，许多现有的DP-SGD改进方法都是启发式的，特别是在私有深度学习的应用中。在本文中，我们提供了有意义的理论分析，并通过详尽的实验结果验证了DP-SGD。我们指出，在先前的工作中低估了由梯度裁剪引起的偏差。对于通过DP-SGD进行通用非凸优化，我们展示了一个导致偏差的关键因素是要裁剪的随机梯度的采样噪声。因此，我们利用所开发的理论从各个角度建立了一系列减少采样噪声的改进。从优化角度出发，我们研究了方差减少技术，并提出了内外动量。在学习模型（神经网络）层面上，我们提出了几种技巧来增强网络内部归一化和批量裁剪，以仔细裁剪一批样本的梯度。对于数据预处理，我们提供了最近提出的通过数据归一化和（自我）增强的改进的理论证明。将这些系统改进结合起来，通过DP-SGD进行私有深度学习在许多任务中可以得到显着加强。例如，在计算机视觉应用中，我们使用（epsilon=8，delta=10^-5）的DP保证，成功地在CIFAR10和SVHN上训练了ResNet20，测试精度分别为76.0％和90.1％；在自然语言处理方面，使用（epsilon=4，delta=10^-5），我们成功地在IMDb数据上训练了一个循环神经网络，测试精度为77.5％。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZvmFiw0/pdf

8、ADI: Adversarial Dominating Inputs in Vertical Federated Learning Systems

垂直联邦学习（Vertical Federated Learning，VFL）系统近来成为一个突出的概念，用于处理分布在许多个体源中的数据，而无需将其集中。多个参与者以隐私意识的方式协作训练基于他们本地数据的模型。迄今为止，VFL已成为在组织之间安全学习模型的事实解决方案，允许共享知识而不损害任何个体的隐私。尽管VFL系统的发展蓬勃发展，但我们发现参与者的某些输入，即敌对控制输入（Adversarial Dominating Inputs，ADIs），可以支配联合推理，朝着敌对方的意愿方向，并迫使其他（受害）参与者做出微不足道的贡献，失去通常在联邦学习场景中提供的奖励。我们通过首先证明典型VFL系统中存在ADIs来对ADIs进行系统研究。然后，我们提出基于梯度的方法来合成各种格式的ADIs，并利用常见的VFL系统。我们进一步启动灰盒模糊测试，由“受害”参与者的显著性分数指导，扰动敌对控制的输入，并以隐私保护的方式系统地探索VFL攻击面。我们对合成ADIs的关键参数和设置的影响进行深入研究。我们的研究揭示了新的VFL攻击机会，促进在出现漏洞之前识别未知威胁并构建更安全的VFL系统。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZgBwxa0/pdf

9、AEM: Facilitating Cross-Version Exploitability Assessment of Linux Kernel Vulnerabilities

本文研究Linux内核跨版本漏洞利用评估问题。具体来说，给定一个展示特定内核版本漏洞利用性的攻击漏洞，我们旨在了解同一漏洞在其他内核版本上的利用性。为解决跨版本漏洞利用评估问题，自动化漏洞生成(AEG)是目前唯一可行的解决方案。然而，由于AEG是基于模板的，且忽略了可用漏洞的能力，因此不太适用。本文提出一种新方法，自动化漏洞迁移(AEM)，以促进Linux内核的跨版本漏洞利用评估。AEM的关键见解是观察到攻击所采用的策略通常适用于其他可利用的内核版本。技术上，我们将攻击工作的内核版本视为参考，调整攻击以强制其他内核版本与参考版本对齐。通过这种方式，我们可以在其他版本上复现攻击行为。为了降低成本并增加可行性，我们策略性地确定真正影响利用的执行点，并仅在这些点处强制对齐。我们设计和实现了AEM的原型。在我们评估的67个需要漏洞迁移的案例中，我们的原型成功迁移了56个漏洞，成功率为83.5%。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Yo3Ko9O/pdf

10、AI-Guardian: Defeating Adversarial Attacks using Backdoors

深度神经网络（DNNs）由于其越来越高的准确性已被广泛应用于许多领域。然而，它们也容易受到对抗性攻击，对于自动驾驶、远程诊断等安全关键应用构成严重威胁。现有解决方案在检测/预防此类攻击方面存在局限性，也会影响原始任务的性能。本文提出了AI-Guardian，一种新型方法，利用有意嵌入的后门来失败对抗性扰动，同时保持原始主任务的性能。我们使用五种流行的对抗性样例生成方法对AI-Guardian进行了广泛评估，实验结果表明其在打败对抗性攻击方面的有效性。具体来说，AI-Guardian将攻击成功率从97.3%降低到3.2%，超过最先进的工作30.9%，仅在干净数据准确率下降0.9%。此外，AI-Guardian在模型预测时间方面只引入了0.36%的开销，在大多数情况下几乎可以忽略不计。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbXZPyl7W/pdf

11、AUC: Accountable Universal Composability

责任制是一个成熟且广泛应用的安全概念，可以通过获得无可辩驳的加密证明来激励诚实行为。已经存在几个用于正式基于游戏的安全分析的通用责任制框架。不幸的是，这种基于游戏的框架不支持模块化安全分析，这是处理现代协议复杂性的重要工具。通用可组合性（UC）模型提供原生支持模块化分析，包括安全结果的重复使用和组合。到目前为止，责任制主要在UC模型中为MPC协议的特殊情况建模和分析，但尚缺乏UC的通用责任制框架。也就是说，需要一个框架，支持任意协议、广泛的责任制属性、处理和混合可追究和不可追究的安全属性以及可追究协议的模块化分析。为了弥补这一差距，我们提出了AUC，这是第一个UC模型的通用责任制框架，支持上述所有内容，基于几个新概念。我们在三个未被现有工作涵盖的案例研究中示范了AUC。特别是，AUC将现有的UC责任制方法统一到一个框架中。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Eqh3vwc/pdf

12、Accuracy-Privacy Trade-off in Deep Ensemble: A Membership Inference Perspective

深度集成学习已经被证明通过训练多个神经网络并平均它们的输出来提高准确性。集成学习也被建议用于防御破坏隐私的成员推断攻击。在本文中，我们实证地展示了深度集成中准确性和隐私（以成员推断攻击为代价）之间的权衡。使用各种数据集和模型架构，我们展示了集成提高准确性时成员推断攻击的有效性增加的情况。我们分析了深度集成中各种因素的影响，并展示了权衡的根本原因。然后，我们评估了基于正则化和差分隐私的常见成员推断攻击防御措施。我们展示了这些防御措施虽然可以减轻成员推断攻击的有效性，但同时也会降低集成的准确性。我们展示了在更先进和最先进的集成技术中也存在类似的权衡，例如快照集成和多样化集成网络。最后，我们提出了一种简单而有效的深度集成防御措施来打破这种权衡，从而同时提高准确性和隐私。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Esvi9RC/pdf

13、Adaptive Risk-Limiting Comparison Audits

风险限制审计（RLAs）是严格的统计程序，旨在检测无效的选举结果。RLAs检查选举期间投票的纸质选票，以统计评估选票确定的获胜者与计票确定的获胜者之间的不一致可能性。RLA的设计必须在风险和效率之间平衡：“风险”是指审计未能在发生差异时检测出此类差异的机会的限制；“效率”是指进行审计的总工作量。从检查选票数量的角度来衡量，最有效的方法是“选票比较”。但是，“选票比较”需要对每张投票的内容进行（不受信任的）声明，而不是简单地计算选票总数。然后检查这个“投票记录表”（CVR）是否与选票一致。在许多实际情况下，生成适当的CVR的成本超过了进行审计的成本，这阻止了这些样本高效技术的广泛采用。我们介绍了一种新的RLA程序：一种“自适应选票比较”审计。在这种审计中，永远不会生成全局CVR；相反，迭代执行三个阶段的过程：1）选择批次，2）为该批次生成CVR，3）对批次中的选票进行抽样检查，并与CVR进行比较。我们证明这样的审计可以实现与标准比较审计相当的风险，同时仅生成CVR的一小部分。我们提出了三个主要贡献：（1）RLAs的正式对抗模型；（2）定义和分析具有严格风险限制的自适应审计程序，并估算典型审计中出现的偶然错误；以及（3）效率分析。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Eyq1TUY/pdf

14、Analyzing Leakage of Personally Identifiable Information in Language Models

语言模型（LMs）已被证明通过句子级成员推断和重构攻击泄漏有关训练数据的信息。了解LMs泄漏个人身份信息（PII）的风险受到较少关注，这可以归因于虚假的假设，即数据集清理技术如擦洗足以防止PII泄漏。擦洗技术减少但不能防止PII泄漏的风险：在实践中，擦洗是不完美的，必须权衡最小化披露和保留数据集的效用之间的平衡。另一方面，不清楚算法防御，如差分隐私，旨在保证句子或用户级隐私，能够防止PII披露的程度。在这项工作中，我们引入了三种PII泄漏类型的严格基于游戏的定义，通过只使用LM的API访问进行黑盒提取、推断和重构攻击。我们在三个领域中评估了带有和不带有防御的GPT-2模型的攻击：案例法、医疗保健和电子邮件。我们的主要贡献是：（i）新颖的攻击可以提取多达10倍的PII序列，比现有攻击更有效；（ii）显示句子级差分隐私减少了PII披露的风险，但仍泄漏约3%的PII序列；（iii）记录级成员推断和PII重构之间的微妙联系。可用于重现论文中所有实验的代码可在https://github.com/microsoft/analysing_pii_leakage找到。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbXJj80H6/pdf

15、Attitudes towards Client-Side Scanning for CSAM, Terrorism, Drug Trafficking, Drug Use and Tax Evasion in Germany

近年来，出现了越来越多的立法努力和提议的技术措施来削弱保护隐私的技术，以应对儿童虐待等严重犯罪。其中一个提议措施是客户端扫描（CSS）。CSS在苹果宣布将在2021年部署它以及2022年欧盟提议的立法上都引起了激烈的争论。双方都声称自己是为人民的最大利益而工作。为了阐明问题，我们对德国公民进行了代表性样本的调查。我们调查了不同类型犯罪的CSS与基于云的扫描的普遍接受程度，并分析了德国政府和谷歌、苹果等公司的信任如何影响我们参与者的观点。我们发现，总的来说，大多数参与者愿意接受CSS措施来打击儿童虐待或恐怖主义等严重犯罪，但对于其他非法活动的支持率显著下降。然而，支持CSS的大多数参与者也担心潜在的滥用，只有20%表明他们没有担忧。这些结果表明，我们的许多参与者愿意让他们的设备被扫描，并接受一些风险，以期帮助执法机构。在我们的分析中，我们认为，有充分的理由不将此视为CSS引入的空白支票，而是作为S&P社区行动的呼吁。需要进一步研究如何在缓解隐私和社会风险的同时实现人们防止在线严重犯罪的愿望。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbXCX8M9y/pdf

16、BLEDiff : Scalable and Property-Agnostic Noncompliance Checking for BLE Implementations

在这项工作中，我们开发了一个自动化、可扩展、不依赖特定属性和黑盒协议不合规检查框架——BLEDiff，它可以分析和揭示蓝牙低功耗（BLE）协议实现中的不合规行为。为了克服从大型复杂的BLE规范中提取BLE协议参考行为抽象和安全属性所需的巨大手动工作量，BLEDiff利用多个BLE设备的访问权限，并利用差分测试的概念来自动识别不合规行为。在这方面，BLEDiff首先使用主动自动机学习方法自动提取BLE实现的协议FSM。为了改善大型复杂BLE协议的主动自动机学习的可扩展性，BLEDiff探索了使用分而治之方法的想法。BLEDiff将BLE协议分成多个子协议，识别它们之间的依赖关系，并分别提取每个子协议的FSM，最后将它们组合成大型协议FSM。然后对这些FSM进行成对测试，以自动识别不同的偏差。我们使用25个不同的商用设备评估了BLEDiff，并证明它可以揭示13种不同的不合规行为，其中有10种可利用的攻击。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DDrcl20/pdf

17、BayBFed: Bayesian Backdoor Defense for Federated Learning

联邦学习（FL）是一种新兴技术，允许参与者在不与他人共享私有数据的情况下共同训练机器学习模型。然而，FL易受污染攻击（如后门攻击）的影响。因此，最近提出了各种防御措施，这些措施主要利用全局模型的中间状态（即logit）或本地模型与全局模型的距离（即L2范数）来检测FL中的恶意后门。然而，由于这些方法直接操作客户端更新（或权重），它们的有效性取决于客户端数据分布或对手的攻击策略等因素。本文介绍了一种新型、更通用的后门防御框架BayBFed，该框架建议利用客户端更新的概率分布来检测FL中的恶意更新：BayBFed计算客户端更新的概率度量，以跟踪更新中的任何调整，并使用一种新颖的检测算法，可以利用这个概率度量来有效地检测和过滤出恶意更新。因此，它克服了以前方法的缺点，这些缺点由于直接使用客户端更新而引起；尽管如此，我们的概率度量将包括本地客户端训练策略的所有方面。BayBFed利用了两个贝叶斯非参数（BNP）扩展：（i）层次贝塔伯努利过程，用于给出客户端更新的概率度量，以及（ii）中国餐馆过程（CRP）的一种改进，我们称之为CRP-Jensen，它利用这个概率度量来检测和过滤出恶意更新。我们在五个基准数据集上广泛评估了我们的防御方法：CIFAR10、Reddit、IoT入侵检测、MNIST和FMNIST，并展示了它可以有效地检测和消除FL中的恶意更新，而不会恶化全局模型的良好性能。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Ej4gSME/pdf

18、Beyond Phish: Toward Detecting Fraudulent e-Commerce Websites at Scale

尽管最近在恶意网站检测和钓鱼缓解方面取得了进展，但安全生态系统对欺诈电子商务网站（FCWs）如欺诈购物网站、假慈善机构和加密货币骗局网站等问题关注较少。更糟糕的是，没有有效的大规模缓解系统或公开可用的FCWs数据集。在本文中，我们首先提出一种通过众包收集FCWs的高效自动化方法。我们确定了八种不同类型的非钓鱼FCWs并推导出关键定义特征。然后，我们发现反钓鱼缓解系统（例如Google安全浏览）在我们的数据集上的检测率仅为0.46％。我们创建了一个分类器BEYOND PHISH，使用基于我们分析的手动定义特征来识别FCWs。通过用户研究验证BEYOND PHISH在从未见过的（未经过训练和未经过测试的数据）上具有高检测率和低误报率，分别为98.34％和1.34％。最后，我们与一家主要的互联网安全公司Palo Alto Networks以及一家主要的金融服务提供商合作，评估我们的分类器在手动标记的实际数据上的表现。该模型实现了2.46％的误报率和94.88％的检测率，显示出在FCWs方面具有实际防御的潜力。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZYi2YjC/pdf

19、Bicoptor: Two-round Secure Three-party Non-linear Computation without Preprocessing for Privacy-preserving Machine Learning

非线性函数的开销占据了基于安全多方计算（MPC）的隐私保护机器学习（PPML）的性能。本研究引入了一系列新型安全三方计算（3PC）协议Bicoptor，提高了非线性函数的计算效率。Bicoptor的基础是一种新的符号确定协议，它依赖于SecureML（S＆P 2017）中提出的截断协议的巧妙使用。我们的3PC符号确定协议只需要两个通信轮，不涉及任何预处理。这种符号确定协议非常适合计算PPML中的非线性函数，例如激活函数ReLU、Maxpool及其变体。我们为这些非线性函数开发了适当的协议，形成了一族适合GPU的协议Bicoptor。所有Bicoptor协议只需要两个通信轮，不需要预处理。我们在公共云上的3方LAN网络下评估了Bicoptor，每秒达到了370,000个DReLU / ReLU或41,000个Maxpool（查找九个输入的最大值）操作。在相同的设置和环境下，我们的ReLU协议与最新的研究Falcon（PETS 2021）或Edabits（CRYPTO 2020）相比，无需批处理就可以提高一到两个数量级。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DPq2AqQ/pdf

20、Bitcoin-Enhanced Proof-of-Stake Security: Possibilities and Impossibilities

比特币是世界上最安全的区块链，由其工作量证明矿工的巨大哈希算力支持。权益证明链具有高效节能、快速确定性，但面临多个安全问题：易受非可砍长距离安全攻击、低活性韧性和难以从低代币估值中引导。我们表明，这些安全问题是任何没有外部可信源的权益证明链所固有的，并提出了一种新协议Babylon，其中一个现成的权益证明协议在比特币上进行检查点以解决这些问题。一个不可能结果证明了巴比伦的最优性。Babylon的一个用例是减少股份提取延迟：我们的实验结果表明，使用Babylon，这种延迟可以从现有的权益证明链的几周减少到不到5个小时，每年发布检查点的交易成本不到10K美元。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Ei5Ok4U/pdf

21、BlindHub: Bitcoin-Compatible Privacy-Preserving Payment Channel Hubs Supporting Variable Amounts

Payment Channel Hub（PCH）是解决第一代区块链或加密货币（如比特币）可扩展性问题的有前途的解决方案。它通过中间人（称为tumbler）支持发送者和接收者之间的离线支付。隐私保护PCH的关系匿名和价值隐私是理想的特征，它们防止tumbler识别发送者和接收者对以及支付金额。据我们所知，所有保证关系匿名的现有比特币兼容PCH构造仅允许（预定义的）固定付款金额。因此，要实现不同金额的付款，它们将需要多个PCH系统或多次运行一个PCH系统。这两种解决方案都不被认为是实用的。在本文中，我们提出了第一个支持变量付款金额且实现关系匿名的比特币兼容PCH。为此，我们有几个技术构造层，每个构造层都可能独立于社区具有独立的兴趣。首先，我们提出了BlindChannel，一种新颖的双向支付通道协议，用于隐私保护支付，其中{通道双方之一}无法看到通道余额。然后，我们进一步提出了BlindHub，一种三方（发送方，tumbler，接收方）协议，用于私有条件付款，其中tumbler仅在发送方向tumbler支付时向接收方支付。BlindHub的吸引人的附加功能是，tumbler无法将发送方和接收方联系起来，同时支持可变的付款金额。为了构造BlindHub，我们还引入了两个新的密码原语作为构建块，即Blind Adaptor Signature（BAS）和Flexible Blind Conditional Signature fbcs）。BAS是在盲签名方案之上构建的适配器签名协议。fbcs是一种新的密码概念，使我们能够提供原子和隐私保护的PCH。最后，我们实例化了BlindChannel和BlindHub协议，并呈现实现结果以展示它们的实用性。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0EznDFew/pdf

22、Blue Is the New Black (Market): Privacy Leaks and Re-Victimization from Police-Auctioned Cellphones

在美国，警方拥有的物品如果没有人认领就会被拍卖，其中包括警方通过民事没收获得的手机、被盗的手机或者交到失物招领处的手机。成千上万的美国警察局与一个名为PropertyRoom的网站合作拍卖他们的物品。我们在几个月的时间内从PropertyRoom购买了228部手机，以确定它们是否包含个人信息。我们的结果显示，即使对于一个没有取证专业知识的“低努力”对手，也很容易访问大量敏感的个人信息：我们购买的21.5%的手机根本没有锁定，另外4.8%使用了前40名最常见的PIN码和图案，还有一部手机上贴着一张警察写的便笺，上面写着密码。我们分析了我们能够访问的61部手机上的内容，发现不仅有关于手机上一位拥有者的敏感信息，还有关于他们个人联系人的信息，有时还包括那些人犯罪受害者的信息。此外，我们分析了约两年的PropertyRoom手机拍卖，发现在拍卖物品的照片中多次出现了身份信息，包括带有PIN码、所有者姓名和电话号码的便笺，以及揭示手机获取方式和获取手机的警官姓名的证据贴纸。我们的工作表明，警方程序和手机拍卖可能是个人信息泄露和再次受害的重要来源。我们希望我们的工作能够呼吁制定新的政策，要么禁止出售包含用户信息的计算设备，要么至少要求以美国联邦政府已经采用的方式擦除手机。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Nrc0IhUQ9O/pdf

23、Blue's Clues: Practical Discovery of Non-Discoverable Bluetooth Devices

蓝牙技术是个人区域网络的首选协议，蓝牙经典标准已经连续使用了20多年。蓝牙设备会使自己可发现以进行通信，但最佳保护隐私的做法是确保设备保持在不可发现模式。本文展示了通过使设备不可发现来保护设备的无效性。我们引入了蓝色线索攻击，这是一种直接、非破坏性的方法，可以从不可发现模式下的目标设备中完全提取永久、唯一的蓝牙MAC标识符。我们还证明了我们可以完全描述设备功能并检索标识符，其中一些标识符经常包含有关设备所有者的识别信息。我们使用软件定义无线电并在空中对自己的设备以及经过机构批准的公共建筑进行攻击来演示蓝色线索。我们发现，广泛的蓝牙设备可以在平均不到10秒的时间内被唯一识别，受影响的设备范围从智能手机和耳机到加油站卡钞器和保姆摄像头，涵盖了所有版本的蓝牙经典标准。虽然我们提供了可能的攻击缓解方法，但蓝色线索迫使重新评估20多年来保护设备免受发现的最佳实践。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Yja1AYM/pdf

24、Breaking Security-Critical Voice Authentication

语音认证（VA）最近已成为许多安全关键操作的不可或缺的组成部分，例如银行交易和呼叫中心对话。自动说话者验证系统（ASVs）对欺骗攻击的脆弱性促进了对抗措施（CMs）的开发，其任务是区分真实和欺骗性言语。ASVs和CMs一起形成了今天的VA系统，并被宣传为不可攻破的访问控制机制。我们开发了第一种实际攻击欺骗对策的方法，并展示了恶意行为者如何有效地针对这些防御措施制作音频样本。以前针对VA的对抗性攻击主要是针对白盒场景设计的，这种场景假设了对系统内部的了解，或需要大量的查询和时间预算来发起针对特定目标的攻击。在攻击安全关键系统时，这些假设不成立。另一方面，我们的攻击针对所有欺骗对策共享的常见失败点，使得它实时，模型不可知，并且完全是黑盒，无需与目标交互来制作攻击样本。我们工作的关键信息是，CMs错误地学习区分基于易于识别和伪造的线索的欺骗和真实音频。我们的攻击效果足够微妙，可以保证这些对抗样本仍然可以绕过ASV并保留其原始文本内容。这些属性组合起来形成了一个强大的攻击，可以绕过安全关键的VA，在其最严格的形式下产生高达99％的成功率，仅需要6次尝试。最后，我们对CMs进行了第一个针对电话网络的有针对性攻击，绕过了几个已知的挑战，为各种潜在威胁提供了可能，考虑到语音生物识别在呼叫中心中的增加使用。我们的结果质疑了现代VA系统的安全性，并敦促用户重新考虑对它们的信任，考虑到攻击者绕过这些措施以获得他们最有价值的资源的真实威胁。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbYmtLXB6/pdf

25、CSI:Rowhammer - Cryptographic Security and Integrity against Rowhammer

本文介绍了CSI:Rowhammer，一种硬件和软件相结合的Rowhammer缓解方案，具有加密安全性和完整性保证，不专注于Rowhammer的任何特定属性。我们设计了一种基于低延迟加密MAC和异常机制的新型内存错误检测机制，该机制启动软件级纠错例程。异常处理程序使用了一种新的指令集扩展来进行错误纠正，并在之后恢复执行。与常规的ECC-DRAM不同，如果翻转超过2位，它仍然是可利用的，而CSI:Rowhammer则保持了加密MAC的安全级别。我们在gem5概念验证实现中评估了CSI:Rowhammer。在正常情况下，与现成的ECC-DRAM相比，我们看到延迟开销低于0.75％，且没有内存开销。尽管纠正单个位翻转的平均延迟低于20纳秒（与最先进的ECC存储器相比，范围从几纳秒到几毫秒不等），但CSI:Rowhammer可以以极高的概率检测任意数量的位翻转，并在实际时间限制内纠正至少8个位翻转。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7XXJASeQ/pdf

26、Callee: Recovering Call Graphs for Binaries with Transfer and Contrastive Learning

恢复二进制程序的调用图对于基于它们的跨过程分析任务和应用程序至关重要。其中一个核心挑战是识别间接调用的目标（即间接被调用者）。现有的解决方案都存在高误报和漏报的问题，导致调用图不准确。在本文中，我们提出了一个结合迁移学习和对比学习的新解决方案 CALLEE。关键洞察是，深度神经网络（DNN）可以自动识别关于间接调用的模式，这可能比设计逼近算法或启发式规则来处理各种情况更有效。受问答应用程序的进展启发，我们利用对比学习来回答调用点-被调用者问题。然而，其中一个最大的挑战是，DNN需要大量数据集才能实现高性能，而收集大规模的间接调用基础事实可能是计算昂贵的。由于直接调用和间接调用共享类似的调用约定，因此可以将从直接调用中学到的知识转移到间接调用中。因此，我们利用迁移学习用易于收集的直接调用来预训练DNN，并进一步微调间接调用的DNN。我们在几组目标上评估 CALLEE，结果显示我们的解决方案可以以94.6%的F1度量匹配调用点和被调用者，比现有的最佳解决方案好得多。此外，我们将 CALLEE 应用于二进制代码相似性检测和混合模糊测试，并发现它可以极大地提高它们的性能。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0Evrf2eY/pdf

27、Characterizing Everyday Misuse of Smart Home Devices

对物联网(IoT)安全的探讨通常集中在外部和技术精通的攻击者所构成的威胁上。虽然了解这些最极端的情况很重要，但同样重要的是了解智能设备所有权可能带来的最可能的危害风险。本文探讨了智能设备如何被滥用——未经许可以一种会造成伤害的方式使用——由设备所有者的日常伙伴，如朋友、家人和恋人。在一个初步的表征调查(n = 100)中，我们广泛地捕捉了参与者经历或参与过的未经许可使用和滥用事件的种类。然后，在一个代表性人口普查调查中(n = 483)，我们评估了这些事件在人口中的普遍程度。我们的发现表明，未经许可使用智能设备是普遍的(43%的参与者经历过)，而滥用也很常见(至少有19%的参与者经历过)。然而，高度个体化的因素决定了这些未经许可使用事件是否构成滥用。通过关注日常滥用而不是严重但不太可能的攻击，这项工作揭示了智能设备所有者今天面临的最普遍的安全和隐私威胁。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0E7l2zxm/pdf

28、Clockwork Finance: Automated Analysis of Economic Security in Smart Contracts

我们介绍了Clockwork Finance Framework（CFF），这是一个通用的、形式化验证框架，可用于机械化推理有关合成去中心化金融（DeFi）智能合约的经济安全性质。CFF具有三个关键属性。它是合同完整的，这意味着它可以模拟任何智能合约平台及其所有合同——无论是图灵完全还是其他。它可以通过渐近常数模型开销来实现。它还是攻击耗尽的，这意味着它可以自动机械化地提取模拟合同中所有可能的经济攻击用户加密货币的攻击方式。由于具有组合性，CFF可以支持开发人员对合约的经济安全性分析、用户对DeFi交易风险的分析、费用UX以及机器人或矿工对套利机会的优化等多个目标。因为CFF提供了可组合性，它可以通过对任何期望的潜在交互智能合约模型进行推理来支持这些目标。我们将CFF实例化为一个可执行的以太坊合约模型，其中包含最先进的演绎验证器。在以前的工作基础上，我们引入了可提取价值（EV），这是一个新的形式化概念，用于合成DeFi合约的经济安全性，既是CFF的基础，也具有普遍的兴趣。我们构建了四个流行的、已部署的以太坊DeFi协议的模块化、人类可读、可组合的CFF模型：Uniswap、Uniswap V2、Sushiswap和MakerDAO，这些协议在2022年3月的价值合计达到240亿美元。我们使用这些模型以及其他常见模型，如闪电贷、空投和投票，通过实验表明CFF是实用的，并且可以从真实世界的交易活动中驱动有用的、基于数据的EV洞察。在没有任何显式编程的攻击策略的情况下，CFF在过去的平均每月预期产生了5600万美元的EV。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Yru4ls4/pdf

29、Collaborative Ad Transparency: Promises and Limitations

一些定向广告平台提供透明度机制，但是研究人员和民间社会反复表明这些机制存在重大局限性。在本文中，我们提出一种协作广告透明度方法，以推断广告主用于针对其广告的定向参数，而无需广告平台的合作。我们的想法是要求用户捐赠有关其属性和接收到的广告的数据，并使用这些数据推断广告活动的定向属性。我们提出了基于简化的伯努利广告投放模型的最大似然估计器。我们首先在Facebook上进行受控广告实验来测试我们的推断方法。为了进一步研究协作广告透明度的潜力和局限性，我们提出了一个模拟框架，允许变化关键参数。我们验证了我们的框架提供与实际观察一致的准确性，因此我们模拟的见解可转移到现实世界。然后，我们对针对两个属性组合的广告活动进行了广泛的模拟研究。我们的结果表明，只要至少有十个受监控用户接收广告，我们就可以获得良好的准确性。这通常需要几千个受监控用户，无论人口规模如何。我们的模拟框架基于一种新方法来生成具有类似实际人口的统计属性的合成人口，这可能是一个独立的研究方向。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DUPysb6/pdf

30、Confident Monte Carlo: Rigorous Analysis of Guessing Curves for Probabilistic Password Models

在密码安全中，防御者希望识别并警告使用弱密码的用户。类似地，防御者也可能希望预测在攻击者的猜测预算B从小（在线攻击者）到大（离线攻击者）变化时，有多少密码将被破解。为了实现这些目标，防御者希望快速估计每个用户密码pwd的猜测数量，假设攻击者使用密码破解模型M，即攻击者破解每个用户密码之前会检查多少个密码猜测Z_pwdpwd_Z。由于朴素的暴力枚举在猜测数量非常大时可能过于昂贵，Dell'Amico和Filippone开发了一种高效的蒙特卡罗算法来估计给定密码pwd的猜测数量。虽然Dell'Amico和Filippone证明了他们的估计器是无偏的，但蒙特卡罗估计的准确性并不保证，该方法也不提供估计的猜测数量的置信区间，甚至不表明何时存在更高的不确定性。我们的贡献如下：首先，我们确定理论上的例子，在这些例子中，蒙特卡罗强度估计以高概率产生高度不准确的单个猜测数量估计以及整个猜测曲线。其次，我们引入了自信的蒙特卡罗强度估计作为Dell'Amico和Filippone的扩展。给定一个密码，我们的估计器生成一个上限和下限，保证真实的猜测数量在给定的置信范围内（除了概率delta的情况）。我们的技术也可以用于表征攻击者的猜测曲线。特别地，给定一个概率密码破解模型M，我们可以生成高置信度的上限和下限，以表示攻击者在猜测预算B变化时将破解的密码比例。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbXWpNA5O/pdf

31、Continual Observation under User-level Differential Privacy

Dwork等人在差分隐私的持续观察方面的基础工作中提出了两种隐私模型：事件级别的DP和用户级别的DP。后者提供了更强的隐私保护，因为它允许用户贡献任意数量的项目。在事件级别DP下，他们的机制与所有保持联合的函数的静态设置下的最优效用界相匹配，直到对数多项式因子。不幸的是，与事件级别DP的强结果相比，他们的用户级别DP机制具有较弱的效用保证，并对数据施加许多限制。在本文中，我们采用特定实例的方法，设计了在用户级别DP下多个基本函数的持续观测机制。我们的机制不需要任何先验数据限制，同时提供了随着数据难度的增加而逐渐降低的效用保证。对于计数和求和函数，我们的机制是下邻域最优的，与静态设置相匹配，直到对数多项式因子。对于其他函数，它们不匹配静态情况，但我们证明这是不可避免的，这是差分隐私下持续观察的第一个分离结果。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZwal6hi/pdf

32、Continuous Intrusion: Characterizing the Security of Continuous Integration Services

连续集成（CI）是一种广泛采用的自动化代码集成软件开发实践。典型的CI工作流涉及多个独立的利益相关者，包括代码托管平台（CHP），CI平台（CP）和第三方服务。虽然CI可以显著提高开发效率，但不幸的是，它也暴露了新的攻击面。由于CI任务执行的代码可能来自一个不太可信的用户，配置不当的CI，弱隔离机制可能使攻击者通过触发CI任务向受害者软件注入恶意代码。此外，一个不安全的利益相关者可能会影响整个过程。本文系统地研究了CI工作流程中多个利益相关者和主要CP组件考虑的潜在安全威胁。我们设计和开发了一个分析工具CInspector，用于研究当与三个主流CHP集成时，七个流行的CP中的潜在漏洞。我们发现所有CP都存在因不当资源共享和隔离引起的令牌泄漏风险，并且许多CP使用了权限过高的令牌和不适当的有效期。我们进一步揭示了四个新的攻击向量，允许攻击者通过执行CI任务中的一段代码升级其特权并隐蔽地注入恶意代码。为了了解潜在影响，我们在三个主流CHP上进行了大规模测量，审查了超过169万个存储库。我们的定量分析表明，一些非常受欢迎的存储库和大型组织受到这些攻击的影响。我们已经向CP报告了发现的漏洞，并收到了积极的回应。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbYRw0Ims/pdf

33、Control Flow and Pointer Integrity Enforcement in a Secure Tagged Architecture

控制流攻击利用软件漏洞将控制流转移到意外路径，最终执行攻击代码。本文探讨指令和数据标记作为一种通用手段来防范这种控制流攻击，包括依赖于违反指针完整性的攻击。使用特定类型的窄带数据标记以及嵌入二进制的窄带指令标记有助于实现所需的安全策略，从而实现实际可行的解决方案。将指令标记放置在缓存行中与其对应的指令相邻，消除了指令标记访问需要单独机制的需求。编译器分析阶段获取的信息被增强并用于生成指令和数据标记。演示了一个完整的堆栈实现，包括修改过的LLVM编译器、支持标记的修改过的Linux操作系统和用于执行CFI、数据指针和代码指针完整性的FPGA实现的CPU硬件原型。通过适度的硬件增强，原型系统上基准应用程序的执行时间显示为低单个数字百分比，与没有标记的基线系统相比。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0El5ao12/pdf

34、Could you clean up the Internet with a Pit of Tar? Investigating tarpit feasibility on Internet worms

Botnets通常通过广泛的互联网扫描来传播，识别和感染易受攻击的面向互联网的设备以扩大其网络。关闭这些网络通常对执法部门来说很困难，一些人提出了tarpits作为一种防御方法，因为它不需要夺取基础设施或依赖设备所有者确保其设备配置良好和受保护。这些tarpits是网络服务，旨在使恶意软件感染的设备保持繁忙，减缓或消除恶意行为。本文识别了一种基于无状态扫描恶意软件的网络tarpit漏洞，并开发了一个tarpitting漏洞利用程序。我们将这种技术应用于基于Mirai扫描例程的恶意软件，以确定规模化tarpitting是否有效地遏制了自我传播恶意软件的传播。我们证明了即使在一个单一的tarpit中，我们也能有效地困住成千上万的设备，这显著减缓了botnet在互联网上的传播，并提供了一个模拟恶意软件在各种网络条件下传播的框架，以事先评估tarpits对特定恶意软件的影响。我们展示了只需几千个tarpits就可以遏制自我传播的恶意软件，而不会对受感染的路由器或互联网服务提供商产生可测量的负面影响，并将我们的tarpitting解决方案作为开放平台向社区发布以实现这一目标。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7XRLrWCI/pdf

35、D-ARM: Disassembling ARM Binaries by Lightweight Superset Instruction Interpretation and Graph Modeling

ARM二进制分析在ARM系统安全中有广泛的应用。一个基本的挑战是ARM反汇编。ARM，特别是AArch32，有许多独特的特性，使得反汇编与x86反汇编不同，例如ARM和Thumb指令模式的混合，应用程序内部的隐式模式切换以及更普遍地使用内联数据。现有技术在二进制变得复杂并经过混淆时无法实现高精度。我们提出了一种新颖的ARM二进制反汇编技术，特别设计用于解决32位ARM二进制的遗留代码中的挑战。它采用轻量级超集指令解释方法来推导丰富的语义信息，并采用基于图论的方法来聚合这些信息以产生最终结果。我们对来自SPEC2000和SPEC2006的数千个二进制文件以及在线收集的真实应用程序的各种设置进行了与Ghidra、IDA、P-Disasm、XDA、D-Disasm和Spedi等几种最先进的反汇编器的比较评估，结果显示我们的技术D-ARM明显优于基准。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7YAtQ82Q/pdf

36、D-DAE: Defense-Penetrating Model Extraction Attacks

最近的研究表明，机器学习模型容易受到模型提取攻击的威胁，攻击者可以通过查询受害模型来构建一个几乎达到相同性能的替代模型。为了防止这种攻击，一系列方法已被提出，以在返回结果之前破坏查询结果，大大降低现有模型提取攻击的性能。在本文中，我们首次尝试开发一种防御-渗透模型提取攻击框架，命名为D-DAE，旨在打破基于破坏的防御。D-DAE的关键是设计两个模块，即破坏检测和破坏恢复，它们可以与通用模型提取攻击集成。更具体地说，在从受害模型获取查询结果之后，破坏检测模块推断出捍卫者采用的防御机制。我们设计了一种基于元学习的破坏检测算法，用于学习破坏和未破坏查询结果分布之间的基本差异。即使我们无法访问受害模型的原始训练数据集，该算法也具有很好的泛化性质。在检测到防御机制后，破坏恢复模块试图使用精心设计的生成模型从破坏的查询结果中恢复出干净的查询结果。我们在MNIST、FashionMNIST、CIFAR-10、GTSRB和ImageNette数据集上进行了广泛的评估，结果表明，在面对4种最先进的防御措施和多种防御措施组合时，D-DAE可以将现有模型提取攻击的替代模型准确率提高高达82.24%。我们还验证了D-DAE在穿透微软Azure和Face++托管的真实世界API中未知防御方面的有效性。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7YbsiH4c/pdf

37、DBREACH: Stealing from Databases Using Compression Side-Channels

我们提出了针对同时支持数据库页面压缩和静态加密的数据库存储引擎的新压缩侧信道攻击。在仅具有有限的、间接的访问加密和压缩数据库表的情况下，我们的攻击可以高准确度地提取任意明文。我们展示了对MariaDB和MySQL中的InnoDB存储引擎变体以及MongoDB的WiredTiger存储引擎的准确和高效攻击。我们的攻击克服了数据库设置中的独特障碍，这些障碍使以前用于攻击TLS的技术无效。与Web设置不同，在Web设置中，可以观察到压缩和加密消息的确切长度，我们只利用从磁盘文件大小中获取的近似密文大小信息。我们放大这个嘈杂的信号，并结合针对数据库设置量身定制的新攻击启发式方法来提取秘密明文。我们的攻击可以以>90%的准确度检测随机字符串是否出现在表中，并从加密表中提取10个字符的随机字符串，成功率>95%。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DYPDRRu/pdf

38、DEVFUZZ: Automatic Device Model-Guided Device Driver Fuzzing

设备驱动程序的安全对整个操作系统的可靠性至关重要。然而，验证设备驱动程序是否能够正确处理可能来自硬件设备的恶意输入仍然非常具有挑战性。不幸的是，基于符号执行的解决方案往往无法扩展，而模糊测试解决方案需要真实设备或手动设备模型，导致许多设备驱动程序未经充分测试且不安全。本文介绍了DEVFUZZ，一种新的基于模型引导的设备驱动程序模糊测试框架，无需实际设备。DEVFUZZ使用符号执行来自动生成探针模型，以指导fuzzer正确初始化正在测试的设备驱动程序。DEVFUZZ还利用静态和动态程序分析构建MMIO、PIO和DMA设备模型，以进一步提高模糊测试的效果。DEVFUZZ成功地测试了来自不同操作系统（Linux、FreeBSD和Windows）的各种总线类型（PCI、USB、RadpiIO、I2C）的191个设备驱动程序，并检测到72个缺陷，其中41个已得到修复并合并到主流中。

PDF下载：https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Nrc0AgBCgM/pdf

39、DEVIOUS: Device-Driven Side-Channel Attacks on the IOMMU

现代计算机系统利用输入/输出内存管理单元（IOMMU）来保护内存免受DMA攻击，或在虚拟化中实现强隔离。尽管IOMMU具有很多优势，但它也可能成为新的安全威胁。与MMU类似，IOMMU也有一个称为IOTLB的转换后备缓存，它是一个保留最近转换的地址转换缓存。因此，IOTLB可能成为时序侧信道攻击的目标，揭示受害者的机密信息。本文提出了一种新型的设备驱动侧信道攻击DEVIOUS，利用DMA能力的PCIe设备（例如GPU和RDMA-enabled NIC（RNIC））进行攻击。因此，我们的攻击对受害者机器中的CPU缓存或TLB没有影响。实施DEVIOUS并不容易，因为Intel处理器的IOTLB的微架构内部是隐藏的。我们通过反向工程IOTLB并揭示其隐藏的架构属性来克服这一问题。基于此，我们使用GPU和RNIC构建了两个基于IOTLB的时序攻击原语。然后，我们演示了针对硬件辅助隔离下的共存VM和通过RDMA网络连接的远程机器的实际攻击。我们还讨论了可能的对抗措施来防范所提出的侧信道攻击。

PDF下载：https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZBqLNRu/pdf

40、DVFS Frequently Leaks Secrets: Hertzbleed Attacks Beyond SIKE, Cryptography, and CPU-Only Data

最近的Hertzbleed披露展示了远程时序分析如何揭示先前仅可通过本地功率分析获得的秘密信息。最坏的情况是，这构成了对常数时间编程原则和依赖它们的许多已部署程序的根本性打破。但并非一切希望都破灭。Hertzbleed依赖于一种粗糙的、嘈杂的通道，很难利用。事实上，Hertzbleed论文需要量身定制的密码分析才能攻击特定的密码系统（SIKE）。因此，目前尚不清楚Hertzbleed是否对更广泛的安全生态系统构成威胁。在本文中，我们展示了Hertzbleed的影响范围很广，不仅影响SIKE以外的密码系统，还影响密码学以外的程序，甚至影响发生在CPU核心之外的计算。首先，我们展示了如何结合现有密码分析将其他密码系统实现中的潜在小工具（特别是“常数时间”ECDSA和Classic McEliece）与Hertzbleed攻击进行引导。其次，我们展示了集成GPU上的功耗如何影响CPU上的频率，以及如何利用这一点在Google Chrome上执行第一个跨域像素窃取攻击，利用“常数时间”SVG滤镜。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZDx3Gz6/pdf

41、DeHiREC: Detecting Hidden Voice Recorders via ADC Electromagnetic Radiation

未经授权的秘密语音录制对隐私敏感的场景，如机密会议和私人谈话，带来了显著的威胁。由于微型化和伪装特性，隐藏的录音机很难被周围环境察觉。在本文中，我们提出了DeHiREC，这是第一个可以从其电磁辐射（EMR）中检测离线隐藏语音录音机的概念验证系统。我们首先表征了发射的EMR信号的独特模式，然后定位了EMR源，即嵌入在混合信号系统芯片（MSoCs）中的模拟数字转换器（ADC）模块。由于这些意外的EMR信号可能极其嘈杂和微弱，准确地检测它们可能是具有挑战性的。为了解决这个问题，我们首先设计了一种EMR催化方法来主动刺激EMR信号，然后采用自适应折叠算法来提高感测到的EMR的信噪比（SNR）。一旦感测到的EMR变化与我们的主动刺激相对应，我们就可以确定存在隐藏的语音录音机。我们在13个商用录音机上评估了DeHiREC的性能，包括其他设备的干扰。实验结果表明，DeHiREC能够有效地检测所有13个录音机，并在0.2米的距离下实现了92.17％的总体成功率和86.14％的召回率。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7Yvurmgw/pdf

42、Deep perceptual hashing algorithms with hidden dual purpose: when client-side scanning does facial recognition

终端到终端加密（E2EE）为个人提供了强大的技术保护，防止第三方干扰。然而，全球各国政府和执法机构担心，E2EE也可以让非法内容在不被检测的情况下分享。客户端扫描（CSS）采用感知哈希（PH）在分享之前检测已知的非法内容，被视为防止非法内容扩散同时保护加密的有前途的解决方案。虽然这些提议引发了强烈的隐私担忧，但支持这些解决方案的人士认为，风险有限，因为这项技术的范围有限，即检测已知的非法内容。在本文中，我们展示了现代感知哈希算法实际上是相当灵活的技术，这种灵活性可以被攻击者用于向客户端扫描系统添加一个次要的隐藏功能。更具体地说，我们展示了攻击者提供PH算法可以隐藏一个目标个体的面部识别的次要目的，同时保留其图像复制检测的主要目的。我们首先提出了一种过程，通过联合优化图像复制检测和目标面部识别任务来训练双重用途的深度感知哈希模型。其次，我们对我们的双重用途模型进行了广泛的评估，并展示其能够可靠地识别目标个体的概率为67%，同时不影响其检测非法内容的性能。我们还展示了我们的模型既不是通用的面部检测模型，也不是面部识别模型，允许其次要目的被隐藏。最后，我们展示了通过向数据库添加一个非法外观的图像即可启用第二目的。总之，我们的结果引发了担忧，即基于深度感知哈希的CSS系统可能会将数十亿用户设备变成定位目标个体的工具。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbXDL6b2U/pdf

43、Deepfake Text Detection: Limitations and Opportunities

近年来，语言生成模型的进步使得人们可以创建逼真的合成文本或深度伪造文本。以往的研究已经表明，深度伪造文本的滥用可能会误导内容消费者。因此，深度伪造文本检测，即区分人类生成和机器生成文本的任务变得越来越关键。已经提出了几种深度伪造文本检测的防御方法。然而，我们缺乏对它们在现实世界中适用性的全面理解。在本文中，我们从4个基于Transformer的工具驱动的在线服务中收集深度伪造文本，以评估防御措施在野外内容上的泛化能力。我们开发了几种低成本的对抗攻击，并研究了现有防御措施对自适应攻击者的鲁棒性。我们发现，许多防御措施在我们的评估场景下与其原始声称的性能相比，表现出显著的性能下降。我们的评估表明，利用文本内容中的语义信息是提高深度伪造文本检测方案的鲁棒性和泛化性能的有前途的方法。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7XJaERtC/pdf

44、DepthFake: Spoofing 3D Face Authentication with a 2D Photo

人脸识别已被广泛应用于门禁控制，最新的3D人脸识别系统采用3D活体检测技术来应对照片重放攻击，即攻击者使用2D照片来绕过身份验证。本文分析了利用结构光深度摄像机的3D活体检测系统的安全性，发现了一种针对3D人脸识别系统的新的攻击方式。我们提出了DepthFake攻击，可以仅使用一张2D照片欺骗3D人脸识别。为了实现这一目标，DepthFake首先从目标受害者的2D照片中估算出其面部的3D深度信息。然后，DepthFake投射嵌入面部深度信息的精心制作的散射图案，以赋予2D照片3D认证属性。我们克服了一系列实际挑战，例如从2D照片中的深度估算误差，基于结构光的深度图像伪造，为面部对齐RGB图像和深度图像，并在实验室环境中实现了DepthFake。我们在三个商业化人脸识别系统（即腾讯云、百度云和3DiVi）和一个商业化门禁设备上验证了DepthFake。50个用户的结果表明，DepthFake在现实世界中的深度攻击成功率为79.4％，RGB-D攻击成功率为59.4％。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0EgNcf8A/pdf

45、Design and Evaluation of Inclusive Email Security Indicators for People with Visual Impairments

由于检测和过滤钓鱼邮件的挑战，一些钓鱼邮件仍然有可能到达用户的收件箱。因此，像Gmail这样的电子邮件提供商已经实施了钓鱼警告，以帮助用户更好地识别钓鱼企图。现有研究主要关注视力正常的用户的钓鱼警告，但人们不了解视力受损的人如何与钓鱼邮件和警告交互。在本文中，我们与一组视力受损的用户（N=41）合作，研究现有警告的有效性，并探索更具包容性的设计（以Gmail警告设计为比较基线）。我们采取了多管齐下的方法，包括探索性研究（了解用户面临的挑战）、用户参与设计和原型制作以及主要研究（评估设计选择的影响）。我们的结果显示，视力受损的用户经常错过现有的Gmail警告，因为当前的设计（例如警告位置、所使用的HTML标记）与屏幕阅读器用户的阅读习惯不匹配。警告的不一致性（例如在标准视图和HTML视图之间）也给用户带来了障碍。我们展示了一种具有包容性的设计（结合音频警告、快捷键和警告页面覆盖），可以有效地增加警告的注意力。基于我们的结果，我们提出了一些电子邮件提供商的建议。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DKe9sVG/pdf

46、Detection of Inconsistencies in Privacy Practices of Browser Extensions

所有主要的网络浏览器都支持扩展程序来提供额外的功能并增强用户的浏览体验，但这些扩展程序在用户浏览网页时可以访问和收集用户的数据。虽然网络扩展程序通过多种形式的通知来告知用户其数据实践，但以往的研究忽略了实际数据实践和浏览器扩展程序发布的隐私声明之间的重要差距。为填补这一差距，我们提出了ExtPrivA，它可以自动检测浏览器扩展程序的数据收集与隐私披露之间的不一致性。从隐私政策和仪表盘披露中，ExtPrivA提取隐私声明以清晰解释扩展程序的隐私实践。它模拟用户交互以触发扩展程序的功能，并分析网络请求的发起者，以准确提取从浏览器到外部服务器传输的用户数据。我们的端到端评估表明，ExtPrivA可以以85%的精度检测隐私披露和数据收集行为之间的不一致性。在对Chrome Web Store上的47.2k扩展程序进行的大规模研究中，我们发现820个扩展程序有1,290个流与其隐私声明不一致。更糟糕的是，我们发现360个扩展程序的仪表盘披露和隐私政策中有525对相互矛盾的隐私声明。这些隐私披露和实际数据收集行为之间的不一致性被视为Store政策的严重违规。我们的研究结果突显出浏览器扩展程序隐私披露中的关键问题，这些问题有可能误导最终用户，并且甚至会带来高风险的隐私问题。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1He7XKorLcQ/pdf

47、Discop: Provably Secure Steganography in Practice Based on “Distribution Copies”

隐写术是将秘密信息传输假扮成看似无害的行为。尽管有可证明安全的隐写术已被提出数十年，但由于其严格的要求（如完美的采样器和明确的数据分布）在传统数据环境中很难满足，因此它在这个领域并不常见。深度生成模型的流行逐渐增加，可以为解决这个问题提供良好的机会。近年来，已经提出了几种基于深度生成模型实现可证明安全隐写术的方法。然而，由于不切实际的条件（如离散元素的平衡分组和消息与通道分布的完美匹配），它们在实践中不能实现预期的安全性。在本文中，我们提出了一种名为Discop的新的可证明安全的实践隐写术方法，在生成过程中构建了几个“分布副本”。在每个生成时间步骤中，消息确定从哪个“分布副本”采样。只要接收者与发送者同意一些共享信息，他就可以无误地提取消息。为了进一步提高嵌入率，我们通过创建霍夫曼树递归地构造更多的“分布副本”。我们证明了Discop可以严格维护原始分布，使得攻击者不能比随机猜测更好。此外，我们对多种数字媒体的多个生成任务进行实验，结果表明Discop的安全性和效率优于以前的方法。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1NrbZyUEqk0/pdf

48、Disguising Attacks with Explanation-Aware Backdoors

可解释的机器学习在分析和理解基于学习的系统方面具有巨大潜力。然而，这些方法可以被操纵以提供不可靠的解释，从而产生强大而隐蔽的对手。在本文中，我们展示了如何完全掩盖机器学习模型的对抗操作。与神经后门类似，我们在触发器存在时修改模型的预测，但同时欺骗了后续进行分析的解释方法。这使得对手可以隐藏触发器的存在，或者将解释指向输入的完全不同部分，引入一个红鱼。我们对图像领域中的梯度和传播解释方法的这些解释感知后门的不同表现进行了分析，然后继续对恶意软件分类进行了红鱼攻击。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0DygrC36/pdf

49、EC: Embedded Systems Compartmentalization via Intra-Kernel Isolation

嵌入式系统由低功耗微控制器组成，涵盖从物联网节点到超级计算机的计算系统。不幸的是，由于低功耗限制，这些系统的安全性常常被忽视，留下了巨大的攻击面。例如，攻击者可以访问任何内核数据结构，包括用户任务。现有的工作已经对其应用了隔离技术来减少威胁面，但这些系统要么需要高运行时开销，要么需要对现有固件进行重大修改。本文提出了一种名为嵌入式隔离器（EC）的综合自动化隔离工具链，用于实时操作系统（RTOS）和裸机固件。EC提供了嵌入式隔离器编译器（ECC）来自动将固件分区到不同的隔离区，并使用嵌入式隔离器内核（ECK）强制执行它们之间的内存保护。ECK是一个经过正式验证的微内核，实施了一种用于隔离固件的新型架构。我们的评估显示，EC可以在固件中实现高达96.2％的ROP gadget减少。ECK比最先进的隔离技术快1.2倍。EC为嵌入式系统提供了低成本、实用和有效的隔离解决方案。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Nrc0irhBLy/pdf

50、ELSA: Secure Aggregation for Federated Learning with Malicious Actors

Federated Learning（FL）是一种在训练数据集高度分布的情况下进行机器学习（ML）的越来越流行的方法。客户端在其数据集上进行本地训练，然后将更新聚合到全局模型中。现有的聚合协议要么效率低下，要么不考虑系统中恶意行为者的情况。这是使FL成为隐私敏感的ML应用程序的理想解决方案的主要障碍。我们提出了ELSA，一种安全的FL聚合协议，它打破了这个障碍——它高效并且在设计的核心处考虑了恶意行为者的存在。与Prio和Prio+的先前工作类似，ELSA提供了一种新颖的安全聚合协议，由两个服务器上的分布式信任组成，只要一个服务器是诚实的，就可以保持单个客户端更新的私密性，防御恶意客户端，并且是从头到尾高效的。与之前的工作相比，ELSA的区别主题在于，客户端充当这些相关性的不可信经销商，而不会影响协议的安全性，而不是服务器交互地生成加密相关性。这导致了一个更快的协议，同时实现了比先前工作更强的安全性。我们引入了新技术，即使服务器是恶意的，也可以以很小的额外成本（比半诚实服务器的情况下增加的通信还要少）保留隐私。我们的工作大大提高了具有类似安全保证的先前工作的端到端运行时间——对于我们考虑的模型，单个聚合器RoFL的提高高达305倍，分布式信任Prio的提高高达8倍。

PDF下载：

https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1Js0E8t9uFi/pdf