网络安全顶会——NDSS '24 论文清单、摘要（下）

71、K-LEAK: Towards Automating the Generation of Multi-Step Infoleak Exploits against the Linux Kernel

操作系统内核中信息泄漏（简称infoleak）的严重性不容小觑，已经提出了各种利用技术来实现操作系统内核中的信息泄漏。其中，基于内存错误的infoleak是在实际利用中强大且广泛使用的。然而，现有的寻找基于内存错误的infoleak的方法缺乏对其搜索空间的系统推理，并未充分探索搜索空间。因此，它们无法充分利用内核中大量的内存错误。根据对内存错误的理论建模，这种方法的实际搜索空间很大，因为在利用过程中可能涉及多个步骤，实际上任何内存错误都可以被利用来实现infoleak。为了弥合理论与现实之间的差距，我们提出了一个名为K-LEAK的框架，以便在Linux内核中生成基于内存错误的infoleak利用。K-LEAK将infoleak利用生成视为数据流搜索问题。通过对由内存错误引入的意外数据流进行建模，以及现有内存错误如何生成新的内存错误，K-LEAK可以系统地以多步方式搜索infoleak数据流路径。我们实现了K-LEAK的原型，并使用来自syzbot和CVE的内存错误进行了评估。评估结果展示了K-LEAK在使用各种多步策略生成多样的infoleak利用方面的有效性。

论文链接：https://www.ndss-symposium.org/ndss-paper/k-leak-towards-automating-the-generation-of-multi-step-infoleak-exploits-against-the-linux-kernel/

72、LARMix: Latency-Aware Routing in Mix Networks

匿名通信系统，如混合网络，通过引入延迟来实现匿名性，从而改变数据包的流动并阻碍其追踪。然而，高延迟对可用性有负面影响。在这项工作中，我们提出了LARMix，一种新颖的延迟感知路由方案，用于混合网络，可减少传播延迟对匿名性的影响有限。LARMix还可以在网络中实现负载均衡。我们还展示了如何配置网络以最大化匿名性，同时满足平均端到端延迟约束。最后，我们进行了安全分析，研究了各种对抗策略，并得出结论：只要在计算了LARMix路由策略之后对混合节点进行有选择性的妥协，LARMix并不会显著增加对抗者的优势。

论文链接：https://www.ndss-symposium.org/ndss-paper/larmix-latency-aware-routing-in-mix-networks/

73、LDR: Secure and Efficient Linux Driver Runtime for Embedded TEE Systems

受到Trusted execution environments (TEEs) 的启发，像TrustZone这样的技术被广泛用于保护安全敏感的程序和数据免受各种攻击。我们的目标是紧凑的TEE操作系统，比如OP-TEE，它们实现了最少的TEE内部核心API。这样的TEE操作系统通常具有较差的设备驱动支持，我们希望通过在TEE操作系统中重用现有的Linux驱动程序来缓解这个问题。一种直观的方法是将所有依赖函数移植到TEE操作系统中，以便驱动程序可以直接在TEE中执行。但是这种方法显著地扩大了可信计算基础（TCB），使得TEE操作系统不再紧凑。

在本文中，我们提出了一个TEE驱动程序执行环境---Linux驱动程序运行时（LDR）。Linux驱动程序需要两种类型的函数，库函数和Linux内核子系统函数，这是一个紧凑的TEE操作系统所没有的。LDR在可能的情况下重用现有的TEE操作系统库函数，并将内核子系统函数调用重定向到常规环境中的Linux内核。LDR被实现为一个沙盒环境，通过ARM域访问控制功能限制Linux驱动程序在TEE中的运行，以解决相关的安全问题。沙盒对驱动程序的TEE功能调用进行调解，清理参数和返回值，并强制执行前向控制流完整性。

我们在NXP IMX6Q SABRE-SD评估板上实现并部署了一个LDR原型，将6个现有的Linux驱动程序适配到LDR，并评估它们的性能。实验结果显示，LDR驱动程序可以实现与它们的Linux对应程序相当的性能，且开销可以忽略不计。我们是第一个重用TEE操作系统和常规Linux内核中的函数来运行TEE设备驱动程序并解决相关安全问题的研究。

论文链接：https://www.ndss-symposium.org/ndss-paper/ldr-secure-and-efficient-linux-driver-runtime-for-embedded-tee-systems/

74、LMSanitator: Defending Prompt-Tuning Against Task-Agnostic Backdoors

由于其强大的下游任务性能和高效的多任务服务能力，*Prompt-tuning*已成为部署大规模语言模型的一种吸引人的范式。尽管被广泛采用，我们凭经验证实 prompt-tuning 容易受到下游任务无关后门的攻击，这些后门存在于预训练模型中，可能影响任意下游任务。目前最先进的后门检测方法无法防御任务无关的后门，因为它们几乎无法逆转后门触发器。为了解决这个问题，我们提出了 LMSanitator，这是一种新颖的方法，用于检测和消除 Transformer 模型上的任务无关后门。与直接反转触发器不同，LMSanitator的目标是反转任务无关后门的*预定义攻击向量*（当输入嵌入触发器时，预训练模型的输出），这可以实现更好的收敛性能和后门检测准确性。LMSanitator进一步利用了 prompt-tuning 冻结预训练模型的特性，在推断阶段执行准确且快速的输出监控和输入清理。对多个语言模型和自然语言处理任务的广泛实验证明了 LMSanitator 的有效性。例如，LMSanitator在960个模型上达到了92.8％的后门检测准确性，在大多数情况下，将攻击成功率降低到不到1％。

论文链接：https://www.ndss-symposium.org/ndss-paper/lmsanitator-defending-prompt-tuning-against-task-agnostic-backdoors/

75、Large Language Model guided Protocol Fuzzing

如何在没有机器可读的协议规范的情况下找到协议实现中的安全漏洞？面对互联网，协议实现是特别重要的安全软件系统，输入必须符合通常以自然语言（RFC）形式非正式指定的特定结构和顺序。没有该协议的某种机器可读版本，很难自动生成遵循所需结构和顺序的实现的有效测试输入。可以通过在一组记录的消息序列上进行变异模糊处理以在种子输入中产生测试输入，从而在一定程度上缓解这一挑战。但是，可用种子的集合通常相当有限，几乎无法覆盖协议状态和输入结构的极大多样性。在本文中，我们探索了与预先训练的大型语言模型（LLM）进行系统交互的机会，该模型已吸收了数百万页人类可读的协议规范，以提取关于协议的机器可读信息，该信息可以在协议模糊处理期间使用。我们利用LLM关于著名协议的协议消息类型的知识。我们还检查了LLM在检测具有状态的协议实现中的“状态”的能力，方法是生成消息序列并预测响应代码。基于这些观察结果，我们开发了一款以LLM为指导的协议实现模糊引擎。我们的协议模糊器ChatAFL为协议中的每种消息类型构建语法，然后通过与LLM的交互来变异消息或预测消息序列中的下一条消息。来自ProFuzzbench的一系列真实世界协议的实验证明了在状态和代码覆盖率方面取得了显著的成效。我们的LLM引导的具有状态的fuzzer与最先进的模糊器AFLNet和NSFuzz进行了比较。ChatAFL分别涵盖了47.6%和42.7%更多的状态转换，29.6%和25.8%更多的状态，以及分别更多5.8%和6.7%的代码。除了增强的覆盖范围外，ChatAFL还在广泛使用和经过深入测试的协议实现中发现了九个独特且以前未知的漏洞，而AFLNet和NSFuzz只分别发现了三个和四个。

论文链接：https://www.ndss-symposium.org/ndss-paper/large-language-model-guided-protocol-fuzzing/

76、Leaking the Privacy of Groups and More: Understanding Privacy Risks of Cross-App Content Sharing in Mobile Ecosystem

跨应用内容分享是移动应用中广泛使用的突出特性之一。例如，一个应用中的短视频可以分享到另一个应用（例如，一个消息应用），并被其他用户查看。在许多情况下，这种跨应用内容分享活动可能会对分享者和接受者造成隐私影响，例如暴露应用用户的个人兴趣。在本文中，我们提供了对移动生态系统中跨应用内容分享（我们称之为Cracs）活动的隐私影响进行首次深入研究。我们的研究表明，在分享过程中，对手不仅可以像传统网络追踪器那样跟踪和推断用户兴趣，还可以对应用用户造成其他严重的隐私影响。具体而言，由于Cracs的多个侵犯隐私的设计和实现，攻击者可以轻松地向外部方泄露用户的社交关系，或不必要地暴露用户身份及与其相关的个人数据（例如，在另一个应用中的用户账户）。这些隐私影响确实是应用用户的担忧，正如我们与300名参与者进行的用户研究所证实的那样。为了进一步评估我们确定的隐私影响对整体的影响，我们设计了一个名为Shark的自动流水线，结合静态分析和动态分析，以有效地确定一个给定应用是否在Cracs中引入不必要的数据暴露。我们分析了从美国和中国的应用商店收集的300个下载量最高的应用。分析结果显示，中国超过55%的应用和美国的10%的应用确实存在问题。

论文链接：https://www.ndss-symposium.org/ndss-paper/leaking-the-privacy-of-groups-and-more-understanding-privacy-risks-of-cross-app-content-sharing-in-mobile-ecosystem/

77、LiDAR Spoofing Meets the New-Gen: Capability Improvements, Broken Assumptions, and New Attack Strategies

激光雷达（Light Detection And Ranging）是精确长距离和宽范围3D感知的不可或缺的传感器，直接受益于近期自动驾驶（AD）的快速部署。与此同时，这种关乎安全性的应用也极大地促进了其安全性研究。最近的一系列研究发现，可以通过向激光雷达发射恶意激光来操纵激光雷达点云并欺骗目标检测器。然而，这些努力面临三个关键研究障碍：（1）仅考虑特定的一个激光雷达（VLP-16）；（2）假设未经验证的攻击能力；（3）评估目标检测器时具有有限的欺骗能力建模和设置多样性。

为填补这些关键的研究空白，我们进行了首次关于激光雷达欺骗攻击能力对目标检测器的大规模测量研究，涵盖了9种流行的激光雷达，包括第一代和新一代的激光雷达，以及在5种不同数据集上训练的3种主要类型的目标检测器。为了便于测量，我们（1）确定了显著改进了最新欺骗能力的欺骗器改进，（2）确定了一种能够克服最新方法适用性局限性的新一代激光雷达的新型目标移除攻击，（3）根据我们的测量结果对目标注入和移除攻击进行了新颖的数学建模。通过这项研究，我们能够发现了总共15个新颖发现，其中不仅包括源于测量角度的创新的全新发现，还有许多可以直接挑战该问题领域最新理解的发现。我们还讨论了防御措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/lidar-spoofing-meets-the-new-gen-capability-improvements-broken-assumptions-and-new-attack-strategies/

78、Like, Comment, Get Scammed: Characterizing Comment Scams on Media Platforms

鉴于大型媒体平台（如YouTube）在网络上的迅速崛起，攻击者试图滥用它们以便轻松地触达数亿用户并不令人意外。在这些平台上实施的社交工程攻击中，尽管据称内容创作者可以控制其频道评论，但评论诈骗的流行度正在增加。在评论诈骗中，攻击者设置由脚本控制的帐户，自动在媒体平台上发布或回复评论，诱使用户与他们联系。通过承诺免费奖品和投资机会，攻击者旨在从与他们联系的最终用户那里窃取金融资产。在这篇论文中，我们提出了对评论诈骗进行的首次系统性、大规模研究。我们设计并实施了一个基础设施，以在6个月内从20个不同的YouTube频道收集800万条评论的数据集。我们基于评论的文本、图形和时间特征开发过滤器，并从1万个独特帐户中识别出20.6万条诈骗评论。利用这个数据集，我们展示了我们对诈骗活动、评论动态以及诈骗者使用的逃避技术的分析。最后，通过经IRB批准的研究，我们与50名诈骗者互动，以获取有关他们的社交工程策略和支付偏好的见解。通过对公共区块链上的交易记录进行数量分析，我们发现仅在我们的用户研究中的诈骗者已窃取了相当于数百万美元的资金。我们的研究表明，现有的诈骗检测机制不足以遏制滥用，这表明需要更好的评论管理工具以及其他措施，使攻击者难以获得数以万计的账户在这些大型平台上。

论文链接：https://www.ndss-symposium.org/ndss-paper/like-comment-get-scammed-characterizing-comment-scams-on-media-platforms/

79、LoRDMA: A New Low-Rate DoS Attack in RDMA Networks

RDMA技术广泛应用于私人数据中心应用以及多租户云中，这使得RDMA安全引起了极大关注。然而，现有的RDMA安全研究主要集中在RDMA系统的安全性上，而忽视了RDMA网络中基于PFC和DCQCN的耦合流量控制机制的安全性。本文通过大量实验和分析，展示了并发的短暂突发事件可以通过PFC和DCQCN之间的交互导致跨多跳流量出现严重性能损失。我们还总结了性能损失与突发峰值速率以及持续时间之间的脆弱性。基于这些脆弱性，我们提出了LoRDMA攻击，这是针对RDMA流量控制机制的低速率DoS攻击。通过监控RTT作为反馈信号，LoRDMA可以自适应地1）协调机器人到不同的目标交换机端口，以有效覆盖更多的受害者流量；2）调度突发参数，以有效地导致显著的性能损失。我们在ns-3模拟和云RDMA集群中进行了LoRDMA攻击的实施和评估。结果显示，与现有攻击相比，LoRDMA攻击实现了更高的受害者流量覆盖率和性能损失，而攻击流量和可检测性明显较低。在LoRDMA攻击下，云RDMA集群中典型的分布式机器学习训练应用程序（NCCL测试）的通信性能可以从18.23%下降至56.12%。

论文链接：https://www.ndss-symposium.org/ndss-paper/lordma-a-new-low-rate-dos-attack-in-rdma-networks/

80、Low-Quality Training Data Only? A Robust Framework for Detecting Encrypted Malicious Network Traffic

机器学习（ML）在准确检测加密网络流量中的恶意流方面表现出潜力；然而，收集包含足够数量的正确标签的加密恶意数据的训练数据集具有挑战性。当ML模型使用低质量的训练数据进行训练时，它们会遭受性能下降的问题。在本文中，我们旨在解决一个现实世界中的低质量训练数据集问题，即检测由不断发展的恶意软件生成的加密恶意流量。我们开发了RAPIER，它充分利用特征空间中正常和恶意流量数据的不同分布，其中正常数据在某一区域内密集分布，而恶意数据散布在整个特征空间中，以增强模型训练的训练数据。RAPIER包括两个预处理模块，将流量转换为特征向量并校正标签噪声。我们在两个公共数据集和一个组合数据集上评估我们的系统。从每个数据集中获得1000个样本和45％的噪声，我们的系统分别实现了0.770、0.776和0.855的F1分数，相对于现有方法分别实现了352.6％、284.3％和214.9％的平均改进。此外，我们还使用从安全企业获得的真实数据集评估RAPIER。RAPIER有效地实现了加密恶意流量的检测，具有最佳的0.773的F1分数，并平均将现有方法的F1分数提高了272.5％。

论文链接：https://www.ndss-symposium.org/ndss-paper/low-quality-training-data-only-a-robust-framework-for-detecting-encrypted-malicious-network-traffic/

81、MASTERKEY: Automated Jailbreaking of Large Language Model Chatbots

大型语言模型（LLMs）如聊天机器人在各个领域取得了重大进展，但仍然容易受到越狱攻击的影响，目的是引诱它们产生不当回应。尽管已经努力识别这些弱点，但目前的策略对主流LLM聊天机器人仍然无效，主要是因为服务提供商未公开其防御措施。我们的论文介绍了MASTERKEY，一个探讨越狱攻击和对策动态的框架。我们提出了一种基于时序特征的新方法，用于解析LLM聊天机器人的防御措施。这种受时间基方法启发的技术揭示了这些防御措施的运作方式，并展示了对几个LLM聊天机器人的概念验证攻击。此外，MASTERKEY具有一种创新的方法，可以自动生成针对防御严密的LLM聊天机器人的越狱提示。通过使用越狱提示微调LLM，我们创建了成功率为21.58%的攻击，明显高于现有方法所取得的7.33%。我们已经将这些发现告知了服务提供商，强调了加强防御力量的紧迫需要。这项工作不仅揭示了LLMs的薄弱点，还强调了对这类攻击采取强健的防御措施的重要性。

论文链接：https://www.ndss-symposium.org/ndss-paper/masterkey-automated-jailbreaking-of-large-language-model-chatbots/

82、MOCK: Optimizing Kernel Fuzzing Mutation with Context-aware Dependency

内核是现代操作系统的核心，但其开发存在脆弱性。覆盖引导模糊测试已被证明是一种有前途的软件测试技术。当将模糊测试应用于内核时，其显著的方面是输入是系统调用（syscalls）序列。由于内核复杂且具有状态，需要特定的syscalls序列来建立必要的状态以触发内核深处的代码。然而，现有模糊器生成的syscall序列在维持足够覆盖内核深处代码的状态方面表现不佳，而这正是脆弱性所倾向存在的地方。

本文提出了一个名为MOCK的实用且有效的内核模糊测试框架，能够学习syscall序列中的上下文依赖关系，然后生成具有上下文感知性的syscall序列。为了符合在模糊内核时的状态性，MOCK会根据调用上下文自适应地改变syscall序列。MOCK将上下文感知依赖与（1）定制的语言模型引导的依赖学习算法，（2）具有上下文感知性的syscall序列突变算法，以及（3）自适应任务调度策略相结合，以平衡探索和开发。

我们的评估结果显示，MOCK在实现分支覆盖率（最高达32%覆盖增长），生成高质量输入（50%更多相互关联的序列），以及发现缺陷（15%更多的唯一崩溃）方面表现出色，优于现有的内核模糊测试工具。各种设置，包括初始种子和预训练模型，进一步提升了MOCK的性能。此外，MOCK还在最新的Linux内核中发现了15个独特的漏洞，包括两个CVE。

论文链接：https://www.ndss-symposium.org/ndss-paper/mock-optimizing-kernel-fuzzing-mutation-with-context-aware-dependency/

83、MPCDiff: Testing and Repairing MPC-Hardened Deep Learning Models

安全多方计算（MPC）最近作为一个概念变得突出，它使多个参与方能够进行隐私保护的机器学习，而不会向其他参与方泄露敏感数据或预训练模型的细节。行业和社区一直在积极开发和推广高质量的MPC框架（例如基于TensorFlow和PyTorch），以便使用MPC强化模型，大大简化将深度学习模型与MPC原语集成开发周期。

尽管MPC框架的繁荣发展和采用，对这些MPC框架的正确性的原则性和系统性理解尚不存在。为了填补这一关键差距，本文介绍了MPCDiff，这是一个差异测试框架，可以有效地揭示导致MPC强化模型及其明文版本产生异常输出的输入。我们进一步开发了技术，可以定位导致错误的计算单元并自动修复这些缺陷。

我们使用由Meta（Facebook）、阿里巴巴集团、Cape Privacy和OpenMined开发的深度学习流行MPC框架对MPCDiff进行评估。MPCDiff成功检测到导致大量异常输出的一千多个输入。这些引发偏差的输入与常规输入相比是（视觉上）有意义的，表明我们的发现可能会在日常使用MPC框架时造成巨大困惑。在定位和修复引起错误的计算单元之后，MPC强化模型的稳健性可以显著提高，而不牺牲准确性并带来可忽略的开销。

论文链接：https://www.ndss-symposium.org/ndss-paper/mpcdiff-testing-and-repairing-mpc-hardened-deep-learning-models/

84、MadRadar: A Black-Box Physical Layer Attack Framework on mmWave Automotive FMCW Radars

调频调制连续波（FMCW）毫米波（mmWave）雷达在许多当今车辆上配备的先进驾驶员辅助系统（ADAS）中发挥着关键作用。虽然以前的研究已经表明成功对这些传感器进行虚假阳性欺骗攻击，但除了一个之外，所有攻击者都假设攻击者具有受害雷达配置的运行时知识。在这项工作中，我们介绍了MadRadar，一个用于汽车毫米波FMCW雷达的通用黑匣雷达攻击框架，能够实时估计受害雷达的配置，并根据估算执行攻击。我们评估了这种攻击对受害雷达点云进行恶意操作的影响，并展示了能够有效地“添加”（即虚假阳性攻击）、“删除”（即虚假阴性攻击）或“移动”（即平移攻击）受害车辆场景中的物体探测的新能力。最后，我们在软件定义无线电平台上使用实时物理原型进行的真实案例研究中实验性地展示了我们攻击的可行性。

论文链接：https://www.ndss-symposium.org/ndss-paper/madradar-a-black-box-physical-layer-attack-framework-on-mmwave-automotive-fmcw-radars/

85、Maginot Line: Assessing a New Cross-app Threat to PII-as-Factor Authentication in Chinese Mobile Apps

认证是确保用户安全的一种已建立的做法。在中国的移动应用程序中，个人身份信息（PII）（如国民身份证号码和银行卡号）被广泛使用作为验证用户的额外密码，即PII作为因素认证（PaFA）。在本文中，我们发现了一个对PaFA谨慎的新威胁：应用程序的同时使用和业务相关互动使目标应用程序的认证强度比设计时更弱。一个敌手，只知道少数认证因素（仅短信验证码）而不是PaFA系统所需的数量，可以通过收集信息或滥用其他应用程序的跨应用程序授权来破坏认证。为了系统地研究潜在风险，我们提出了一个半自动系统MAGGIE，来评估目标应用程序中PaFA的安全性。通过在中国应用市场上评估234个真实应用程序，并借助MAGGIE的帮助，我们发现75.4％的部署了PaFA的应用程序可以被绕过，包括一些受欢迎和敏感的应用程序（如支付宝、微信、银联），导致严重后果，如劫持用户账户和进行未经授权的购买。此外，我们进行了一项调查，以展示新风险对用户的实际影响。最后，我们向供应商报告了我们的发现，并提供了几项缓解措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/maginot-line-assessing-a-new-cross-app-threat-to-pii-as-factor-authentication-in-chinese-mobile-apps/

86、MirageFlow: A New Bandwidth Inflation Attack on Tor

Tor网络是最显著的为网络用户提供匿名通信的系统，每天拥有200万用户。然而，自创建以来，它一直受到各种流量指纹和相关攻击的攻击，目的是追踪用户身份。这些攻击的关键要求是尽可能吸引更多用户流量到对抗性中继，通常通过带宽膨胀攻击实现。本文提出了Tor中一种新的膨胀攻击向量，称为MirageFlow，可以扩大测量带宽。这种攻击技术利用Tor中继节点之间的资源共享，并利用一组攻击者控制的中继节点集群，在集群内协调资源分配，欺骗带宽测量者认为集群中的每个中继节点都具有丰富的资源。我们提出了两种攻击变体，C-MirageFlow和D-MirageFlow，并在私人Tor测试网络中测试了两个版本。我们的评估表明，攻击者可以使用C-MirageFlow将测量带宽增加n倍，使用D-MirageFlow几乎可以增加n*N的一半，其中n是一个服务器上托管的集群规模，N是服务器的数量。此外，我们的理论分析显示，仅使用10台专用服务器，每个带有100MB/s带宽的109个继电器的集群运行MirageFlow攻击，攻击者可以控制Tor网络一半的流量。更进一步的问题是，Tor不仅允许资源共享，而且根据最近的报道，甚至在促进资源共享。

论文链接：https://www.ndss-symposium.org/ndss-paper/mirageflow-a-new-bandwidth-inflation-attack-on-tor/

87、Modeling and Detecting Internet Censorship Events

公开可访问的审查数据集，如OONI和Censored Planet，为了解全球审查事件提供了宝贵的资源。然而，由于数据量庞大，审查的动态性以及同一国家网络中可能存在异构化的阻止政策，这些数据集中的审查事件检测具有挑战性。本文介绍了CenDTect，这是一个基于决策树的无监督学习系统，可以克服手动分析的可伸缩性问题和先前时间序列方法的解释性问题。CenDTect采用迭代并行DBSCAN来识别具有相似阻止模式的域名，使用调整后的交叉分类准确度作为距离度量。该系统分析了自2019年1月至2022年12月间Censored Planet超过700亿个数据点，发现了192个国家/地区中的15,360个HTTP(S)事件簇和77个国家中的1,166个DNS事件簇。通过将CenDTect的发现与新闻媒体和报告中的一个经过筛选的38个潜在审查事件进行评估，我们展示了所有经过手动检查确认的事件都可以很容易地通过CenDTect的输出进行表征。我们报告了32个国家中有超过100个自治系统(ASes)进行持续的ISP阻止。此外，我们在2022年发现的簇中识别出了11个临时阻止事件，这些事件发生在选举、政治动荡、抗议和战争时期。我们的方法提供了信息丰富且可解释的输出，使审查数据对于研究人员、记者和非政府组织等数据使用者更易访问。

论文链接：https://www.ndss-symposium.org/ndss-paper/modeling-and-detecting-internet-censorship-events/

88、NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation

先进持续威胁（APT）攻击困扰着现代企业，导致了重大的财务损失。为了应对这些攻击，研究人员提出了通过使用溯源图来模拟系统实体及其依赖关系来捕捉APT攻击复杂且隐秘的场景的技术。特别是，为了加速攻击检测并减少财务损失，急需在线基于溯源的检测系统，它在时间性和资源有限的约束下检测和调查APT攻击。然而，现有的在线系统通常会牺牲检测粒度以减少计算复杂性，并生成具有超过10万个节点的溯源图，给安全管理员解释检测结果带来挑战。在本文中，我们设计并实现了NodLink，这是第一个在不牺牲检测粒度的前提下保持高检测准确性的在线检测系统。我们的洞察是，在线基于溯源的检测系统中的APT攻击检测过程可以建模为一种斯坦纳树问题（STP），该问题具有高效的在线近似算法，可以恢复具有理论上有界误差的攻击相关的简明溯源图。为了利用STP近似算法框架来进行APT攻击检测，我们提出了一种新颖的内存缓存设计、一种高效的攻击筛选方法，以及一个比传统算法更高效的APT攻击检测的新型STP近似算法，同时保持相同的复杂性。我们在生产环境中评估了NodLink。这个开放世界的实验表明，NodLink在检测和调查准确性方面优于两种最先进的在线溯源分析系统，同时具有相同或更高的吞吐量。

论文链接：https://www.ndss-symposium.org/ndss-paper/nodlink-an-online-system-for-fine-grained-apt-attack-detection-and-investigation/

89、Not your Type! Detecting Storage Collision Vulnerabilities in Ethereum Smart Contracts

在近年来，以太坊区块链已经见证了显著的增长和采用。其成功的关键因素之一是可以运行称为智能合约的不可变程序。智能合约允许对数字资产进行自动操作，在新的去中心化金融（DeFi）生态系统中发挥着核心作用。随着DeFi的增长，智能合约之间的交互变得越来越复杂，实现了先进的金融协议和应用程序。然而，智能合约交互中的漏洞也是导致重大漏洞的常见原因，造成了可观的财务损失。

在本文中，我们研究和检测一种称为存储冲突的跨合约漏洞类型。智能合约使用存储来在区块链上持久存储其数据。通常，每个合约都有自己独立的存储空间。然而，也有可能两个智能合约共享它们的存储空间（使用委托调用）。不幸的是，当这两个合约对于共享存储的类型/语义有不同理解时，就会出现存储冲突漏洞。这可能导致意外行为，如拒绝服务（冻结资金）、特权升级和财务资产被盗。

为了规模化地检测和调查存储冲突漏洞的影响，我们提出了CRUSH，这是一个新颖的分析系统，发现这些缺陷并合成漏洞利用的概念证明。我们利用CRUSH对自以太坊区块链创世以来部署的14237696个智能合约进行了大规模分析。CRUSH识别了14891个潜在脆弱的合约，并自动合成了956个合约的端到端漏洞利用。我们的系统揭示了由存储冲突漏洞导致的超过600万美元的新颖、以前未报告的潜在财务损失。

论文链接：https://www.ndss-symposium.org/ndss-paper/not-your-type-detecting-storage-collision-vulnerabilities-in-ethereum-smart-contracts/

90、ORL-AUDITOR: Dataset Auditing in Offline Deep Reinforcement Learning

数据在人工智能中是一项关键资产，高质量的数据集可以显著提升机器学习模型的性能。在像自动驾驶汽车这样的安全关键领域，离线深度强化学习（离线 DRL）经常被用来在预先收集的数据集上训练模型，而不是通过与真实世界环境的互动来训练这些模型，也就是在线 DRL。为了支持这些模型的发展，许多机构以开源许可证公开提供数据集，但这些数据集存在潜在的被滥用或侵权的风险。向数据集注入水印可以保护数据的知识产权，但无法处理已经发布的数据集，并且难以事后修改。其他现有解决方案，如数据集推断和成员推断，在离线 DRL 场景下并不适用，主要是因为模型行为特性多样，并受到离线设置限制的影响。

在本文中，我们提倡一种新的范式，利用累积奖励可以作为区分在特定数据集上训练的 DRL 模型的唯一识别符。为此，我们提出了 ORL-AUDITOR，这是首个针对离线 RL 场景的轨迹级数据集审计机制。我们对多个离线 DRL 模型和任务进行的实验揭示了 ORL-AUDITOR 的有效性，审计准确率超过 95%，假阳性率低于 2.88%。我们还通过研究各种参数设置，提供了关于 ORL-AUDITOR 实际实现的宝贵见解。此外，我们展示了 ORL-AUDITOR 在 Google 和 DeepMind 的开源数据集上的审计能力，突显了其在审计已发布数据集方面的有效性。ORL-AUDITOR 在https://github.com/link-zju/ORL-Auditor 上开源。

论文链接：https://www.ndss-symposium.org/ndss-paper/orl-auditor-dataset-auditing-in-offline-deep-reinforcement-learning/

91、On Precisely Detecting Censorship Circumvention in Real-World Networks

对现实审查威胁的理解有助于开发更具弹性的绕过审查系统，这对推进人权和基本自由至关重要。我们认为当前用于检测Tor中绕过审查流量的先进方法是不现实的：它们被伪阳性所淹没（>94％），即使考虑到保守高基准率（10-3）。在本文中，我们提出了一种新的检测绕过审查的方法，其中深度学习基于流量的分类器与基于主机的检测策略相结合，侧重于随时间累积多个流量的信息。利用超过6,000,000个真实网络流到超过600,000个目的地的数据，我们展示了随着时间累积信息，我们的检测方法变得更加精确，使我们能够完美回溯并无伪阳性地检测出绕过审查的服务器。我们的评估考虑了涵盖六个数量级的绕过审查流量基准率范围和真实世界的协议分布。我们的研究结果表明，未来的绕过审查系统设计需要更加认真地考虑基于主机的检测策略，并提出了更抵抗这些攻击的设计建议。

论文链接：https://www.ndss-symposium.org/ndss-paper/on-precisely-detecting-censorship-circumvention-in-real-world-networks/

92、Overconfidence is a Dangerous Thing: Mitigating Membership Inference Attacks by Enforcing Less Confident Prediction

机器学习（ML）模型容易受到会员推理攻击（MIAs）的威胁，这些攻击可以确定给定输入是否用于训练目标模型。虽然已经有许多努力来缓解MIAs，但它们通常存在隐私保护有限、准确率大幅下降和/或需要难以获取的额外数据等问题。本文提出了一种防御技术HAMP，可以在不需要额外数据的情况下实现强大的会员隐私和高准确性。为了缓解不同形式的MIAs，我们观察到它们可以统一为它们都通过不同的代理利用ML模型在预测训练样本时的过度自信。这激发了我们的设计，以通过模型强制更少自信的预测，从而迫使模型在训练样本和测试样本上表现类似。HAMP包括一种新颖的训练框架，带有高熵软标签和基于熵的正则化器，以限制模型的预测，同时仍然实现高准确性。为了进一步降低隐私风险，HAMP统一修改所有预测输出，使其变为低信心输出，同时保持准确性，有效地模糊了对成员和非成员的预测之间的差异。我们在五个基准数据集上进行了广泛评估，并表明HAMP提供了一贯高的准确性和强大的会员隐私。我们与七种最先进的防御方法进行比较，结果显示HAMP在隐私-效用权衡方面比这些技术取得了更好的成绩。

论文链接：https://www.ndss-symposium.org/ndss-paper/overconfidence-is-a-dangerous-thing-mitigating-membership-inference-attacks-by-enforcing-less-confident-prediction/

93、Parrot-Trained Adversarial Examples: Pushing the Practicality of Black-Box Audio Attacks against Speaker Recognition Models

音频对抗样本（AEs）对现实世界的说话者识别系统提出了重大安全挑战。大多数黑盒攻击仍然需要来自说话者识别模型的某些信息才能有效（例如，保持探测并需要了解相似度分数）。这项工作旨在通过最小化攻击者对目标说话者识别模型的了解，推动黑盒攻击的实用性。尽管攻击者不太可能成功地完全零了解，但我们假设攻击者只知道目标说话者的一个简短（或几秒钟）的语音样本。在没有任何探测获取有关目标模型的更多知识的情况下，我们提出了一种新的机制，称为鹦鹉训练，用于生成针对目标模型的AEs。受到语音转换技术最近的进展的启发，我们提出利用一个简短的句子知识生成更多听起来像目标说话者的合成语音样本，称为鹦鹉语音。然后，我们使用这些鹦鹉语音样本来训练一个用于攻击者的鹦鹉训练（PT）替代模型。在联合可转移性和感知框架下，我们研究了在PT模型上生成AEs的不同方式（称为PT-AEs），以确保PT-AEs可以具有很高的可转移性，并且具有良好的人类感知质量来生成黑盒目标模型。现实世界的实验表明，产生的PT-AEs在数字线场景中对开源模型实现了45.8%-80.8%的攻击成功率，在空中场景中对包括Apple HomePod（Siri）、Amazon Echo和Google Home在内的智能设备实现了47.9%-58.3%的攻击成功率。

论文链接：https://www.ndss-symposium.org/ndss-paper/parrot-trained-adversarial-examples-pushing-the-practicality-of-black-box-audio-attacks-against-speaker-recognition-models/

94、Pencil: Private and Extensible Collaborative Learning without the Non-Colluding Assumption

随着对数据隐私的不断关注，为协作式神经网络训练带来了重大挑战，其中数据所有权和模型训练/部署责任由不同实体拥有。我们的社区在解决这一挑战方面做出了实质性贡献，提出了各种方法，例如联邦学习（FL）和基于密码构造（如同态加密（HE）和安全多方计算（MPC）的隐私保护机器学习。然而，FL 完全忽略了模型隐私，HE的可扩展性有限（仅限于一个数据提供者）。尽管最先进的MPC框架提供了合理的吞吐量，并同时确保模型/数据隐私，但它们依赖于对计算服务器的关键非合谋假设，而放宽此假设仍然是一个尚未解决的问题。

在本文中，我们提出了 Pencil，这是一种用于协作学习的首个私有训练框架，同时提供数据隐私、模型隐私以及对多个数据提供者的可扩展性，而无需依赖于非合谋假设。我们的基本设计原则是基于高效的两方协议构建n方协作训练协议，并同时确保在模型训练过程中切换至不同数据提供者不会引入额外成本。我们引入了几种新颖的密码协议来实现这一设计原则，并进行了严格的安全和隐私分析。我们对Pencil的综合评估表明：（i）在明文训练和使用Pencil进行私有训练的模型展示出几乎相同的测试准确性；（ii）Pencil的训练开销大大降低：Pencil实现了10∼260×的更高吞吐量和比先前工作少2个数量级的通信量；（iii）Pencil对现有攻击和自适应（白盒）攻击都具有弹性。

论文链接：https://www.ndss-symposium.org/ndss-paper/pencil-private-and-extensible-collaborative-learning-without-the-non-colluding-assumption/

95、Phoenix: Surviving Unpatched Vulnerabilities via Accurate and Efficient Filtering of Syscall Sequences

已知但未修复的漏洞代表了当今企业面临的最令人担忧的威胁之一。零日漏洞的平均修补时间在近年来仍保持在约100天左右。对于无法减轻未修补漏洞的手段可能会迫使企业暂时关闭其服务，这可能导致重大财务损失。现有的过滤容器未使用系统调用的解决方案可以有效减少一般攻击面，但无法防止与容器共享相同系统调用的特定漏洞。另一方面，现有的溯源分析解决方案可以帮助识别漏洞背后的系统调用序列，尽管它们并没有提供筛选这样一个序列的直接解决方案。为了弥合这样一个研究差距，我们提出了Phoenix，这是一个通过经过证明分析识别的系统调用序列准确高效地过滤以防止未修补漏洞利用的解决方案。为了实现这一目标，Phoenix巧妙地结合了Seccomp过滤器的效率和基于Ptrace的深度参数检查的准确性，并通过动态Seccomp设计提供了过滤系统调用序列的新能力。我们的实施和实验表明，Phoenix可以有效地缓解现实世界中规避现有解决方案的漏洞，同时引入可忽略的延迟（低于4％）和较低的开销（例如，比现有解决方案低98％的CPU消耗）。

论文链接：https://www.ndss-symposium.org/ndss-paper/phoenix-surviving-unpatched-vulnerabilities-via-accurate-and-efficient-filtering-of-syscall-sequences/

96、Pisces: Private and Compliable Cryptocurrency Exchange

加密货币交易平台如Coinbase等，使用户可以方便地购买和出售加密货币，就像交易股票/大宗商品一样。然而，由于区块链的特性，当用户提取硬币（即将硬币转移到外部的on-chain账户）时，平台可以学习到所有未来的交易。这与传统股票交易所形成鲜明对比，用户的所有外部活动始终对平台隐藏。由于平台知道用户的高度敏感的私人信息，如护照号码、银行信息等，将所有（on-chain）交易关联起来引发了对这些加密货币交易平台潜在灾难性数据泄漏的严重隐私担忧。在本文中，我们提出了首次恢复用户匿名性的加密货币交易所。令我们惊讶的是，在这种环境中，看似经过深入研究的隐私/匿名问题存在着几个新挑战。由于公共区块链和内部交易活动自然地向平台提供了许多非平凡的泄露信息，内部隐私不仅在通常意义上有用，而且对于恢复用户交易的基本匿名性也变得必要。我们还确保用户不能双重消费，并且用户必须在私人设置中报告累积利润以便纳税目的。我们对系统进行仔细建模和高效构建，实现了恒定的计算和通信开销（仅使用简单的加密工具和严格的安全分析）；我们还实现了我们的系统并评估了其实用性能。

论文链接：https://www.ndss-symposium.org/ndss-paper/pisces-private-and-compliable-cryptocurrency-exchange/

97、Powers of Tau in Asynchrony

qq-强Diffie-Hellman（qq-SDH）参数对于许多加密原语的高效构建至关重要，例如零知识简洁非交互式知识论证、多项式/向量承诺、可验证秘密共享和随机性信标。目前唯一存在的安全生成这些参数的方法是高度顺序的，需要强网络同步假设，并且具有非常高的通信和计算成本。例如，为任何给定的qq生成参数，每个参与方都会产生Ω（nq）的通信成本和需要Ω（n）轮。这里n是安全多方计算协议中的参与方数量。由于qq通常很大，即数量级为十亿，成本是非常严重的。在本文中，我们提出了在异步网络中生成qq-SDH参数的分布式协议。在一个包含n个参与方的网络中，我们的协议容忍最多三分之一的恶意参与方。每个参与方需承担O（q+n2logq）的通信成本，协议在O（logq+logn）的预期轮次内完成。我们对协议进行了严格的安全性分析。我们实现了我们的协议，并与多达128个地理分布的参与方进行了评估。我们的评估表明，与用于生成qq-SDH参数的同步协议相比，我们的协议具有高度可扩展性，运行时间改善了2-6倍，每个参与方的带宽使用改善了4-13倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/powers-of-tau-in-asynchrony/

98、Predictive Context-sensitive Fuzzing

Coverage-guided fuzzers通过逐渐变异测试用例以驱动执行到新的程序位置来暴露错误。代码覆盖率目前是最有效和最受欢迎的探索反馈机制。然而，对于一些错误来说，执行到错误程序位置的方式可能也很重要：对于这些错误，仅跟踪测试用例执行的代码可能会导致模糊器忽略有趣的程序状态。不幸的是，具有固有状态爆炸问题的上下文敏感覆盖跟踪。现有的实现上下文敏感覆盖指导的模糊器在解决这个问题时遇到困难，因为精度不高（由于覆盖冲突）和性能问题（由于上下文跟踪和队列/映射爆炸）。

在这篇论文中，我们展示了一种更有效的上下文敏感模糊测试方法。首先，我们提出函数克隆作为一种向后兼容的插装原语，以实现精确（即无冲突）的上下文敏感覆盖跟踪。然后，为了解决状态爆炸问题，我们主张只有在模糊器探索被选为有前途的上下文时才考虑上下文信息。我们提出了一个预测方案来识别一组这样的上下文池：我们分析调用站点的传入参数值的数据流多样性，如果后者看到传入的抽象对象在其他站点上不使用，那么向模糊器暴露调用方上下文细化的克隆。

我们的研究表明，通过将函数克隆应用于我们预测将受益于上下文敏感性的程序区域，我们可以克服前述问题同时保持甚至提高模糊测试的有效性。在FuzzBench套件上，我们的方法在很大程度上优于最先进的覆盖反馈模糊实现，发现了更多不同的错误，而不会出现爆炸或其他明显的低效率。在这些经过严格测试的主题上，我们还发现了其中5个主题中的8个持久的安全问题，其中6个CVE标识已发布。

论文链接：https://www.ndss-symposium.org/ndss-paper/predictive-context-sensitive-fuzzing/

99、PriSrv: Privacy-Enhanced and Highly Usable Service Discovery in Wireless Communications

服务发现在无线通信中是至关重要的。然而，现有的服务发现协议对于服务提供商和客户提供了很少或者没有隐私保护，它们经常泄露敏感信息（例如服务类型、客户身份和移动模式），从而导致各种基于网络的攻击（例如欺骗、中间人、识别和跟踪）。在本文中，我们提出了一种名为PriSrv的私密服务发现协议，允许服务提供商和客户分别指定对方必须满足的细粒度认证策略，然后才能建立连接。PriSrv包括私密服务广播阶段和具有双边控制的匿名相互认证阶段，其中双方的私密信息被隐藏，只有互相匹配各自认证策略的事实被显示。作为PriSrv的核心组件，我们引入了基于匿名凭证的匹配加密（ACME）的概念，它一步实现了双层匹配，从而同时实现了双边灵活的策略控制、选择性属性披露和多次展示匿名性。作为ACME的构建模块，我们设计了一种快速匿名凭证（FAC）方案，以提供恒定大小的凭证和高效的展示/验证机制，非常适合于无线网络中的隐私增强和高度可用的服务发现。我们提出了一个与流行的无线通信协议（例如Wi-Fi Extensible Authentication Protocol（EAP）、mDNS、BLE和Airdrop）兼容的具体PriSrv协议，以提供隐私增强的保护。我们对协议进行了正式的安全性证明，并在多个硬件平台上评估其性能：台式机、笔记本、手机和树莓派。PriSrv在前三个平台上能够在不到0.973秒内完成私密发现和安全连接，在树莓派4B上则不到2.712秒。我们还将PriSrv实现到IEEE 802.1X中的真实网络中，以展示其实用性。

论文链接：https://www.ndss-symposium.org/ndss-paper/prisrv-privacy-enhanced-and-highly-usable-service-discovery-in-wireless-communications/

100、PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound

指纹认证因其快速和成本效益而被广泛应用于当代身份验证系统中。由于其广泛使用，指纹泄露可能导致敏感信息被盗取，造成巨大的经济和人员损失，甚至可能危及国家安全。作为一种可能巧合匹配整体指纹人口的指纹，MasterPrint对指纹认证的安全性构成了威胁。在本文中，我们提出了一种新的基于分钟特征的自动指纹识别系统（AFIS）的侧信道攻击，名为PrintListener，利用用户在屏幕上滑动指尖的动作来提取指纹图案特征（第一级特征），并合成可能具有第二级特征的更强大的目标PatternMasterPrint。PrintListener的攻击场景广泛而隐秘。它只需要记录用户的指尖摩擦声音，并利用大量社交媒体平台可以实施。在真实世界场景中的广泛实验结果表明，Printlistener可以显著提高MasterPrint的攻击效果。

论文链接：https://www.ndss-symposium.org/ndss-paper/printlistener-uncovering-the-vulnerability-of-fingerprint-authentication-via-the-finger-friction-sound/

101、Private Aggregate Queries to Untrusted Databases

确保互联网服务用户隐私的一个重要部分是保护他们访问的数据，以使数据库主机无法从查询模式中推断出敏感信息（例如政治立场、性取向等），以利用或与第三方共享。通常，数据库用户会提交带有搜索和过滤约束的聚合查询（例如SUM、MEAN等），以从数据库中提取统计上有意义的信息，通过寻求查询敏感值和数据库交互的隐私来实现。私人信息检索（PIR）是一种保护隐私的加密工具，它通过隐藏客户端访问的数据库项来解决这个问题的简化版本。大多数PIR协议要求客户端知道所需数据库项的确切行索引，这不能支持类似设置中基于复杂聚合的统计查询。PIR领域的一些作品包含关键字搜索和类似SQL的查询，但大多需要PIR客户端和PIR服务器之间的多次交互。一些方案支持在单轮中搜索类似SQL的表达式查询，但不能支持聚合查询。这些方案是本文的主要关注点。为了弥合这一差距，我们建立了一个通用的新型信息理论PIR（IT-PIR）框架，允许用户在一个交互轮中获取聚合结果，将复杂查询的所有敏感部分从托管PIR服务器中隐藏起来。换句话说，服务器不会知道哪些记录对聚合有贡献。然后，我们评估了我们的协议在基准测试和实际应用设置中的可行性。例如，在对11百万条推特微博数据库进行复杂的聚合查询时，我们的协议在用户对~3k个用户句柄感兴趣时，需要0.014秒让PIR服务器生成结果。相比之下，对于一个简化的任务，不是聚合而是位置查询，Goldberg的常规IT-PIR（Oakland 2007）需要1.13秒。对于所有可能的用户句柄，300k，与常规IT-PIR相比，需要相同的时间。这个例子表明，通过我们的框架进行复杂的聚合查询不会增加额外的开销，甚至可能更少，与传统查询相比。

论文链接：https://www.ndss-symposium.org/ndss-paper/private-aggregate-queries-to-untrusted-databases/

102、Proof of Backhaul: Trustfree Measurement of Broadband Bandwidth

近年来，分散式无线网络的出现，由许多个人和小企业提供节点，重新唤醒了几十年前开放网络的梦想。这些网络以有机、分布式的方式部署，基于以性能为基础的激励机制驱动。激励要实现规模化的一个关键要求是能够以分散式的“无信任”方式证明网络性能，即拜占庭容错网络遥测系统。在这篇论文中，我们提出了一种名为“PoB”的验证回程（Proof of Backhaul）协议，以分散和无信任的方式测量无线接入点（称为证明者）的（宽带）回程链路的带宽。特别地，我们提出的协议是第一个满足以下两个特性的协议：

（1）无信任。通过多个挑战服务器和证明者勾结的拜占庭攻击，带宽测量是安全的。

（2）开放。成为挑战服务器的门槛较低；没有要求拥有低延迟和高吞吐量路径到被测链路。

从高层次来看，我们的协议聚合了来自多个挑战服务器的挑战流量，并使用密码原语确保一部分挑战者，甚至挑战者和证明者，无法恶意修改结果以谋取私利。一个正式的安全模型使我们能够建立准确带宽测量的保证，作为恶意行为者的最大比例的函数。我们实现了挑战者分布在不同地理位置的协议，并发布了代码。我们的评估显示，我们的PoB协议可以在只持续100毫秒的测量时间内，验证高达1000 Mbps的回程带宽，误差不超过10%。在存在已被破坏的挑战者的情况下，测量精度不受影响。重要的是，基本的验证协议可以通过轻微修改，在存在交叉流量的情况下也可以测量可用带宽。最后，我们的PoB协议输出的安全保证与常用于分散式网络的区块链分类账上的“承诺”自然可组合。

论文链接：https://www.ndss-symposium.org/ndss-paper/proof-of-backhaul-trustfree-measurement-of-broadband-bandwidth/

103、QUACK: Hindering Deserialization Attacks via Static Duck Typing

管理语言为对象序列化提供了便捷的方式，使应用程序能够轻松持久化和传输它们，然而这一特性也使它们易受攻击。通过操纵序列化对象，攻击者可以触发现有代码段的链式执行，利用它们作为工具形成一种利用。保护反序列化调用免受攻击是繁琐且乏味的，导致许多开发人员避免正确部署防御措施。我们提出了QUACK，这是一个框架，通过修复对序列化API的调用来自动保护应用程序。这种“绑定”限制了在反序列化过程中允许使用的类，严格限制了可供利用的代码作为利用的一部分。QUACK使用一种新颖的静态鸭子类型推断技术计算应该允许的类的集合。具体来说，它静态地收集程序代码中在对象反序列化后操作对象的所有语句，并为应在运行时可用的类列表组织一个过滤器。我们已经为PHP实现了QUACK，并对一组已知CVE和从GitHub爬取的热门应用程序进行了评估。QUACK成功修复了应用程序，阻止任何尝试自动生成针对它们的利用的企图，平均阻止了97%可以用作工具的应用程序代码。我们提交了QUACK生成的三个修复实例作为拉取请求，它们的开发人员已经合并了这些修复。

论文链接：https://www.ndss-symposium.org/ndss-paper/quack-hindering-deserialization-attacks-via-static-duck-typing/

104、REPLICAWATCHER: Training-less Anomaly Detection in Containerized Microservices

尽管异常检测在检测之前未见过的威胁方面具有良好的能力，但它也存在一些关键限制，这些限制通常会阻碍其在实际应用环境中的部署。事实上，基于异常的入侵检测系统依赖于全面预先建立的基线，以有效地识别可疑活动。不幸的是，先前的研究表明，这些基线会随着时间推移而变老，并逐渐失去效用，特别是在微服务环境等动态部署中，其中由于操作条件的变化而导致“正常”概念频繁重新定义。这种情况强调了周期性重新训练以保持最佳性能的必要性，这一过程在安全应用的背景下尤其具有挑战性。

我们提出了一种新颖的、无需训练的监控微服务环境的方法。我们的系统REPLICAWATCHER观察相同容器实例（即副本）的行为，并且无需先前训练即可检测异常。我们的关键洞察是，为了容错或可扩展性的原因而采用的副本执行类似的任务，并且展示出类似的行为模式，这使得异常容器可以作为与其对应的副本的显著偏离而脱颖而出，从而成为安全威胁的重要指示器。我们的实验评估结果显示，我们的方法对于正常性的转变具有抗干扰能力，并在无需重新训练的情况下保持其有效性。此外，尽管不依赖训练阶段，REPLICAWATCHER的性能与最先进的基于训练的解决方案相当，并实现了91.08%的平均精确度和98.35%的召回率。

论文链接：https://www.ndss-symposium.org/ndss-paper/replicawatcher-training-less-anomaly-detection-in-containerized-microservices/

105、ReqsMiner: Automated Discovery of CDN Forwarding Request Inconsistencies and DoS Attacks with Grammar-based Fuzzing

内容传送网络（CDNs）是设计用来增强托管网站性能并保护其免受各种攻击的普遍存在的中间框。许多值得关注的研究表明，CDN在将客户端请求转发给原始服务器时进行了修改。发现转发操作中的多个不一致性可能导致安全漏洞，如DoS攻击。然而，现有研究缺乏对CDN转发请求不一致性的系统化研究方法。在这项工作中，我们提出了ReqsMiner，这是一个创新的模糊测试框架，旨在发现以前未经检验的CDN转发请求不一致性。该框架使用源自强化学习的技术生成有效的测试用例，即使只有最少的反馈，也将真实的字段值与基于语法的模糊器结合起来。借助ReqsMiner，我们全面测试了22个主要的CDN供应商，并揭示了大量迄今未研究过的CDN转发请求不一致性。此外，专门分析器的应用使ReqsMiner能够扩展其功能，进化为一个能够检测特定类型攻击的框架。本工作进一步确认了三种新型的HTTP放大DoS攻击类型，并揭示了74个新的潜在DoS漏洞，其放大因子通常可达到2,000，甚至在特定条件下可达到1,920,000。检测到的漏洞已经负责地通报给受影响的CDN供应商，并提出了缓解建议。我们的工作有助于加强CDN的安全性，增强其对恶意攻击的抵抗能力，并防止滥用。

论文链接：https://www.ndss-symposium.org/ndss-paper/reqsminer-automated-discovery-of-cdn-forwarding-request-inconsistencies-and-dos-attacks-with-grammar-based-fuzzing/

106、SENSE: Enhancing Microarchitectural Awareness for TEEs via Subscription-Based Notification

尽管现有防御手段不断取得进展，但在受信执行环境（TEEs）中有效地减轻侧信道攻击（SCAs）仍然具有挑战性。目前基于检测的防御依赖于观察异常的受害者性能特征，但难以检测到泄露秘密的较小部分跨多次执行的攻击。现有基于检测的防御的局限性源于各种因素，包括在TEEs中缺乏可信赖的微体系结构数据源、可用数据质量低下、受害者响应的不灵活性以及平台特定的限制。我们认为，有效检测技术的主要障碍可以归因于在TEEs内缺乏对精确微体系结构信息的直接访问。

我们提出了一种名为SENSE的解决方案，该解决方案可以主动向用户空间的TEEs公开底层微体系结构信息。SENSE使TEEs中的用户空间软件能够订阅细粒度的微体系结构事件，并利用这些事件作为上下文化正在进行的微体系结构状态的手段。我们首先通过将SENSE应用于打败最先进的基于缓存的侧信道攻击来展示SENSE的能力。我们进行了全面的安全分析，以确保SENSE不会泄露比没有SENSE系统更多的信息。我们在基于gem5的模拟器上原型化了SENSE，并我们的评估显示，SENSE是安全的，可以有效地击败缓存SCA，并且在良性情况下几乎不会引起性能开销（1.2%）。

论文链接：https://www.ndss-symposium.org/ndss-paper/sense-enhancing-microarchitectural-awareness-for-tees-via-subscription-based-notification/

107、SLMIA-SR: Speaker-Level Membership Inference Attacks against Speaker Recognition Systems

成员推理攻击允许对手确定特定示例是否包含在模型的训练数据集中。虽然先前的研究已证实了这种攻击在各种应用中的可行性，但没有一个专注于说话人识别（SR），这是一种有前途的基于声音的生物识别技术。在这项工作中，我们提出了SLMIA-SR，这是针对SR定制的第一个成员推理攻击。与传统的示例级攻击相比，我们的攻击特点是说话人级别的成员推理，即确定任何给定说话人的声音，无论与给定推理声音相同还是不同，是否已经参与了模型的训练。这是非常有用和实际的，因为训练和推理声音通常是不同的，并且考虑到SR的开放性质，即通常识别的说话人在训练数据中通常不存在。我们利用SR的两个训练目标——内相似性和间差异性，来表征训练和非训练说话人之间的差异，并通过经过精心建立的特征工程驱动的两组特征来量化它们以进行攻击。为了提高攻击的泛化能力，我们提出了一种新颖的混合比例训练策略来训练攻击模型。为了增强攻击性能，我们引入了语音块拆分来处理有限数量的推理声音，并建议根据推理声音的数量来训练攻击模型。我们的攻击是多才多艺的，可以在白盒和黑盒情况下工作。此外，我们提出了两种减少黑盒查询数量的新技术，同时保持攻击性能。大量实验证明了SLMIA-SR的有效性。

论文链接：https://www.ndss-symposium.org/ndss-paper/slmia-sr-speaker-level-membership-inference-attacks-against-speaker-recognition-systems/

108、SSL-WM: A Black-Box Watermarking Approach for Encoders Pre-trained by Self-Supervised Learning

近年来，自监督学习（SSL）取得了巨大成功，被广泛应用于促进计算机视觉（CV）和自然语言处理（NLP）领域中的各种下游任务。然而，攻击者可能窃取这些SSL模型并将其商业化以获利，因此验证SSL模型的所有权至关重要。大多数现有的所有权保护解决方案（例如基于后门的水印）都是为监督学习模型设计的，不能直接使用，因为它们要求在嵌入水印时必须知道和提供模型的下游任务和目标标签，而在SSL领域中这并不总是可能。为了解决这样的问题，特别是在水印嵌入时下游任务多样且未知的情况下，我们提出了一种新颖的黑盒水印方案，名为SSL-WM，用于验证SSL模型的所有权。SSL-WM将受保护的编码器的带水印输入映射到一个不变的表示空间，这使得任何下游分类器都会产生预期的行为，从而可以检测嵌入的水印。我们在许多任务上评估了SSL-WM，例如CV和NLP，使用了不同的基于对比和生成的SSL模型。实验结果表明，SSL-WM可以有效验证在各种下游任务中窃取的SSL模型的所有权。此外，SSL-WM对模型微调、剪枝和输入预处理攻击具有鲁棒性。最后，SSL-WM还能规避来自评估的水印检测方法的检测，展示了它在保护SSL模型所有权方面的应用前景。

论文链接：https://www.ndss-symposium.org/ndss-paper/ssl-wm-a-black-box-watermarking-approach-for-encoders-pre-trained-by-self-supervised-learning/

109、Scrappy: SeCure Rate Assuring Protocol with PrivacY

由于对手以超出网站预期的速率访问在线服务而引起的滥用行为正在成为一个日益严重的问题。验证码和短信认证被广泛使用来通过实施速率限制来提供解决方案，尽管它们变得越来越不太有效，并且有些被认为侵犯隐私。鉴于此，许多研究提出了更好的速率限制系统，既保护合法用户的隐私，又阻止恶意行为者。然而，它们存在一个或多个缺点：（1）假设对基础硬件的信任和（2）容易受到侧信道攻击的影响。

受上述问题的激发，本文提出了Scrappy：SeCure Rate Assuring Protocol with PrivacY。Scrappy允许客户端生成无法伪造但不可链接的速率保证证明，从而为服务器提供客户端没有不当行为的加密保证。我们使用DAA和硬件安全设备的组合设计了Scrappy。Scrappy在三种类型的设备上实现，其中一种可以立即在现实世界中部署。我们的基准评估显示，Scrappy的端到端延迟很小，仅需0.32秒，在传输必要数据时仅使用679字节的带宽。我们还进行了广泛的安全评估，显示即使硬件安全设备受到损害，Scrappy的速率限制功能也不受影响。

论文链接：https://www.ndss-symposium.org/ndss-paper/scrappy-secure-rate-assuring-protocol-with-privacy/

110、Secret-Shared Shuffle with Malicious Security

一种秘密共享混洗（SSS）协议使用随机的秘密排列对一个秘密共享向量进行排列。它已被广泛应用，然而，它也是一个昂贵的操作，并经常成为性能瓶颈。Chase等人（Asiacrypt'20）最近提出了一种高效的半诚实双方SSS协议，称为CGP协议。它利用了特意设计的伪随机相关性，促进了一个通信高效的在线混洗阶段。即使如此，半诚实安全性在许多现实世界的应用场景中是不足够的，因为混洗通常用于高度敏感的应用程序。考虑到这一点，最近的工作（CANS'21，NDSS'22）试图通过经过身份验证的秘密共享增强CGP协议的恶意安全性。然而，我们发现这些尝试存在缺陷，并且恶意对手仍然可以通过恶意偏差学习私人信息。本文提出了具体攻击案例来证明这一点。然后问题就是如何填补这一差距并设计一个具有恶意安全的CGP混洗协议。我们通过引入一组轻量级相关性检查和泄漏减少机制来回答这个问题。然后我们将我们的技术应用于经过身份验证的秘密共享，以实现恶意安全性。值得注意的是，我们的协议在增加安全性的同时也是高效的。在双方设置中，实验结果显示我们的恶意安全协议相较于半诚实版本引入了可接受的额外开销，并且比MP-SPDZ库中最先进的恶意安全SSS协议更高效。

论文链接：https://www.ndss-symposium.org/ndss-paper/secret-shared-shuffle-with-malicious-security/

111、Secure Multiparty Computation of Threshold Signatures Made More Efficient

门限签名，尤其是ECDSA，对于保护分散式应用程序至关重要。它们的非线性结构在分布式签名中提出了挑战，通常通过成对的乘法到加法份额转换来解决，每个n个签名者需要O(n)的通信和O(n2)的验证成本。此外，大多数方案缺乏鲁棒性，需要在发生故障时完全重新启动。黄氏等人（NDSS '23）的开创性工作仍需要回滚到前一轮，以便在另一轮后说服所有其他签名者后继续签署。

我们重新审视了基于门限线性同态加密（LHE）的安全多方计算。实现了其公共可验证性和容错恢复，我们涵盖了两个技术贡献到Castagnos–Laguillaumie LHE（CT-RSA '15）：一个在不诚实多数的情况下实现的具有2轮鲁邦的分布式密钥生成（DKG）协议，以及一个伴随的零知识证明，允许在一个未知秩序的群中提取。我们将DKG扩展为基于双编码的验证（ACNS '17），将其O(tn2)成本的私有可验证性升级为O(n2)的公共可验证性。

基于我们的DKG，我们提出了第一个具有O(1)通信和O(n)验证的门限ECDSA协议，每个参与方的成本与非鲁邦方案的最低轮复杂度相匹配（CCS '20）。根据最先进的鲁棒门限ECDSA（NDSS '23），我们在实证上将签名阶段的计算和通信成本减半。我们还展示了我们的技术的多功能性，通过改进的BBS+签名（IEEE Syst. J. '13）门限扩展（IEEE S&P '23）。

论文链接：https://www.ndss-symposium.org/ndss-paper/secure-multiparty-computation-of-threshold-signatures-made-more-efficient/

112、Security-Performance Tradeoff in DAG-based Proof-of-Work Blockchain Protocols

基于有向无环图（DAG）的工作量证明（PoW）区块链协议已经证明比基于链式的前身在交易确认性能上表现更优越。然而，尚不清楚它们在高吞吐量环境中是否会像它们的前身一样安全性下降，因为它们接受同时产生的区块和复杂的区块依赖性给严格的安全分析带来了挑战。我们通过用拥塞区块链模型（CBM）分析基于DAG的协议来解决这些挑战，CBM是一个通用模型，允许在区块传播延迟上得出特定案例的上限，而不像大多数先前的分析那样是统一的上限。CBM允许我们捕捉高吞吐量环境中的两个关键现象：（1）同时产生的区块会增加彼此的传播延迟，以及（2）一个区块只有在接收到它所引用的所有区块后才能被处理。我们进一步设计了CBM中的一个合理的敌对区块传播策略，称为晚前任攻击，该策略利用区块之间的依赖关系延迟对诚实区块的处理。然后我们在能够发动晚前任攻击的攻击者存在的情况下评估Prism和OHIE两种旨在打破安全性-性能权衡的基于DAG的协议的安全性和性能。我们的结果表明，在高吞吐量环境中，这些协议与它们的链式前身一样受到了安全性降低和延迟延长的影响。

论文链接：https://www.ndss-symposium.org/ndss-paper/security-performance-tradeoff-in-dag-based-proof-of-work-blockchain-protocols/

113、Separation is Good: A Faster Order-Fairness Byzantine Consensus

订单公平性最近被引入作为拜占庭容错（BFT）共识协议的一项新属性，以防止单方面决定交易最终顺序，从而有助于减轻区块链网络和去中心化金融（DeFi）中敌对交易顺序操纵攻击（例如前置交易）的威胁。然而，现有基于领导者的订单公平性协议（不依赖于同步时钟）仍然表现不佳，因为它们将公平排序与共识过程强烈耦合。在本文中，我们提出SpeedyFair，一个高性能的订单公平性共识协议，其灵感来源于我们的洞察力，即交易的排序不依赖于以前提案中交易的执行结果（经过共识后）。SpeedyFair通过一个分离设计实现了效率，该设计独立且串行地执行公平排序，与共识过程分开。此外，通过将订单公平性与共识分离，SpeedyFair实现了在共识过程中原本串行执行的订单/验证模式的并行化，进一步提高了性能。我们在Hotstuff协议之上实现了SpeedyFair的原型。广泛的实验结果表明，SpeedyFair明显优于最先进的订单公平性协议（即Themis），在减少延迟35％-59％的同时，将吞吐量提高了1.5倍至2.45倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/separation-is-good-a-faster-order-fairness-byzantine-consensus/

114、ShapFuzz: Efficient Fuzzing via Shapley-Guided Byte Selection

基于变异的模糊测试在发现未见代码和暴露漏洞方面非常受欢迎和有效。然而，只有少数研究集中在量化输入字节的重要性上，这指的是一个字节对于发现新代码的贡献程度。它们通常专注于获取输入字节和路径约束之间的关系，忽略了并非所有与约束相关的字节都能发现新代码的事实。在本文中，我们进行了 Shapely 分析，以了解字节位置对模糊测试性能的影响，并发现某些字节位置比其他位置更具贡献性，并且这种属性通常适用于各个种子。基于这一观察，我们提出了一种新颖的模糊测试解决方案，ShapFuzz，用于指导字节选择和变异。具体来说，ShapFuzz在每次进行模糊测试时更新字节的 Shapley 值（重要性），并利用上下文多臂老虎机权衡选择变异高 Shapley 值字节和低频选择的字节。我们基于 AFL++ 实现了这种解决方案的原型，即 ShapFuzz。我们将ShapFuzz与十种最新的模糊测试工具进行评估，包括五种字节调度增强型模糊测试工具和五种常用的模糊测试工具。与字节调度增强型模糊测试工具相比，ShapFuzz在三组不同的初始种子上比最佳基线发现更多边缘和暴露更多漏洞。与常用的模糊测试工具相比，ShapFuzz暴露了比最佳对比模糊测试工具多 20 个漏洞，并比 MAGMA 上的最佳基线发现了 6 个更多的 CVE。此外，ShapFuzz 在程序的最新版本上发现了 11 个新漏洞，其中 3 个得到了供应商的确认。

论文链接：https://www.ndss-symposium.org/ndss-paper/shapfuzz-efficient-fuzzing-via-shapley-guided-byte-selection/

115、Sharing cyber threat intelligence: Does it really help?

跨组织之间的网络威胁情报（CTI）分享正日益受到关注，因为它可以自动化威胁分析并提高安全意识。然而，关于普遍类型的网络安全威胁数据及其在减轻网络攻击方面的有效性存在有限的经验研究。我们提出了一个名为CTI-Lense的框架，用于收集和分析结构化威胁信息表达（STIX）数据的数量、及时性、覆盖范围和质量，这是一种事实上的标准CTI格式，来自一系列公开可用的CTI来源。我们从2014年10月31日至2023年4月10日收集了约600万个STIX数据对象，来自十个数据来源，并分析了它们的特征。我们的分析显示，近年来，STIX数据共享稳步增加，但共享的STIX数据量仍然相对较低，无法覆盖所有网络威胁。此外，只有少量威胁数据对象得到了共享，其中恶意软件签名和URL占收集数据的90%以上。虽然URL通常能够迅速共享，大约72%的URL早于或与VirusTotal在同一天共享，但恶意软件签名的共享速度明显较慢。此外，我们发现19%的威胁行为者数据包含错误信息，仅有0.09%的指标数据提供了用于检测网络攻击的安全规则。根据我们的发现，我们建议组织在实现有效和可扩展的STIX数据共享方面考虑实际情况。

论文链接：https://www.ndss-symposium.org/ndss-paper/sharing-cyber-threat-intelligence-does-it-really-help/

116、SigmaDiff: Semantics-Aware Deep Graph Matching for Pseudocode Diffing

伪代码差异准确定位相似部分，并捕捉两个给定二进制文件的反编译伪代码之间的差异。在许多安全场景中，如代码剽窃检测、谱系分析、修补程序、漏洞分析等方面，这种方法特别有用。然而，现有的伪代码差异分析和二进制差异分析工具存在精度低、可扩展性差的问题，因为它们要么依赖手工设计的启发式算法（例如Diaphora），要么像矩阵分解（例如DeepBinDiff）那样进行繁重计算。为了解决这些局限性，本文提出了一种基于语义意识的、深度神经网络模型，称为SigmaDiff。SigmaDiff首先构建IR（中间表示）级别的程序间依赖图（IPDGs）。然后使用轻量级符号分析提取初始节点特征，并定位神经网络模型的训练节点。接着，SigmaDiff利用最先进的图匹配模型——Deep Graph Matching Consensus（DGMC）来匹配IPDGs中的节点。SigmaDiff还对DGMC的设计引入了一些重要的更新，例如预训练和微调模式。实验结果表明，SigmaDiff在准确性和效率方面明显优于最先进的基于启发式和深度学习的技术。它能够精确地找出一个广泛使用的视频会议应用程序中的八个漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/sigmadiff-semantics-aware-deep-graph-matching-for-pseudocode-diffing/

117、Sneaky Spikes: Uncovering Stealthy Backdoor Attacks in Spiking Neural Networks with Neuromorphic Data

深度神经网络（DNNs）在各种任务中表现出色，包括图像和语音识别。然而，要最大化DNNs的有效性，需要通过训练精心优化众多超参数和网络参数。此外，高性能的DNNs包含许多参数，在训练过程中消耗大量能量。为了克服这些挑战，研究人员已经转向脉冲神经网络（SNNs），这些网络提供了增强的能源效率和生物学合理的数据处理能力，使它们非常适合感知数据任务，特别是在神经形态数据中。尽管SNNs具有优势，像DNNs一样，它们也容易受到各种威胁，包括对抗性示例和后门攻击。然而，SNNs领域仍需要在理解和对抗这些攻击方面进行探索。本文深入研究了使用神经形态数据和多样的触发器进行SNNs中的后门攻击。具体来说，我们研究了神经形态数据中的后门触发器，这些触发器可以操纵它们的位置和颜色，提供了比传统领域如图像更广泛的可能性。我们提出了各种攻击策略，实现了高达100%的攻击成功率，同时对干净的准确率影响微乎其微。

此外，我们评估了这些攻击的隐蔽性，揭示了我们最强大的攻击具有显著的隐蔽能力。最后，我们从图像领域调整了几种最先进的防御方法，评估它们对神经形态数据的有效性，并揭示了它们表现不佳的情况，导致性能受损。

论文链接：https://www.ndss-symposium.org/ndss-paper/sneaky-spikes-uncovering-stealthy-backdoor-attacks-in-spiking-neural-networks-with-neuromorphic-data/

118、Symphony: Path Validation at Scale

路径验证长期被探讨作为确保未来互联网架构安全性的基本解决方案。它使终端主机能够指定其流量的转发路径，并验证流量是否遵循指定的路径。与当前的互联网架构相比，当前的互联网架构使数据包转发对终端主机不受控制、透明化，路径验证使终端主机受益于灵活性、安全性和隐私性。关键设计要求路由器将其凭证嵌入到数据包头部的加密证明中。这种证明需要足够复杂的计算来保证不可伪造性。这给单个数据包的验证效率带来了不可避免的障碍。在本文中，我们提出了集合验证来以组的方式实现路径验证。通过在组中分摊开销，集合验证承诺更高的验证效率，而不牺牲安全性。我们通过Symphony实现了聚合验证，集成了各种设计技术，并形式证明了安全性质。与最先进的EPIC相比，Symphony加速了数据包处理速度3.78倍到18.40倍，并提高了通信吞吐量1.13倍到6.11倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/symphony-path-validation-at-scale/

119、SyzBridge: Bridging the Gap in Exploitability Assessment of Linux Kernel Bugs in the Linux Ecosystem

连续模糊测试已成为Linux内核生态系统的一个重要组成部分，在过去几年中发现了成千上万个漏洞。有趣的是，其中只有极小部分被转化为针对下游发行版（例如Ubuntu和Fedora）的真实世界攻击。这与现有的漏洞可利用性评估工具的结论相矛盾，这些工具将其中数百个漏洞分类为高风险，暗示着很高的利用可能性。

我们的研究旨在理解这一差距并弥合它。通过我们的调查，我们意识到当前的漏洞可利用性评估工具仅在上游Linux上测试漏洞的利用性，这仅供开发使用；事实上，我们发现其中许多在下游无法直接复现。通过对43个发行版（8,032个bug/发行版对）上的230个漏洞进行大规模测量研究，我们发现每个发行版平均仅通过以root用户身份运行上游PoC能够复现19.1％的漏洞，未以root权限运行时为0.9％。值得注意的是，通过适当的PoC调整，这两个数字分别可以分别提高61％和1300％。

为此，我们开发了SyzBridge，一个完全自动化系统，将上游PoC适应于下游内核。我们进一步将SyzBridge与SyzScope集成，SyzScope是一款能够识别高风险利用原语（例如控制流劫持）的最新型漏洞可利用性评估工具。我们的集成管道成功地识别了源自syzbot的53个漏洞，这些漏洞在下游发行版上可能是可利用的，超过了仅有5个从syzbot的5000个上游漏洞中转化为真实世界攻击的漏洞。值得注意的是，为了验证结果，我们成功利用了5个先前公开未知可被利用的漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/syzbridge-bridging-the-gap-in-exploitability-assessment-of-linux-kernel-bugs-in-the-linux-ecosystem/

120、TALISMAN: Tamper Analysis for Reference Monitors

正确的访问控制执行是数据安全的关键基础。参考监视器是执行访问控制的关键组件，应该提供所有安全敏感操作的防篡改调停。由于参考监视器经常部署在处理各种操作请求的复杂软件中，如操作系统和服务器程序，一个问题是参考监视器实现是否可能存在缺陷，阻碍其实现这些要求。过去，自动分析检测到完全调停的缺陷。然而，研究人员尚未开发出可以检测可能破坏参考监视器的缺陷的方法，尽管在这些程序中发现了许多漏洞。在本文中，我们开发了TALISMAN，这是一种自动分析方法，用于检测可能破坏参考监视器实现执行的缺陷。在其核心，TALISMAN实现了一种精确的信息流完整性分析，以检测可能破坏授权查询构造的违规行为。TALISMAN应用了一种新的、放松的非干扰变体，消除了几个虚假的隐式流违规行为。TALISMAN还提供了一种通过认可来审查对未受信任数据的预期使用的方法。我们将TALISMAN应用于Linux安全模块框架中使用的三个参考监视器实现，即SELinux、AppArmor和Tomoyo，并验证了这些LSM生成的授权查询中80%的参数。使用TALISMAN，我们还发现了Tomoyo和AppArmor在授权中使用路径名的漏洞，允许对手绕过授权。TALISMAN表明，对参考监视器实现的篡改分析可以自动验证许多情况，并且还可以检测到关键缺陷。

论文链接：https://www.ndss-symposium.org/ndss-paper/talisman-tamper-analysis-for-reference-monitors/

121、TEE-SHirT: Scalable Leakage-Free Cache Hierarchies for TEEs

从侧信道攻击中保护高速缓存层次结构对于构建安全系统至关重要，特别是那些使用可信执行环境（TEEs）的系统。在本文中，我们考虑了高效且安全的细粒度高速缓存层次分区的问题，并提出了一个名为TEE-SHirT（用于TEEs的安全层次结构）的框架。在三级缓存系统的情况下，TEE-SHirT由分区的共享末级缓存、分区的私有L2缓存和在上下文切换和系统调用时被清空的非分区L1缓存组成。高效且正确的分区需要仔细设计。为实现这一目标，TEE-SHirT做出了三点贡献：1）我们展示了用于保存缓存分区元数据的硬件结构如何有效地虚拟化，以避免在上下文切换和系统调用时刷新缓存分区内容；2）我们展示了如何支持TEE-SHirT中的多线程飞地，解决了涉及核内和核间数据共享的一致性和一致性问题；3）我们为TEE-SHirT开发了一个形式化的安全模型，以严谨地推理我们设计的安全性。

论文链接：https://www.ndss-symposium.org/ndss-paper/tee-shirt-scalable-leakage-free-cache-hierarchies-for-tees/

122、TextGuard: Provable Defense against Backdoor Attacks on Text Classification

后门攻击已经成为在安全关键应用中部署机器学习模型的主要安全威胁。现有的研究努力提出了许多防御后门攻击的方法。尽管展示了一定的经验防御效果，但这些技术都不能提供针对任意攻击的正式和可证明的安全保证。结果，它们很容易被强大的自适应攻击打破，正如我们在评估中所展示的那样。在这项工作中，我们提出了TextGuard，这是针对文本分类中后门攻击的第一个可证明的防御方法。具体来说，TextGuard首先将（附带后门）训练数据分成子训练集，通过将每个训练句子分成子句来实现。这种分区确保大多数子训练集不包含后门触发器。随后，从每个子训练集中训练一个基分类器，并且它们的集成提供最终预测。我们在理论上证明了当后门触发器的长度落在一定阈值内时，TextGuard保证其预测不受训练和测试输入中触发器的存在影响。在我们的评估中，我们展示了TextGuard在三个基准文本分类任务上的有效性，超越了现有的针对后门攻击的认证防御的准确性。此外，我们提出了额外的策略来增强TextGuard的实证性能。与最先进的实证防御方法的比较验证了TextGuard在对抗多个后门攻击方面的优越性。我们的代码和数据可在https://github.com/AI-secure/TextGuard 上找到。

论文链接：https://www.ndss-symposium.org/ndss-paper/textguard-provable-defense-against-backdoor-attacks-on-text-classification/

123、The CURE to Vulnerabilities in RPKI Validation

在近年来，资源公钥基础设施（RPKI）的采用率逐渐增加，目前有37.8％的主要网络过滤虚假的BGP路由。系统通过依赖方（RP）实现与RPKI交互，获取RPKI对象并向BGP路由器提供经过验证的前缀所有权数据。因此，RP软件中的任何漏洞或缺陷都可能严重威胁互联网路由的稳定性和安全性。我们发现所有流行的RP实现中存在严重的缺陷，使其容易受到路径遍历攻击、远程触发崩溃和固有不一致性的影响，违反了RPKI标准。我们报告了共计18个漏洞，可以利用这些漏洞降级边界路由器中的RPKI验证，甚至更糟糕的是，可能导致验证过程中毒，导致恶意前缀被错误验证，合法的RPKI覆盖的前缀失败验证。此外，我们的研究披露了验证过程中的不一致性，其中两种流行的实现方式使8149个前缀无法受到劫持的保护，其中有6405个属于亚马逊。尽管这些发现本身具有重要意义，但我们的主要贡献在于开发了CURE，这是一种首创的系统，可以通过自动生成测试来系统地检测RP实现中的漏洞、漏洞和符合RFC的问题。RPKI的状态性，对象套件中识别漏洞的严格RPKI规范的缺乏，RP实现的复杂性和多样性，以及关键功能的不可访问性使得这是一个非常具有挑战性的研究任务。CURE是一个强大的RPKI发布点仿真器，可以轻松有效地模糊复杂的RP验证管道。它采用了一组新颖的技术，利用差异和状态模糊。我们生成了超过6亿个测试案例，并对所有流行的RP进行了测试。在我们披露后，供应商已经为我们发现的漏洞指定了CVE编号。我们将我们的模糊系统以及CURE工具发布，以便供应商改善RP实现的质量。

论文链接：https://www.ndss-symposium.org/ndss-paper/the-cure-to-vulnerabilities-in-rpki-validation/

124、The Dark Side of E-Commerce: Dropshipping Abuse as a Business Model

电子商务对当今社会的影响是一个全球现象。鉴于对在线商品购买的需求增加，电子商务平台通常将商品销售委托给第三方销售商。其中一些销售商是放单商，他们充当中间商，通过第三方供应商来完成客户的订单。虽然这使客户可以在电子商务网站上访问更多的产品，但我们发现存在滥用标准允许的放单模式的滥用放单商，欺骗客户，损害其他电子商务销售商。在本文中，我们首次提出了对滥用放单商的特征化研究，并揭示了他们用于上架商品和逃避电子商务市场账户暂停的有害策略。我们通过爬取网络来发现滥用放单社区使用的在线论坛、指导材料和软件。我们归纳地编码论坛帖子和指导材料，并阅读软件文档，尽可能安装，以创建这种滥用的端到端生命周期。我们还确定了滥用放单商使用的剥削策略，以确保在平台上的持续存在。然后，我们对六名具有电子商务经验的个人进行了访谈（法律顾问和销售商），并了解了滥用放单如何损害客户和销售商。通过这样，我们提出了五个特征，值得进行未来针对电子商务平台上滥用放单商的自动检测的调查。我们的努力提供了一个全面的视角，展示了滥用放单商是如何运作的，销售商和消费者如何与他们互动，提供了一个框架来激励未来对抗这些有害操作的调查。

论文链接：https://www.ndss-symposium.org/ndss-paper/the-dark-side-of-e-commerce-dropshipping-abuse-as-a-business-model/

125、Timing Channels in Adaptive Neural Networks

当前的机器学习系统提供了强大的预测能力，但同时也需要大量的计算资源。因此，最近广受欢迎的一类优化机器学习模型，被称为自适应神经网络（ADNNs），已经大受关注。这些模型根据给定的输入动态决定要执行的计算量，可以在“简单”输入上进行快速预测。虽然对ADNNs的各种考虑已经得到广泛研究，但这些依赖输入的优化可能导致的漏洞问题迄今为止未被深入探讨。我们的研究是第一个展示和评估由于ADNNs的优化而产生的时序信道，可以泄露关于用户输入的敏感属性。我们经验性地研究了六种ADNNs类型，并展示了攻击者如何能够显著提高他们推断另一用户输入的敏感属性（如类标签）的能力，从观察到的时序测量中。我们的结果显示，时序信息可以使攻击者正确推断用户输入的属性的概率增加多达9.89倍。我们的实证评估使用四个不同的数据集，包括包含敏感医疗和人口统计信息的数据集，并考虑了用户输入的各种敏感属性的泄漏。最后，我们通过演示如何在两个虚构的网络应用程序——虚构健康公司和虚构人力资源——跨公共互联网利用时序信道，这两个应用程序使用ADNNs为其客户提供预测。

论文链接：https://www.ndss-symposium.org/ndss-paper/timing-channels-in-adaptive-neural-networks/

126、Towards Automated Regulation Analysis for Effective Privacy Compliance

随着全球范围内引入和修改隐私法规以有效地规范消费者数据处理，这些法规经常被分析以履行合规要求，并帮助设计改进消费者隐私的实用系统。然而，目前这些工作是手动完成的，使得任务容易出错，同时也给公司带来了显著的时间、精力和成本。本文描述了ARC框架的设计和实现，该框架将非结构化和复杂的法规文本转化为结构化表示形式，即ARC元组(s)，可以查询以协助分析和理解法规。我们展示了ARC在提取三种元组时的效果，F-1分数高（平均为82.1%），使用了四项主要隐私法规：CCPA、GDPR、VCDPA和PIPEDA。然后我们构建了ARCBert，能够识别跨法规间有语义相似的短语，使合规分析员能够识别共同的需求。我们在另外16项隐私法规上运行了ARC，并识别出了1,556个ARC元组和语义相似短语的簇。最后，我们扩展了ARC，通过与四项法规中的披露要求进行比较，评估隐私政策的合规性。我们对S&P 500公司的隐私政策进行了经验评估，发现了476个缺失的披露，经手动验证后有71.05%真正的正例，并通过ARC识别出的部分匹配发现了额外的288个缺失的披露。

论文链接：https://www.ndss-symposium.org/ndss-paper/towards-automated-regulation-analysis-for-effective-privacy-compliance/

127、Towards Precise Reporting of Cryptographic Misuses

在过去的十年里，一系列论文已经发表，探讨使用静态分析来检测加密API的误用。在每篇论文中，应用程序会根据一组规则进行检查，以查看是否存在违规情况。这些论文中的一个共同主题是规则违规情况很多，通常达到数千之多。有趣的是，虽然花了很多精力来解决误报的问题，但值得注意的是，并没有太多关于（1）误用警报是否确实正确和有意义，以及（2）未来的工作除了寻找更多的误用之外还能改进些什么的讨论。

在本文中，我们深入研究了各种学术论文中报告的规则违规情况，以及它们的检测器的规则、模型和实现，试图（1）解释它们的误用警报和实际漏洞之间的差距，以及（2）为改进误用检测器的精度和可用性指明可能的方向。我们的分析结果表明，之前工作中进行的小规模检查存在一些不幸的盲点，导致其规则、模型和实现中存在问题未被注意到，从而导致误用（和漏洞）被不必要地高估。为了促进有关主题的未来研究，我们将这些可避免的误报归纳为高级别模式，捕捉它们的根本原因，并讨论设计、评估和报告策略，以提高误用发现的精度。此外，为了展示这些误报模式和改进方向的普适性，我们还调查了一个流行的行业检测器和一个动态检测器，并讨论一些误报模式是如何适用与不适用于它们。我们的研究结果表明，准确报告加密误用问题仍有很大空间可以进行未来工作的改进。

论文链接：https://www.ndss-symposium.org/ndss-paper/towards-precise-reporting-of-cryptographic-misuses/

128、Transpose Attack: Stealing Datasets with Bidirectional Training

深度神经网络通常是向前执行的。然而，在这项工作中，我们发现了一种漏洞，使得模型可以在不同方向和不同任务上进行训练。攻击者可以利用这种能力在看似合法的模型内隐藏恶意模型。此外，在这项工作中，我们展示了神经网络可以被教导系统地记忆和检索数据集中的特定样本。这些发现共同揭示了一种新的方法，即攻击者可以在看似合法的模型的掩护下从受保护的学习环境中窃取数据集。我们关注数据外泄攻击，并展示现代架构可以被用来秘密地外泄成千上万个样本，具有足够高的准确性，足以危及数据隐私甚至训练新模型。此外，为了缓解这种威胁，我们提出了一种检测受感染模型的新方法。

论文链接：https://www.ndss-symposium.org/ndss-paper/transpose-attack-stealing-datasets-with-bidirectional-training/

129、TrustSketch: Trustworthy Sketch-based Telemetry on Cloud Hosts

云服务提供商在软件中部署遥测工具来执行终端主机网络分析。最近的努力表明，草图是一种近似数据结构，是软件远程测量的一个有前景的基础，因为它们提供了许多统计数据的高保真度，同时资源占用较低。然而，攻击者可以通过软件漏洞来篡改基于草图的遥测结果。因此，他们可以使遥测的使用失效；例如，避免攻击检测或引起会计差异。在本文中，我们正式定义了对可信草图遥测的要求，并显示以前的工作无法满足这些要求，因为草图具有概率特性和性能要求。我们提出了设计和实现了TRUSTSKETCH，一个通用的可信草图遥测框架，可以支持广泛的草图算法。我们展示了TRUSTSKETCH能够及时检测到基于草图的遥测中的各种攻击，而仅产生最小的开销。

论文链接：https://www.ndss-symposium.org/ndss-paper/trustsketch-trustworthy-sketch-based-telemetry-on-cloud-hosts/

130、Understanding Route Origin Validation (ROV) Deployment in the Real World and Why MANRS Action 1 Is Not Followed

BGP劫持是路由安全面临的最重要威胁之一。为了提高域间路由的可靠性和可用性，已经进行了大量工作来防御BGP劫持，而路由发起验证（ROV）已经成为当前最佳实践。然而，尽管互相约定的路由安全规范（MANRS）一直在鼓励网络运营商至少验证其客户的公告，最近的研究表明许多网络仍然没有完全部署ROV或传播其客户的非法公告。为了了解现实世界中ROV部署的情况以及为什么网络运营商没有遵循MANRS提出的行动，我们对ROV部署进行了长期测量，并进一步发现许多不合规的网络可能只在部分客户接口、提供商或对等接口部署ROV。然后，我们进行了第一次通知实验，以调查通知对ROV整改的影响。然而，我们的分析表明，通知的任何处理方式都没有显著影响。之后，我们对网络运营商进行了调查，发现经济和技术问题是不合规的两个主要原因类别。为了寻找一个现实的ROV部署策略，我们进行了大规模模拟，并令人惊讶地发现，不遵守MANRS行动1可能会导致更好地防御前缀劫持。最后，根据我们的所有发现，我们提出了实用建议，并概述了未来的方向，以帮助推动ROV的部署。

论文链接：https://www.ndss-symposium.org/ndss-paper/understanding-route-origin-validation-rov-deployment-in-the-real-world-and-why-manrs-action-1-is-not-followed/

131、Understanding and Analyzing Appraisal Systems in the Underground Marketplaces

评价系统是一种在地下市场中日益流行的反馈机制。该系统允许收到供应商免费样品的鉴定者为地下市场中的产品提供评估（即评价审查）。在本文中，我们首次对地下市场中的评价系统进行了测量研究。具体地，从2006年2月至2023年3月跨越的八个市场的1700万通信跟踪中，我们发现了由18,701名独特的鉴定者发布的56,229条评价审查。我们研究了评价审查生态系统，揭示了在鉴定者选择过程中常用的五个要求和优点。这些发现表明评价系统是地下市场生态系统中一个既成的、有结构的过程。此外，我们揭示了在评价审查中存在高质量和独特的网络威胁情报（CTI）。例如，我们识别了社交助推器追随者的地理位置和用于恶意软件的编程语言。借助我们的提取模型，该模型集成了41种不同类型的CTI，我们捕获了与16,668条（50.2%）评价审查相关的23,978个文物。相比之下，在商品列表中只有8.9%的文物，非评价审查中只有2.7%的文物。我们的研究为这种未被充分探索的CTI来源提供了有价值的见解，补充了现有的威胁情报收集研究。

论文链接：https://www.ndss-symposium.org/ndss-paper/understanding-and-analyzing-appraisal-systems-in-the-underground-marketplaces/

132、Understanding the Implementation and Security Implications of Protective DNS Services

域名经常被注册并被滥用用于有害和非法的互联网活动。为了缓解这些威胁，作为一种新兴的安全服务，保护性DNS（PDNS）通过主动提供重写的DNS响应来阻止访问有害内容，将恶意域名解析为受控主机。虽然这已成为对抗网络犯罪的有效工具，但由于其实施的分歧，安全社区在理解PDNS服务的部署、操作状态和安全策略方面所做的工作很少。

在本文中，我们对开放PDNS服务的部署和安全影响进行了大规模的测量研究。我们首先对28个流行的PDNS提供商进行了实证分析，并总结了DNS重写政策的主要格式。然后，根据推导出的规则，我们设计了一种方法，用于识别野外开放PDNS服务器强制实施的有意DNS重写。我们的研究结果多方面。好的一面是，PDNS的部署现在开始扩展：我们识别出17,601个DNS服务器（占所有调查的9.1%）提供此类服务。对于DNS客户端，从常规DNS切换到PDNS会引起可忽略的查询延迟，尽管服务器端需要额外的步骤（例如，对威胁情报进行检查和重写DNS响应）。然而，我们还发现了PDNS实施中的缺陷和漏洞，包括规避阻止政策和拒绝服务攻击。通过负责任的漏洞披露，我们已收到了12个高风险漏洞的审计评估结果。我们的研究呼吁为安全的PDNS操作提供适当的指导和最佳实践。

论文链接：https://www.ndss-symposium.org/ndss-paper/understanding-the-implementation-and-security-implications-of-protective-dns-services/

133、UniID: Spoofing Face Authentication System by Universal Identity

人脸认证系统广泛应用于访问控制系统中，以确保机密设施的安全。最近的研究表明，这些系统容易受到对抗攻击的影响。然而，这些攻击通常需要对手在每次身份验证时佩戴眼镜或帽子等伪装，这可能会引起怀疑并降低他们的攻击影响。在本文中，我们提出了UniID攻击，它允许多个对手进行人脸欺骗攻击，而无需额外的伪装，因为通过佩戴对抗性贴片，内部人员可以向人脸认证数据库注册一个通用身份。为了实现这一目标，我们首先通过特征工程选择合适的对手，然后采用多目标联合优化方法生成所需的对抗性贴片，最后克服实际挑战，如提高对抗性贴片对黑盒系统的可转移性并增强其在实际世界中的稳健性。我们在实验室设置中实现了UniID，并使用六个人脸识别模型（FaceNet、Mobile-FaceNet、ArcFace-18/50和MagFace-18/50）以及两个商业人脸认证系统（ArcSoft和Face++）评估其有效性。模拟和真实世界实验结果表明，UniID在白盒设置和黑盒设置下分别可以在3个用户场景中实现最高攻击成功率达到100%和79%，并且可以扩展到超过8个用户。

论文链接：https://www.ndss-symposium.org/ndss-paper/uniid-spoofing-face-authentication-system-by-universal-identity/

134、Untangle: Multi-Layer Web Server Fingerprinting

Web服务器指纹识别是漏洞管理和安全测试中常见的活动，网络扫描器已经具备这项能力超过20年。所有已知的指纹识别技术都是设计用于探测单个、孤立的Web服务器。然而，现代互联网由复杂的分层架构组成，其中包括一系列CDN、反向代理和云服务来支持源服务器。这使得现有的指纹识别工具和技术变得完全无效。

我们提出了第一种可以利用层间HTTP处理差异来识别多层架构服务器的方法论。这种技术能够检测涉及的服务器技术以及它们正确的顺序。理论上，这种方法可扩展到任意数量的层、任何服务器技术，以任何顺序部署，但当然要在实际的限制条件内。然后，我们解决了这些实际考虑因素，并在一个名为Untangle的工具中呈现了这种方案的具体实施，从经验上展示了它在高准确率下识别3层架构的能力。

论文链接：https://www.ndss-symposium.org/ndss-paper/untangle-multi-layer-web-server-fingerprinting/

135、UntrustIDE: Exploiting Weaknesses in VS Code Extensions

随着针对软件供应链的威胁不断增加，开发者集成开发环境（IDE）成为攻击者的吸引目标。例如，研究人员发现了适用于Visual Studio Code（VS Code）的扩展，可以启动Web服务器，并且可以通过在开发者主机上运行的Web浏览器中执行的JavaScript来进行利用。本文旨在系统地了解VS Code扩展市场中的漏洞情况。我们确定了四种未受信任输入来源和三种可用于代码注入和文件完整性攻击的代码目标，并利用它们设计了CodeQL中的污点分析规则。然后，我们对VS Code扩展市场进行生态系统级别的分析，研究了包含代码的25,402个扩展。我们的结果显示，虽然漏洞并不普遍存在，但它们确实存在并影响了数百万用户。具体而言，我们发现了21个扩展，验证了代码注入攻击的概念证明漏洞，影响超过600万次安装。通过这项研究，我们证明了对IDE扩展的安全性需要更多的关注。

论文链接：https://www.ndss-symposium.org/ndss-paper/untrustide-exploiting-weaknesses-in-vs-code-extensions/

136、Unus pro omnibus: Multi-Client Searchable Encryption via Access Control

可搜索加密允许一个不受信任的云服务器存储由写入者加密的关键字-文档元组，并通过读者提供的令牌进行关键字搜索。多写入者方案自然具有广泛的适用性；然而，目前还不清楚如何实现单写入者系统的独特特性，即仅通过遍历结果集实现最佳搜索，并保护旧的搜索令牌，使其无法对任何新数据产生影响。王和周（Usenix Security 2022）的最新研究结果会对已存在的关键字进行额外遍历，并且弱化仅定期使之前发布的搜索令牌无效的前向隐私。

我们提出了适用于多写入者多读者环境的可委托可搜索加密（DSE），具有最佳的搜索时间。除了前向隐私外，DSE还支持通过恶意客户端引起的新完整性威胁以及公钥方案固有的关键词猜测攻击的安全措施。这些措施可以通过数据所有者一次性委托更新和/或搜索权限以及我们量身定制的可移动多接收方计数器加密概念同时实现。DSE还受益于王和周的混合可搜索加密理念，但在微观级别上实现。我们的评估证实了在真实数据集上搜索时间的数量级改善。

论文链接：https://www.ndss-symposium.org/ndss-paper/unus-pro-omnibus-multi-client-searchable-encryption-via-access-control/

137、VETEOS: Statically Vetting EOSIO Contracts for the “Groundhog Day” Vulnerabilities

在这篇论文中，我们提出了VETEOS，这是一个用于检测EOSIO合约中“土拨鼠日”漏洞的静态审核工具。在“土拨鼠日”攻击中，罪犯利用EOSIO合约中独特的回滚问题，允许他们持续执行具有不同输入的相同合约代码。通过利用之前执行中暴露的信息，这些攻击者非法地积累关于目标合约的见解，从而找出一种可靠的方法来生成未经授权的利润。为了解决这个问题，我们正式将这一独特的漏洞定义为控制和数据依赖问题，并开发了一款定制的静态分析工具VETEOS，可以直接从EOSIO WebAssembly（WASM）字节码中精确地发现这些漏洞。VETEOS已经在实际环境中检测到了735个新的漏洞，并优于现有的EOSIO合约分析器。

论文链接：https://www.ndss-symposium.org/ndss-paper/veteos-statically-vetting-eosio-contracts-for-the-groundhog-day-vulnerabilities/

138、When Cryptography Needs a Hand: Practical Post-Quantum Authentication for V2V Communications

我们面对着支持后量子密码术（PQC）的非典型挑战，以及在限制的无线电频谱内处理车辆间通信（V2V）中的严格开销和延迟限制。例如，我们发现目前在V2V中支持签名验证所使用的频谱几乎不可能采用PQC。因此，我们提出了一种消息签名证书传输的调度技术（我们发现当前多达93%是冗余的），该技术能够学习自适应减少无线电频谱的使用。结合起来，我们设计了PQC和V2V的首次整合，满足了上述严格的约束条件，考虑到可用的频谱。具体来说，我们分析了NIST选定用于标准化的三种PQ签名算法，以及XMSS（RFC 8391），并提出了一个局部混合身份验证协议——经过定制的经典密码术和PQC的融合——用于在我们大纲中全面过渡到完全PQ V2V的萌芽期间在V2V生态系统中使用。我们的可证安全协议有效地平衡了安全性和性能，在软件定义无线电（USRPs）、商用V2V设备和道路交通和V2V模拟器的实验中得到了验证。我们展示了我们的联合传输调度优化和局部混合设计在现实条件下是可扩展且可靠的，与当前的先进技术相比，添加了可忽略的平均延迟（每条消息0.39毫秒）。

论文链接：https://www.ndss-symposium.org/ndss-paper/when-cryptography-needs-a-hand-practical-post-quantum-authentication-for-v2v-communications/

139、You Can Use But Cannot Recognize: Preserving Visual Privacy in Deep Neural Networks

图像数据已广泛应用于各种场景中的深度神经网络（DNN）任务，例如自动驾驶和医学图像分析，这引发了重大的隐私问题。现有的隐私保护技术无法有效保护这些数据。例如，一种新兴技术差分隐私（DP）可以保护数据并具有强大的隐私保证，但无法有效保护暴露的图像数据集的视觉特征。在本文中，我们提出了一个新颖的隐私保护框架VisualMixer，通过像素混淆来保护视觉DNN任务的训练数据，同时不注入任何噪音。VisualMixer利用一种新的隐私度量标准称为视觉特征熵（VFE），有效地从生物和机器视觉方面对图像的视觉特征进行量化。在VisualMixer中，我们设计了一种与任务无关的图像混淆方法，用于保护DNN训练和推断的数据的视觉隐私。对于每个图像，它根据所需的VFE确定图像中需要进行像素混淆的区域以及这些区域的大小。它在空间域和色度通道空间中对这些区域的像素进行混淆，而不注入噪音，以防止视觉特征被识别和识别，同时造成可忽略的准确性损失。对真实世界数据集上的大量实验表明，VisualMixer可以有效保护视觉隐私，并且几乎没有模型准确性损失，即平均模型准确性损失为2.35个百分点，并且几乎没有模型训练性能下降。

论文链接：https://www.ndss-symposium.org/ndss-paper/you-can-use-but-cannot-recognize-preserving-visual-privacy-in-deep-neural-networks/

140、dRR: A Decentralized, Scalable, and Auditable Architecture for RPKI Repository

尽管资源公钥基础设施（RPKI）对于保护域间路由非常重要，但我们发现其关键组成部分——RPKI库，并没有受到足够的研究。我们进行了对现有RPKI库基础设施的首次数据驱动分析，包括对全球AS管理员的调查和对现有RPKI库的大规模测量。根据这项研究的发现，我们确定了三个关键问题。首先，恶意的RPKI机构可以轻易操纵RPKI对象，而互联网编号资源（INRs）持有者和依赖方不能阻止恶意机构的恶意行为，也不能让它们承担责任。其次，RPKI库对故障非常敏感：任何发布点（PP）的攻击或停机都会阻止依赖方获取完整的RPKI对象视图。最后，我们发现当前的RPKI库存在可扩展性问题，随着路由起点授权（ROA）的进一步部署，这些问题预计会加剧。为了解决这些问题，我们提出了dRR，这是一种增强RPKI库安全性、强健性和可扩展性的架构，与标准RPKI兼容。通过引入两个新实体：证书服务器（CSs）和监视器，dRR形成了一个CSs的分散联盟，使RPKI库能够主动抵御机构的恶意行为并容忍PPs的故障。dRR也适用于未来大规模部署。我们详细介绍了dRR的设计，并在跨越15个国家的全球互联网测试平台上实现了dRR的原型。实验结果显示，虽然引入了新的安全功能，但dRR仅在证书发布和吊销时产生微不足道的延迟。dRR实现的证书更新吞吐量比当前最大的RPKI证书更新频率高出450倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/drr-a-decentralized-scalable-and-auditable-architecture-for-rpki-repository/