网络安全顶会——NDSS '24 论文清单、摘要（上）

1、50 Shades of Support: A Device-Centric Analysis of Android Security Updates

Android是迄今为止最受欢迎的操作系统，拥有超过30亿活跃移动设备。与任何软件一样，在Android设备上发现漏洞并及时应用补丁都至关重要。Android开源项目已经开始努力通过为设备分配安全补丁级别来改善安全更新的可追踪性。尽管这一倡议为漏洞提供了更好的可追踪性，但并没有完全解决与安全更新的及时性和可用性相关的问题。最近对Android安全更新的研究主要集中在安全更新发布过程中的延迟问题上，这主要归因于碎片化问题。然而，这些研究未能完全捕捉整个Android生态系统，因为它们主要关注旗舰设备或由于数据集跨越了一个较短的时间范围，未能全面描绘Android设备的生命周期。为了弥补文献中的这一空白，我们利用以设备为中心的方法来分析Android设备的安全更新行为。我们的方法旨在通过使用来自每个OEM的代表性设备集，了解原始设备制造商（OEM）的安全更新分发行为，并描述一台普通Android设备的完整生命周期。我们从公共来源获取了从2014年到2023年的36.7万条官方安全更新记录。我们的数据集包含来自四大OEM的599款独特设备，分布于97个国家，并与109家运营商有关。我们发现不同OEM、设备型号和类型以及世界各地地理区域的安全更新发布存在显著差异。我们的研究结果表明，导致安全更新发布延迟的原因不仅限于碎片化问题，还涉及一些OEM特定因素，例如设备接受的支持类型（例如，月度、季度、半年度等）。我们的分析还揭示了一些关于安全更新分发的关键问题，这些问题可以迅速得到解决，同时还可以立即被OEM采纳为实践中的示范做法。

论文链接：https://www.ndss-symposium.org/ndss-paper/50-shades-of-support-a-device-centric-analysis-of-android-security-updates/

2、5G-Spector: An O-RAN Compliant Layer-3 Cellular Attack Detection Service

在过去几年中，移动安全社区发现了针对链路和会话建立协议的各种利用漏洞。这些漏洞可以在软件定义无线电（SDR）上实施，干扰、欺骗或淹没第3层（L3）消息，从而 compromi安全和隐私，这仍然适用于最新的5G移动网络标准。有趣的是，与之前的封闭（专有）移动网络基础设施相比，5G网络正在向更智能和基于开放标准的完全互操作的移动架构迁移，称为开放射频接入网络（Open RAN或O-RAN）。将移动基础设施转换为软件定义的架构抽象的影响对于INFOSEC社区来说非常重要，因为这样可以通过提供面向安全的协议审计服务和利用检测来扩展移动数据面和控制面。基于这种设计，我们提出了5G-SPECTOR，这是一个用于在O-RAN上检测各种广泛的L3协议利用漏洞的第一个综合框架。它具有一个称为MOBIFLOW的新颖安全审计流，传输精细粒度的移动网络遥测数据，以及一个可编程的控制面xApp，名为MOBIEXPERT。我们展示了一个可扩展的5G-SPECTOR原型，它可以实时检测7种类型的蜂窝网络攻击。我们还展示了其可扩展性，可以针对11种未知攻击以及31个真实世界的蜂窝网络跟踪，具有高效性能（高精度，无误报）和低开销（<2% CPU，<100 MB内存）。

论文链接：https://www.ndss-symposium.org/ndss-paper/5g-spector-an-o-ran-compliant-layer-3-cellular-attack-detection-service/

3、A Duty to Forget, a Right to be Assured? Exposing Vulnerabilities in Machine Unlearning Services

被遗忘的权利要求从机器学习模型中删除或“遗忘”用户数据。然而，在机器学习即服务（MLaaS）的情境中，从头开始重新训练模型以满足遗忘请求是不切实际的，因为服务提供商（服务器）缺乏训练数据。此外，近似遗忘进一步涉及模型性能和隐私之间复杂的权衡。在本文中，我们尝试探讨MLaaS中遗忘服务可能带来的潜在威胁，特别是过度遗忘，即比预期更多的信息被遗忘。我们提出了两种策略，利用过度遗忘来衡量在黑盒访问设置下的权衡影响，在这种情况下，现有的机器遗忘攻击是不适用的。通过在基准数据集上进行大量实验，跨多种模型架构和代表性遗忘方法，评估了这些策略的有效性。结果表明，这两种策略在遗忘情景中对模型有效性有显著的潜力产生破坏。这项研究揭示了遗忘和当代MLaaS之间的一个未被充分探讨的差距，强调在平衡数据遗忘、模型效用和安全性时需要谨慎考虑。

论文链接：https://www.ndss-symposium.org/ndss-paper/a-duty-to-forget-a-right-to-be-assured-exposing-vulnerabilities-in-machine-unlearning-services/

4、A Security and Usability Analysis of Local Attacks Against FIDO2

FIDO2协议旨在通过使用公钥加密技术加强或取代密码认证。FIDO2主要关注于防御远程攻击者可能利用密码泄漏或钓鱼用户的攻击。在本文中，我们探讨了FIDO2面临的来自本地攻击的威胁，这方面得到了较少的关注---例如恶意浏览器扩展或跨站脚本（XSS），以及攻击者获取物理访问HSK的情况。我们对目前FIDO2实现进行了系统分析，揭示了四个潜在缺陷，并且展示了利用这些缺陷进行七种攻击的可行性。这些缺陷包括（1）浏览器扩展可以访问FIDO2消息而导致缺乏保密性/完整性，（2）克隆检测算法存在缺陷，（3）用户可能会因为社会工程和通知/错误消息而产生误解，（4）Cookie的生命周期。我们构建了恶意浏览器扩展，并在使用FIDO2的十个热门网站服务器上展示了这些攻击。我们还展示了许多浏览器扩展如果遭到入侵，则具有足够的权限来进行这些攻击。对当前浏览器扩展的静态和动态分析并没有发现这些攻击的证据。我们进行了两项用户研究，证实参与者无法通过当前的错误消息、电子邮件通知和用户体验响应来检测这些攻击。我们提供了改进的克隆检测算法和建议依赖方用于检测或防止某些攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/a-security-and-usability-analysis-of-local-attacks-against-fido2/

5、A Two-Layer Blockchain Sharding Protocol Leveraging Safety and Liveness for Enhanced Performance

分片是增强区块链技术可扩展性的关键技术。然而，现有的协议通常假定对手节点是一般术语，而没有考虑不同类型的攻击，这限制了实时交易吞吐量，因为对存活性的攻击可以得到缓解。已经尝试通过分别处理攻击来增加交易吞吐量；然而，它们存在安全漏洞。本文介绍了一种名为Reticulum的新型分片协议，它克服了这些限制，并在区块链网络中实现了增强的可扩展性，没有安全漏洞。

Reticulum采用两阶段设计，根据运行时对存活性和安全性的对手攻击动态调整交易吞吐量。它包括两个层次的“控制”和“处理”分片，与两个阶段相对应。处理分片是控制分片的子集，每个处理分片都预期至少包含一个有高信心的诚实节点。相反，控制分片预计具有大多数高信心的诚实节点。Reticulum在第一阶段利用一致投票来减少接受/拒绝一个区块的节点数量，从而允许更多并行处理分片。控制分片最终确定在第一阶段做出的决定，并在争议出现时作为解决纠纷的救生索。

实验表明，Reticulum的独特设计赋予了高交易吞吐量和对网络中不同类型攻击的强大抵抗力，使其比现有的区块链网络的分片协议更为优越。

论文链接：https://www.ndss-symposium.org/ndss-paper/a-two-layer-blockchain-sharding-protocol-leveraging-safety-and-liveness-for-enhanced-performance/

6、A Unified Symbolic Analysis of WireGuard

WireGuard是一种虚拟专用网络（VPN），于2017年在NDSS上推出，最近已集成到Linux内核和付费商业VPN，如NordVPN、Mullvad和ProtonVPN中。它提出了一个与IPsec或OpenVPN等其他经典VPN不同的方法，因为它不允许配置加密算法。WireGuard内部的协议是来自Noise框架的IKpsk2协议的专用扩展。已经提出了WireGuard和IKpsk2协议的不同分析，无论是在符号模型还是计算模型中，都有或没有计算机辅助证明助手。然而，这些分析考虑了不同的对抗模型，或是指向协议的不完整版本。在这项工作中，我们提出了一个符号模型中WireGuard协议的统一形式模型。我们的模型使用自动的加密协议验证器SAPIC+、ProVerif和Tamarin。我们考虑了完整的协议执行，包括用于抵抗拒绝服务攻击的cookie消息。我们对一个精确的对手进行建模，可以读取或设置静态、临时或预共享密钥，读取或设置ECDH预计算，控制密钥分发。最终，我们以一种统一和可解释的方式呈现我们的结果，允许与先前的分析进行比较。最后，借助我们的模型，我们给出了安全属性被破坏的必要和充分条件，我们确认了通信匿名性存在缺陷，并指出一种实现选择会显著削弱其安全性。我们提出了一种经过我们模型证实安全的补救方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/a-unified-symbolic-analysis-of-wireguard/

7、AAKA: An Anti-Tracking Cellular Authentication Scheme Leveraging Anonymous Credentials

手机追踪长期以来一直是一个隐私问题，移动网络运营商（MNOs）收集的地理数据和时间戳被用来追踪移动用户的位置和移动轨迹。此外，销售用户地理位置信息已经成为一个利润丰厚的业务。许多移动运营商通过未经用户同意将用户的位置历史售卖给第三方，违反了用户隐私协议，加剧了与手机追踪和用户画像相关的隐私问题。本文介绍了AAKA，这是一种匿名认证和密钥协议，旨在保护用户免受诚实但好奇的MNOs的手机追踪。AAKA利用匿名凭证，并引入了一种新颖的移动身份认证协议，允许合法用户匿名访问网络，而不泄露他们的真实唯一ID。它确保用户凭证的完整性，防止伪造，并确保同一用户在不同时间进行的连接不能被关联。虽然MNO无法单独识别或画像用户，但在法律干预的情况下，例如当MNO与授权的执法机构合作时，AAKA可以识别用户。我们的设计与3GPP标准化的最新蜂窝架构和SIM兼容，满足3GPP对用户设备（UE）身份验证和密钥协议过程的基本安全要求。全面的安全分析证明了该方案的有效性。评估显示该方案是可行的，一个设备生成凭证展示大约需花费52毫秒，在配备标准蜂窝SIM卡的受限制的主机设备上。

论文链接：https://www.ndss-symposium.org/ndss-paper/aaka-an-anti-tracking-cellular-authentication-scheme-leveraging-anonymous-credentials/

8、Abusing the Ethereum Smart Contract Verification Services for Fun and Profit

智能合约在以太坊生态系统中扮演着至关重要的角色。由于智能合约中存在各种安全问题，智能合约的验证变得迫在眉睫，这是将智能合约的源代码与其链上字节码进行匹配的过程，目的是建立智能合约开发者和用户之间的互相信任。尽管智能合约验证服务已经内置于流行的以太坊浏览器（例如Etherscan和Blockscout）以及官方平台（即Sourcify）中，并在生态系统中广受欢迎，但它们的安全性和可信度仍然不明确。为了填补这一空白，我们提出了智能合约验证服务的首个全面安全分析。通过深入研究现有验证工具的详细工作流程，我们总结了应该满足的关键安全特性，并观察到可能破坏验证的八种漏洞类型。此外，我们提出了一系列检测和利用方法，以揭示最受欢迎的服务中的漏洞存在，并总共发现了19个可利用的漏洞。所有研究的智能合约验证服务都可能被滥用以帮助传播恶意智能合约，我们已经观察到攻击者利用这种技巧进行欺诈活动的情况。因此，我们的社区迫切需要采取行动，以检测和缓解与智能合约验证相关的安全问题，这是以太坊智能合约生态系统的关键组成部分。

论文链接：https://www.ndss-symposium.org/ndss-paper/abusing-the-ethereum-smart-contract-verification-services-for-fun-and-profit/

9、Acoustic Keystroke Leakage on Smart Televisions

智能电视 (TVs) 是连接互联网的电视，支持视频流应用程序和浏览器。用户通过屏幕上的虚拟键盘输入信息到智能电视中。这些键盘需要用户使用遥控器的方向命令在键之间导航。鉴于智能电视的广泛功能，用户会在这些设备上输入敏感信息（例如密码），使按键输入的隐私成为必要。本工作开发并演示了一种新的侧信道攻击，可以从两款热门智能电视（苹果和三星）的音频中暴露按键输入。这种侧信道攻击利用了智能电视在选择按键、移动光标和删除字符时发出不同的声音。这些特性允许攻击者从电视的音频中提取光标移动的次数。我们的攻击利用这些提取的信息来识别最可能的键入字符串。在真实用户的情况下，该攻击在100次猜测中找到高达33.33%的信用卡详细信息和60.19%的常见密码。三星已经承认了这种漏洞，并强调了智能电视必须更好地保护敏感数据。

论文链接：https://www.ndss-symposium.org/ndss-paper/acoustic-keystroke-leakage-on-smart-televisions/

10、ActiveDaemon: Unconscious DNN Dormancy and Waking Up via User-specific Invisible Token

训练有素的深度神经网络（DNN）模型可视为商业交易中的商品，并带来可观收入，这引发了对知识产权（IP）保护的紧迫需求，以防止非法复制。新兴研究关于IP保护往往旨在将水印插入DNN中，使所有者能够在伪造模型出现并侵犯商业利益之后 passively 验证目标模型的所有权，而对基于未经授权查询的DNN应用的主动认证仍然被忽视。在本文中，我们提出了一种新颖的模型知识产权保护方法，称为 ActiveDaemon，它在DNN中整合了内置的访问控制功能，以防止商业盗版。具体而言，我们的方法使DNN只能为具有用户特定令牌的授权用户预测正确的输出，同时为未经授权的用户产生较差的精度。在 ActiveDaemon 中，用户特定令牌由一个专门设计的 U-Net 风格的编码器-解码器网络生成，可以将字符串和输入图像映射为大量的干扰图像，以解决具有大规模用户容量的身份管理问题。与现有研究相比，这些用户特定令牌是不可见的、动态的，并且更具隐蔽性和可靠性，增强了模型IP保护的隐蔽性和可靠性。为了自动唤醒模型的准确性，我们利用基于数据中毒的训练技术不知不觉地将 ActiveDaemon 嵌入到神经元的功能中。我们进行实验，比较 ActiveDaemon 与四种最先进方法在四个数据集上的保护性能。实验结果表明，ActiveDaemon 可以将未经授权查询的准确性降低多达 81%，而授权查询的准确性仅降低不到 1.4%。同时，我们的方法还可以将 CIFAR10 上的授权令牌的 LPIPS 分数降低至 0.0027，ImageNet 上降至 0.0368。

论文链接：https://www.ndss-symposium.org/ndss-paper/activedaemon-unconscious-dnn-dormancy-and-waking-up-via-user-specific-invisible-token/

11、AnonPSI: An Anonymity Assessment Framework for PSI

私人集合交集（PSI）是一种广泛使用的协议，使两个参与方能够安全地计算其共享数据集交集部分上的函数，多年来一直是重要的研究焦点。然而，最近的研究已经强调了它对集合成员推断攻击（SMIA）的脆弱性，即对手可能通过调用多个PSI协议推断个人的成员身份。即使在最严格的PSI版本中，它们只返回交集的基数，这也存在着相当大的风险。本文探讨了PSI背景下匿名性的评估。首先，我们指出现有研究在衡量隐私泄露方面的不足之处，随后提出了两种解决这些缺陷的攻击策略。此外，我们对我们提出的方法的性能提供了理论保证。除此之外，我们还阐明了如何整合辅助信息，例如与交集成员关联的有效负载之和（PSI-SUM），可以增强攻击效率。我们使用两个真实数据集对提出的各种攻击策略进行了全面性能评估。我们的研究结果表明，与先前的研究工作相比，我们提出的方法显著增强了攻击效率。有效的攻击意味着仅仅依赖现有的PSI协议可能不会提供足够的隐私保障水平。建议将增强隐私保护的技术协同组合，进一步增强隐私保护。

论文链接：https://www.ndss-symposium.org/ndss-paper/anonpsi-an-anonymity-assessment-framework-for-psi/

12、Architecting Trigger-Action Platforms for Security, Performance and Functionality

触发动作平台（TAP）是一种分布式系统，允许最终用户创建程序，将他们的基于Web的服务组合在一起，实现有用的自动化。例如，可以在添加新的电子表格行时触发程序，对数据进行计算并调用一个动作，比如在Slack上发送消息。目前的TAP架构要求用户对它们的安全操作完全信任。经验表明，对云服务的无条件信任是不合理的---一个入侵TAP云服务的攻击者将获得对数百万用户的敏感数据和设备的访问权限。在这项工作中，我们重新设计TAP，使用户对云端的信任最小化。具体地，我们设计并实现了TAPDance，这是一种TAP，保证在一个不可信任的TAP服务的情况下，程序执行的保密性和完整性。我们利用RISC-V Keystone隔离区来实现这些安全保证，同时最小化受信任的软件和硬件基础。性能结果表明，TAPDance相比使用Node.js实现的基准TAP实现，平均延迟降低了32%，吞吐量提高了33%。

论文链接：https://www.ndss-symposium.org/ndss-paper/architecting-trigger-action-platforms-for-security-performance-and-functionality/

13、Attributions for ML-based ICS Anomaly Detection: From Theory to Practice

工业控制系统（ICS）管理着诸如发电厂和水处理厂等关键基础设施。ICS 可以通过操纵其传感器或执行器数值来发动攻击，造成实际伤害。一种检测此类攻击的有前途的技术是基于机器学习的异常检测，但它并不能确定是哪个传感器或执行器被操纵，并且使得ICS操作人员难以诊断异常的根本原因。先前的研究提出使用归因方法来识别导致ICS异常检测模型发出警报的特征，但尚不清楚这些归因方法在实践中的工作效果如何。在本文中，我们将ICS领域的最新归因方法与多个数据集中的真实攻击进行比较。我们发现，ICS异常检测的归因方法并没有像先前的研究建议的那样表现出色，并确定了两个主要原因。首先，异常检测器通常在攻击开始后立即或显著时间后检测到攻击；我们发现在这些检测点计算的归因是不准确的。其次，归因的准确性在攻击属性上有很大的变化，并且归因方法很难处理对分类值执行器的攻击。尽管存在这些挑战，我们发现归因集合可以弥补单个归因方法的缺点。为了实际应用归因于ICS异常检测，我们为研究人员和从业人员提供建议，例如需要使用多样化的数据集评估归因以及归因在非实时工作流程中的潜力。

论文链接：https://www.ndss-symposium.org/ndss-paper/attributions-for-ml-based-ics-anomaly-detection-from-theory-to-practice/

14、Automatic Adversarial Adaption for Stealthy Poisoning Attacks in Federated Learning

联邦学习（FL）通过使用分布式数据来训练机器学习模型。这种方法提供了诸如改善数据隐私、降低通信成本以及通过增加数据多样性提升模型性能的好处。然而，FL系统容易遭受污染攻击，即对手引入恶意更新以破坏聚合模型的完整性。现有的防御策略包括过滤、影响减少以及强化聚合技术。过滤方法的优势在于不降低分类准确性，但面临对手适应防御机制的挑战。文献中对于“自适应对手”缺乏普遍接受的定义，这使得检测能力的评估和FL防御手段的有意义比较变得棘手。

在本文中，我们解决了Bagdasaryan等人提出的常用“自适应攻击者”定义的局限性。我们提出了AutoAdapt，一种利用增广Lagrange优化技术的新颖适应方法。AutoAdapt通过提供更合理的替代选择来消除寻找最佳超参数的手动搜索。它通过容纳多个不等式约束生成更有效的解决方案，允许适应防御指标的有效值范围。我们提出的方法显著增强了对手的能力，并加速了发展攻击和防御的研究。通过容纳多个有效值范围约束并适应多样的防御指标，AutoAdapt挑战了依赖多个指标的防御措施，并扩展了潜在对抗行为的范围。通过全面的研究，我们展示了AutoAdapt在同时适应多个约束上的有效性，并通过提高测试性能15倍来展示其力量。此外，我们在各种应用场景中通过数据集、模型架构和超参数的多样性展示了AutoAdapt的多功能性，强调了它在实际环境中的实用性。总的来说，我们的贡献推动了FL防御的评估并推动了该领域的进展。

论文链接：https://www.ndss-symposium.org/ndss-paper/automatic-adversarial-adaption-for-stealthy-poisoning-attacks-in-federated-learning/

15、Automatic Policy Synthesis and Enforcement for Protecting Untrusted Deserialization

长期以来，Java反序列化漏洞一直是Java应用程序的严重安全隐患。攻击者可以通过注入精心制作的恶意对象，在反序列化过程中重复使用一系列现有方法，从而实现各种攻击，如远程代码执行。为了缓解此类攻击，开发人员被鼓励实施限制应用程序可以反序列化的对象类型的策略。然而，精确策略的设计需要专业知识和重大人工工作，通常会导致策略的缺失或不完整的实现。在本文中，我们提出了DeseriGuard，这是一个旨在帮助开发人员无缝地保护他们的应用程序免受反序列化攻击的工具。它可以根据应用程序的语义自动制定策略，然后强制执行以限制非法的反序列化尝试。首先，DeseriGuard利用数据流分析构建一个语义感知的属性树，记录反序列化对象的潜在结构。基于该树，DeseriGuard识别可以安全反序列化的对象类型，并合成一个允许列表策略。然后，通过Java代理，DeseriGuard可以在运行时无缝地执行策略，以保护各种反序列化过程。在评估中，DeseriGuard成功阻止了12个真实世界漏洞的所有反序列化攻击。此外，我们将DeseriGuard自动生成的策略与109个开发人员设计的策略进行了比较。结果表明，DeseriGuard有效地限制了99.12%更多的类。同时，我们通过单元测试和集成测试测试增强策略的应用程序，结果表明DeseriGuard的策略不会干扰应用程序的执行，并且引起的时间开销非常小，只有2.17%。

论文链接：https://www.ndss-symposium.org/ndss-paper/automatic-policy-synthesis-and-enforcement-for-protecting-untrusted-deserialization/

16、BGP-iSec: Improved Security of Internet Routing Against Post-ROV Attacks

我们提出了BGP-iSec，这是BGPsec协议的改进版本，用于保护BGP，互联网的域间路由协议。与BGPsec相比，BGP-iSec确保了额外和更强大的安全性属性，而且没有显著的额外开销。主要改进包括：(i) 部分采用的安全性：BGP-iSec为早期采用者提供了显著的安全性好处，而BGPsec则要求普遍采用。(ii) 防范路由泄露：BGP-iSec防范了路由泄露，这是导致路由错误路由的常见原因，而BGPsec无法预防。(iii) 属性的完整性：BGP-iSec确保了可逆属性的完整性，从而防止了BGPsec无法防止的公告操纵攻击。我们通过广泛的模拟和安全分析表明，BGP-iSec实现了这些目标。BGP-iSec的设计尽可能符合BGPsec的设计，仅在必要时进行修改以提高安全性。通过提供更强大的安全性保证，特别是对于部分采用的情况，我们希望BGP-iSec将是最终保护域间路由的一步，这在很多年来一直是互联网基础设施的一个漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/bgp-isec-improved-security-of-internet-routing-against-post-rov-attacks/

17、Bernoulli Honeywords

在凭证数据库中植入的诱饵密码，也被称为“蜜语”，可以在登录尝试中提交时警示网站可能被入侵。为了有效，一些蜜语必须看起来至少像是用户选择的密码一样可能，并且蜜语必须非常难以猜测，以防止错误的入侵警报。然而，对于启发式蜜语生成算法来说，实现这些目标一直是困难的。在本文中，我们探讨了一种替代策略，即防御者将蜜语选择视为一个伯努利过程，在这个过程中，除用户选择的密码外，每个可能的密码以某个固定概率独立选择为蜜语。我们展示了如何将伯努利蜜语整合到两种利用蜜语的现有系统设计中：其中一个基于蜜语检查器，它存储用户选择的密码的秘密索引在账户密码列表中，另一个则完全不利用秘密状态。我们展示了伯努利蜜语使得无论攻击者获取了关于网站用户的什么信息，都能够分析推导出误报检测概率；它们的真实和虚假入侵检测概率展示了强大的效能；而且伯努利蜜语甚至可以在现代蜜语系统设计中实现性能改进。

论文链接：https://www.ndss-symposium.org/ndss-paper/bernoulli-honeywords/

18、Beyond the Surface: Uncovering the Unprotected Components of Android Against Overlay Attack

遮罩是安卓系统中一个显著的用户界面特性，它允许一个应用程序绘制在其他应用程序窗口之上。虽然遮罩增强了用户体验并允许并发应用程序交互，但它已被广泛滥用于恶意目的，例如“点按劫持”，导致所谓的遮罩攻击。为了应对这种威胁，谷歌引入了一个专用的窗口标志SYSTEM_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS，以保护关键系统应用程序的窗口免受遮罩攻击。不幸的是，在安卓系统中此类保护的充分性尚未得到研究，缺乏明确的使用指南。为了弥合这一差距，在本文中，我们对系统应用程序中未受保护的窗口针对遮罩攻击进行了第一次系统研究。我们提出了一套全面的指南，然后设计并开发了一个名为OverlayChecker的新工具，用于识别安卓系统应用程序中缺失的保护措施。为了验证发现的问题，我们还设计并创建了概念证明应用程序。在将OverlayChecker应用于最近发布的4个版本的8款商用安卓系统后，我们共发现了49个易受攻击的系统应用程序窗口。我们已将研究结果报告给手机厂商，包括谷歌、三星、维沃、小米和荣耀。截止撰写本文时，其中15个问题已得到确认。已分配5个CVE编号，并其中3个评级为高危。我们也收到了这些手机厂商的漏洞悬赏奖励。

论文链接：https://www.ndss-symposium.org/ndss-paper/beyond-the-surface-uncovering-the-unprotected-components-of-android-against-overlay-attack/

19、BliMe: Verifiably Secure Outsourced Computation with Hardware-Enforced Taint Tracking

外包计算在今天被广泛使用。然而，在外包计算中保护客户数据的当前方法存在不足：使用像全同态加密这样的加密技术会产生巨大成本，而使用硬件辅助的受信任执行环境已被证明容易受到运行时和侧信道攻击的影响。

我们提出了BliMe，这是一种实现高效安全的外包计算的架构。BliMe包括一组新颖而简化的指令集架构（ISA）扩展，实施了一个追踪污点策略，以确保即使在服务器存在漏洞的情况下，客户数据的保密性。为了保护外包计算，BliMe扩展可以与一个可验证的、固定功能的硬件安全模块（HSM）以及一个提供原子解密和污点操作和加密和解除污点操作的加密引擎一起使用。客户依赖于远程验证和与HSM的密钥协议，以确保他们的数据可以安全地在加密引擎之间传输，并始终受到BliMe的污点跟踪策略的保护。

我们提供了一个基于BOOM RISC-V核心的BliMe-BOOM RTL实现。BliMe-BOOM相对于未修改的BOOM没有降低时钟频率，功耗极小（$）。

论文链接：https://www.ndss-symposium.org/ndss-paper/blime-verifiably-secure-outsourced-computation-with-hardware-enforced-taint-tracking/

20、BreakSPF: How Shared Infrastructures Magnify SPF Vulnerabilities Across the Internet

电子邮件欺骗攻击通过伪造发件人地址欺骗电子邮件接收者，对电子邮件系统构成严重威胁。发件人策略框架（SPF）是一种电子邮件认证协议，通过验证发件人的IP地址，对防范电子邮件欺骗攻击至关重要。然而，攻击者可以绕过SPF验证，发动令人信服的欺骗攻击，逃避电子邮件认证。本文提出了BreakSPF，一种绕过SPF验证的新型攻击框架，以实现电子邮件欺骗。攻击者可以利用云服务、代理和内容传送网络（CDN）的共享IP池，积极针对具有宽松SPF配置的域名。我们利用BreakSPF进行了一项大规模实验，评估了Tranco前100万个域名跨SPF部署的安全性。我们发现有23,916个域名容易受到BreakSPF攻击，其中包括排名前1000个最受欢迎域名的23个域名。这些结果突显了广泛存在的SPF配置漏洞以及它们削弱电子邮件系统安全性的潜力。我们的研究为检测和减轻SPF漏洞以及加强整体电子邮件系统安全性提供了宝贵的见解。

论文链接：https://www.ndss-symposium.org/ndss-paper/breakspf-how-shared-infrastructures-magnify-spf-vulnerabilities-across-the-internet/

21、CAGE: Complementing Arm CCA with GPU Extensions

保密计算是一种新兴技术，为用户和第三方开发人员提供了一个孤立且透明的执行环境。为了支持这种技术，Arm推出了保密计算架构（CCA），它创建了多个孤立的地址空间，称为领域（realms），以确保在安全敏感任务中的数据保密性和完整性。Arm最近提出了在GPU硬件上进行保密计算的概念，GPU广泛应用于通用、高性能和人工智能计算场景。然而，支持保密GPU工作负载的硬件和固件目前还不可用。现有研究利用受信任的执行环境（TEEs）来保护Arm或Intel平台上的GPU计算，但它们不适用于CCA的领域式架构，例如使用不兼容的硬件或引入大型受信任计算基础（TCB）。因此，需要通过GPU加速来补充现有的Arm CCA功能。为了解决这一挑战，我们提出了CAGE来支持Arm CCA的保密GPU计算。通过利用Arm CCA中现有的安全功能，CAGE确保在统一内存GPU上进行保密计算时的数据安全性，这是Arm设备中主流加速器的应用。为了使GPU工作流适应CCA的领域式架构，CAGE提出了一种新颖的影子任务机制，灵活管理保密GPU应用程序。此外，CAGE利用Arm CCA中的内存隔离机制来保护数据的保密性和完整性免受强敌干扰。基于此，CAGE还优化了内存隔离中的安全操作，以减少性能开销。在无需硬件更改的情况下，我们的方法利用Arm CCA中的通用硬件安全原语来防御特权对手。我们提供两个原型来验证CAGE的功能并分别评估性能。结果表明，CAGE有效地为Arm CCA提供GPU支持，性能开销平均为2.45%。

论文链接：https://www.ndss-symposium.org/ndss-paper/cage-complementing-arm-cca-with-gpu-extensions/

22、CP-IoT: A Cross-Platform Monitoring System for Smart Home

今天，智能家居平台在全球范围内得到广泛应用，用户可以通过这些平台实现自动化，定义他们的日常生活习惯。然而，不同平台存在的个别自动化规则异常和跨自动化威胁会让智能家居处于危险之中。最近的研究集中于检测特定平台的这些威胁，但只能覆盖有限的威胁面。为了解决这些问题，我们设计了一个名为CP-IoT的新颖系统，可以监控自动化的执行行为，发现其中的异常以及潜在的风险，适用于异构物联网平台。具体而言，CP-IoT构建一个集中的、动态的图模型，描述自动化行为和状态转移。通过分析具有不同描述粒度的两种应用页面，CP-IoT提取规则执行逻辑，并从不同平台收集用户策略。为了检测不同平台中自动化规则的不一致行为，我们提出了一种自学习方法，通过对来自侧通道收集的不同平台流量进行聚类来提取事件指纹，同时通过检查规则执行行为与图模型中反映的规格进行异常检测。为了检测跨规则威胁，我们将每种威胁类型形式化为符号表示，并在图中应用搜索算法。我们在四个平台上验证了CP-IoT的性能。评估结果表明，CP-IoT能够高准确地检测异常，并有效地发现各种类型的跨规则威胁。

论文链接：https://www.ndss-symposium.org/ndss-paper/cp-iot-a-cross-platform-monitoring-system-for-smart-home/

23、CamPro: Camera-based Anti-Facial Recognition

数百万摄像头拍摄的图像的增加以及人脸识别（FR）技术的进步使得滥用FR成为严重的隐私威胁。现有的研究通常依赖于模糊化、合成或对抗性示例来修改图像中的面部，以实现面部识别抗性（AFR）。然而，包含敏感个人识别信息（PII）的相机模块拍摄的未经修改的图像仍可能被泄露。在本文中，我们提出了一种新颖的方法***CamPro***来捕捉天生的AFR图像。***CamPro***使得精心包装的商品相机模块能够生成包含少量PII信息但仍包含足够信息支持其他非敏感视觉应用的图像，比如人员检测。具体来说，***CamPro***调整相机图像信号处理器（ISP）内部的配置设置，即色彩校正矩阵和伽马校正，以实现AFR，并设计了一种图像增强器来保持图像质量以便人类查看。我们在一个概念验证相机上实现和验证了***CamPro***，我们的实验显示它对十种最先进的黑盒FR模型的有效性。结果表明，***CamPro***图像能够将脸部识别准确率显著降低至0.3%，对目标的非敏感视觉应用几乎没有影响。此外，我们发现，***CamPro***对通过使用***CamPro***生成的图像重新训练其FR模型的适应性攻击者也是具有抵抗力的，即使他们完全了解保护隐私的ISP参数。

论文链接：https://www.ndss-symposium.org/ndss-paper/campro-camera-based-anti-facial-recognition/

24、Certificate Transparency Revisited: The Public Inspections on Third-party Monitors

证书透明度（CT）框架已部署以改善TLS证书生态系统的问责制。然而，目前的CT实施并不强制执行或保证第三方监视器的正确行为，这些是CT框架的基本组成部分，引发了安全性和可靠性方面的担忧。例如，最近的研究报告指出，5个流行的第三方CT监视器并不能总是返回用户查询的完整证书集，这从根本上损害了CT旨在提供的保护。本文重新审视了CT设计，并提出了CT框架的一个附加组件，即CT观察器。观察器作为第三方CT监视器的检查员，通过检查第三方监视器的证书搜索服务和检测多个监视器返回的不一致结果，来检测任何不端行为。它还以半自动方式分析了不一致性的潜在原因，例如监视器的错误配置、实现缺陷等。我们实现了CT观察器的原型，并进行了为期52天的试验运行和几次确认实验，涉及大约6,000个域的8.26百万个唯一证书。从6个现有活跃的第三方监视器返回的结果中，该原型检测出了这些监视器的14个潜在的设计或实现问题，展示了它在对第三方监视器进行公开检查方面的有效性，以及提高CT整体可靠性的潜力。

论文链接：https://www.ndss-symposium.org/ndss-paper/certificate-transparency-revisited-the-public-inspections-on-third-party-monitors/

25、Compensating Removed Frequency Components: Thwarting Voice Spectrum Reduction Attacks

自动语音识别（ASR）为人类与机器之间的交流提供了多样化的音频转文本服务。然而，最近的研究揭示了ASR系统容易受到各种恶意音频攻击的影响。特别是，通过去除非必要的频率成分，一种新的频谱缩减攻击可以生成对人类可感知但无法被ASR系统正确解释的对抗音频。这给内容审查解决方案带来了新的挑战，以便检测社交媒体平台上的音频和视频中的有害内容。在本文中，我们提出了一种名为ACE的声学补偿系统，用于对抗ASR系统上的频谱缩减攻击。我们的系统设计基于两个观察结果，即频率成分之间的依赖关系和扰动敏感性。首先，由于离散傅立叶变换计算不可避免地会给音频频率谱引入谱泄漏和混叠效应，具有相似频率的频率成分将具有很高的相关性。因此，考虑到相邻频率成分之间的内在依赖关系，通过基于剩余频率成分对已移除的成分进行补偿，可以更好地恢复原始音频。其次，由于频谱缩减攻击中的被移除成分可以被视为对抗性噪声的反向，当在空中重播对抗音频时，攻击成功率将降低。因此，我们可以模拟声学传播过程，向受攻击的音频中添加空中扰动。我们实现了ACE的原型，并实验结果表明ACE可以有效地减少由频谱缩减攻击引起的ASR推断错误高达87.9%。此外，通过分析真实音频样本上的残余错误，我们总结了六种常见的ASR推断错误类型，并研究了错误的原因和潜在的缓解方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/compensating-removed-frequency-components-thwarting-voice-spectrum-reduction-attacks/

26、Compromising Industrial Processes using Web-Based Programmable Logic Controller Malware

我们提出了一种新颖的方法来开发可编程逻辑控制器（PLC）恶意软件，证明其比当前的策略更灵活、更有韧性和更有影响力。以往对PLC的攻击要么感染控制逻辑部分，要么感染PLC计算机固件部分，而我们提出的恶意软件专门感染PLC中新兴嵌入式Web服务器托管的Web应用程序。这种策略使得恶意软件可以通过管理员门户网站提供的合法Web应用程序接口（API）偷偷地攻击底层真实世界的机械设备。此类攻击包括篡改传感器读数、禁用安全警报和操作物理执行器。此外，与现有的PLC恶意软件技术（控制逻辑和固件）相比，这种方法具有显著优势，如平台独立性、部署简单和更高的持久性水平。我们的研究表明，工业控制环境中的Web技术的出现引入了新的安全问题，这些问题在IT领域或消费类物联网设备中并不存在。根据PLC控制的工业过程的不同，我们的攻击可能会引发灾难性事件甚至导致生命丧失。我们通过在广泛使用的PLC模型上进行类似Stuxnet攻击的原型实施此恶意软件的方法验证了这些说法，利用我们在研究中发现的零日漏洞（CVE-2022-45137、CVE-2022-45138、CVE-2022-45139和CVE-2022-45140）。我们的调查显示，每个主要的PLC供应商（全球市场份额的80%）生产的PLC都容易受到我们提出的攻击向量的威胁。最后，我们讨论潜在的对策和缓解措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/compromising-industrial-processes-using-web-based-programmable-logic-controller-malware/

27、Content Censorship in the InterPlanetary File System

星际文件系统（IPFS）目前是运行中最大的去中心化存储解决方案，拥有数千名活跃参与者和每天数百万次内容传输。IPFS被用作众多基于区块链的智能合约、非同质化代币（NFT）和去中心化应用程序的远程数据存储。我们提出了一种内容审查攻击，可以在小规模和成本下执行，并阻止IPFS网络中的任何选择内容的检索。该攻击利用IPFS核心组件Kademlia分布式哈希表（DHT）中的概念问题，该组件用于将内容ID解析为对等地址。我们提供了高效的检测和缓解机制，该漏洞的检测率达到了99.6%，并在检测到的攻击中消除了100%的攻击，且只需最少的信令和计算开销。我们遵循了负责任的披露程序，并计划在未来版本的IPFS中部署我们的对策。

论文链接：https://www.ndss-symposium.org/ndss-paper/content-censorship-in-the-interplanetary-file-system/

28、Crafter: Facial Feature Crafting against Inversion-based Identity Theft on Deep Models

随着边缘设备（例如移动设备）的增强功能以及更加严格的隐私要求，最近一种趋势是深度学习应用在边缘预处理敏感原始数据，并将特征传输至后端云进行进一步处理。一个典型的应用是在从不同个体收集的人脸图像上运行机器学习（ML）服务。为了防止身份盗窃，传统方法通常依赖于对抗游戏型方法来从特征中删除身份信息。然而，这种方法无法抵御自适应攻击，即攻击者采取对已知防御策略的反制。我们提出了Crafter，一种在边缘部署的特征处理机制，用于保护免受自适应模型逆向攻击的身份信息，同时确保在云中正确执行机器学习任务。关键的防御策略是误导攻击者到一个与私密身份信息相关联程度较低的先验信息，使攻击者对私密身份信息获取较少。在这种情况下，特制的特征就像毒害的训练样本，供具有自适应模型更新的攻击者使用。实验结果表明，Crafter成功防御了基本的和可能的自适应攻击，这是无法通过最先进的对抗游戏型方法实现的。

论文链接：https://www.ndss-symposium.org/ndss-paper/crafter-facial-feature-crafting-against-inversion-based-identity-theft-on-deep-models/

29、CrowdGuard: Federated Backdoor Detection in Federated Learning

联邦学习（FL）是一种有前途的方法，可以使多个客户端在不共享本地训练数据的情况下协作训练深度神经网络（DNNs）。然而，FL容易受到后门（或有针对性的毒化）攻击的影响。这些攻击是由恶意客户端发起的，他们试图通过在学习模型中引入特定行为来影响学习过程，这些行为可以被精心制作的输入触发。现有的FL防护措施有各种限制：它们仅适用于特定的数据分布，或者由于排除良性模型或添加噪声而降低全局模型的准确性，容易受到具有自适应防御意识的对手的攻击，或者需要服务器访问本地模型，从而允许数据推断攻击。本文提出了一种新颖的防御机制，CrowdGuard，可以有效地减轻FL中的后门攻击并克服现有技术的不足之处。它利用客户端对个体模型的反馈，分析隐藏层神经元的行为，并通过迭代剪枝方案消除有毒模型。CrowdGuard采用基于服务器的堆叠聚类方案，以增强其对不良客户端反馈的抵抗能力。评估结果表明，CrowdGuard在各种场景下（包括IID和非IID数据分布）实现了100%的真正正类率和真负类率。此外，CrowdGuard可以抵御适应性对手，并保持受保护模型的原始性能。为了确保机密性，CrowdGuard在客户端和服务器端都使用了基于可信执行环境（TEEs）的安全且隐私保护的架构。

论文链接：https://www.ndss-symposium.org/ndss-paper/crowdguard-federated-backdoor-detection-in-federated-learning/

30、DEMASQ: Unmasking the ChatGPT Wordsmith

ChatGPT和其他大型语言模型（LLMs）的潜在滥用引发了有关虚假信息传播、剽窃、学术不端和欺诈活动的担忧。因此，区分人工智能生成和人类生成的内容已成为一个引人注目的研究课题。然而，当前的文本检测方法缺乏精度，通常受限于特定任务或领域，因此无法有效识别由ChatGPT生成的内容。本文提出了一种名为DEMASQ的有效ChatGPT检测器，可以准确识别ChatGPT生成的内容。我们的方法解决了两个关键因素：（i）观察到人类和机器生成的内容中文本构成上的明显偏见，（ii）人类为了规避先前检测方法所做的修改。DEMASQ是一种基于能量的检测模型，结合了新颖的方面，例如（i）灵感来自多普勒效应的优化，以捕捉输入文本嵌入和输出标签之间的相互依赖关系，以及（ii）利用可解释的人工智能技术生成多样的扰动。为了评估我们的检测器，我们创建了一个基准数据集，包括来自ChatGPT和人类的提示混合，涵盖医学、开放性问答、金融、维基和Reddit等领域。我们的评估表明，DEMASQ在识别ChatGPT生成的内容方面表现出很高的准确率。

论文链接：https://www.ndss-symposium.org/ndss-paper/demasq-unmasking-the-chatgpt-wordsmith/

31、DRAINCLoG: Detecting Rogue Accounts with Illegally-obtained NFTs using Classifiers Learned on Graphs

随着非同质化代币（NFT）在市场上逐渐增加人气，NFT用户成为了网络钓鱼骗子的目标，被称为NFT排干者。在过去的一年里，一亿美元的NFT被排干者盗取，他们的存在仍然是NFT交易空间的严重威胁。然而，目前还没有工作全面调查NFT生态系统中排干者的行为。本文介绍了关于NFT排干者交易行为的首次研究，并引入了第一个专用NFT排干者检测系统。我们从以太坊区块链和五个来源收集了2022年的1.27亿NFT交易数据和1,135个排干者账户。我们发现排干者在交易和社交环境中表现出与普通用户显著不同的特征。基于这些洞见，我们设计了一种利用图神经网络的自动排干者检测系统DRAINCLoG。该系统通过两个不同的图表现出NFT空间内复杂的交互网络：用于交易环境的NFT-用户图和用于社交环境的用户图。利用真实世界的NFT交易数据进行评估，验证了我们模型的稳健性和准确性。此外，我们分析了DRAINCLoG在各种规避攻击下的安全性。

论文链接：https://www.ndss-symposium.org/ndss-paper/drainclog-detecting-rogue-accounts-with-illegally-obtained-nfts-using-classifiers-learned-on-graphs/

32、DeGPT: Optimizing Decompiler Output with LLM

逆向工程对于恶意软件分析、漏洞发现等领域至关重要。反编译器通过将汇编代码转换为高级编程语言，极大地提升了对二进制代码的理解。然而，反编译器存在一些问题，如变量名无意义、变量冗余以及缺乏描述代码目的的注释。先前的研究表明，通过使用包含各种反编译器输出的大型数据集对模型进行训练，可以有效改善反编译器的输出性能。然而，即使耗费大量时间构建的数据集也只涵盖了现实世界中有限的二进制文件，面对二进制迁移时性能会严重下降。

在本文中，我们提出DeGPT，一个旨在优化反编译器输出以提高可读性和简洁性，进一步帮助逆向工程师更好地理解二进制代码的端到端框架。大型语言模型（LLM）凭借其庞大的模型尺寸和包含丰富多模态数据的训练集能力，可以减轻性能退化。然而，其潜力很难通过一次性使用来发挥。因此，我们提出了三角色机制，包括裁判（R_ref）、顾问（R_adv）和操作员（R_ope），将LLM调整适应我们的优化任务。具体而言，R_ref为目标反编译器输出提供优化方案，R_adv根据方案提供矫正措施，R_ope检查优化是否改变了原始函数语义，并得出最终关于是否接受优化的结论。

我们在包含各种软件的反编译器输出的数据集上评估了DeGPT，如实用的命令行工具、恶意软件、音频处理库以及算法实现。实验结果显示，即使在当前顶级反编译器（Ghidra）的输出上，DeGPT能够使理解反编译器输出的认知负担降低24.4%，并提供的注释中有62.9%能够提供逆向工程师理解二进制代码的实际语义。我们的用户调查也显示，优化可以显著简化代码，附加有益的语义信息（变量名和注释），有助于快速准确地理解二进制代码。

论文链接：https://www.ndss-symposium.org/ndss-paper/degpt-optimizing-decompiler-output-with-llm/

33、Decentralized Information-Flow Control for ROS2

ROS2是一种流行的基于发布/订阅的中间件，允许开发人员构建和部署各种分布式机器人应用程序。不幸的是，ROS2为应用程序提供了对其数据如何被下游应用程序消费的较少控制权。我们提出了Picaros，这是一种专为ROS2定制的去中心化信息流控制（DIFC）系统。ROS2的分散和分布式架构给构建一个DIFC系统提出了之前未解决的新挑战。Picaros采用了一种新颖的方法来解决这些挑战，通过在属性基加密（ABE）框架中提出和解决DIFC问题。Picaros的设计充分利用了ROS2平台的独特性质，并精心避免了任何集中化元素。本文介绍了Picaros的设计和实现，并报告了我们使用Picaros基于ABE的方法进行DIFC与ROS2应用程序的实验。

论文链接：https://www.ndss-symposium.org/ndss-paper/decentralized-information-flow-control-for-ros2/

34、DeepGo: Predictive Directed Greybox Fuzzing

Directed Greybox Fuzzing（DGF）是一种有效的方法，旨在通过预定义的目标站点来加强对易受攻击代码区域的测试。最先进的DGF技术重新定义和优化适应性度量标准，以便精确迅速地到达目标站点。然而，适应性度量标准的优化主要基于启发式算法，通常依赖于历史执行信息，并且缺乏对尚未执行的路径的前瞻性。因此，那些具有复杂约束的难以执行的路径将阻碍DGF到达目标，使得DGF效率降低。

在本文中，我们提出了DeepGo，一种能够结合历史和预测信息来引导DGF通过最佳路径到达目标站点的预测式有向灰盒模糊器。我们首先提出路径转换模型，将DGF建模为通过特定路径转换序列达到目标站点的过程。通过突变生成的新种子会导致路径转换，而与高奖励路径转换序列相对应的路径表明通过它达到目标站点的可能性较高。然后，为了预测路径转换和相应的奖励，我们使用深度神经网络构建一个虚拟集成环境（VEE），逐渐模拟路径转换模型并预测尚未获取的路径转换的奖励。为了确定最佳路径，我们开发了一种用于模糊测试的强化学习（RLF）模型，以生成具有最高序列奖励的转换序列。RLF模型可以结合历史和预测路径转换，生成最佳路径转换序列，以及指导模糊测试的突变策略的策略。最后，为了执行高奖励的路径转换序列，我们提出了行动组的概念，全面优化模糊测试的关键步骤，以实现高效到达目标的最佳路径。我们在包含25个程序和共计100个目标站点的2个基准测试上评估了DeepGo。实验结果显示，与AFLGo、BEACON、WindRanger和ParmeSan相比，DeepGo在到达目标站点方面实现了分别为3.23倍、1.72倍、1.81倍和4.83倍的加速，并在暴露已知漏洞方面实现了分别为2.61倍、3.32倍、2.43倍和2.53倍的加速。

论文链接：https://www.ndss-symposium.org/ndss-paper/deepgo-predictive-directed-greybox-fuzzing/

35、Detecting Voice Cloning Attacks via Timbre Watermarking

如今，向公众发布音频内容，用于社交分享或商业目的是很常见的。然而，随着语音克隆技术的崛起，攻击者有潜力通过利用他公开发布的音频来轻松模仿特定人物，而无需任何许可。因此，检测已发布音频内容的潜在错误使用，并保护其音色免受模仿变得非常重要。为此，我们引入了一个新颖的概念，“音色水印”，将水印信息嵌入目标个人的语音中，最终击败语音克隆攻击。然而，存在两个挑战：1）稳健性：攻击者可以在发起语音克隆攻击之前使用常见的语音预处理方法去除水印；2）泛化：攻击者可以选择各种语音克隆方法，很难建立针对所有方法的通用防御。为了解决这些挑战，我们设计了一个端到端的抗语音克隆检测框架。我们解决方案的核心思想是将水印嵌入频域，这在本质上抵抗常见的数据处理方法。采用重复嵌入策略进一步增强了稳健性。为了获得跨不同语音克隆攻击的泛化性，我们调节它们共享的过程，并将其整合到我们的框架中作为一个失真层。实验证明，所提出的音色水印可以抵御不同的语音克隆攻击，对各种自适应攻击（如基于重构的去除攻击、水印覆写攻击）表现出强大的抵抗力，在实际服务中实现了实用性，如PaddleSpeech、Voice-Cloning-App和so-vits-svc。此外，还进行了消融研究来验证我们设计的有效性。一些音频样本可在https://timbrewatermarking.github.io/samples获取。

论文链接：https://www.ndss-symposium.org/ndss-paper/detecting-voice-cloning-attacks-via-timbre-watermarking/

36、Don't Interrupt Me – A Large-Scale Study of On-Device Permission Prompt Quieting in Chrome

最近由Chrome进行的一项大规模实验表明，“更安静”的网络权限提示可以减少不必要的干扰，而只会对授权率产生轻微影响。然而，该实验和部分推出缺少两个重要元素：（1）一种有效且具有上下文感知能力的激活机制，用于这种更安静的提示，以及（2）对用户对此类干预的态度和情绪的分析。在本文中，我们通过一种新颖的基于机器学习的激活机制来解决这两个限制 -- 并且在Chrome中进行了实际设备部署 -- 以及一项涉及来自156个国家的13.1k参与者的大规模用户研究。首先，基于遥测数据的结果，从Chrome用户的2000多万个样本中计算出，表明这种新颖的基于设备的机器学习方法既非常精确（事后精度超过99%），而且覆盖率很高（对于通知权限，召回率为96%）。其次，我们进行的大规模、情境化的用户研究表明，在大多数受访者看来，更安静的方式通常被认为是有帮助的，并且不会引起高水平的不安。

论文链接：https://www.ndss-symposium.org/ndss-paper/dont-interrupt-me-a-large-scale-study-of-on-device-permission-prompt-quieting-in-chrome/

37、DorPatch: Distributed and Occlusion-Robust Adversarial Patch to Evade Certifiable Defenses

对抗性贴片攻击是最实际的对抗性攻击之一。最近的研究重点是在白盒对抗性贴片攻击存在的情况下提供对正确预测的认证保证。在本文中，我们提出了DorPatch，一种有效的对抗性贴片攻击，可以规避可证实的强化防御和实证防御。DorPatch利用组Lasso方法对贴片的蒙版、图像丢失、密度正则化和结构损失，生成一个完全优化的、分布式的、遮挡鲁棒的、不显眼的对抗性贴片，可以部署在物理世界的对抗性贴片攻击中。我们进行了广泛的实验评估，包括数字域和物理世界的测试，结果表明DorPatch可以有效规避PatchCleanser，这是最先进的可证实防御，以及对抗性贴片攻击的实证防御。更重要的是，DorPatch生成的对抗性贴片示例的错误预测结果可以从PatchCleanser获得认证，产生对于保证预测的虚假信任。DorPatch在所有对抗性贴片攻击中实现了最先进的攻击性能和感知质量。DorPatch对于DNN模型的真实应用构成了重大威胁，并呼吁开发有效的防御措施来阻止这种攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/dorpatch-distributed-and-occlusion-robust-adversarial-patch-to-evade-certifiable-defenses/

38、DynPRE: Protocol Reverse Engineering via Dynamic Inference

自动协议逆向工程对于各种安全应用至关重要。尽管许多现有技术通过分析静态网络跟踪来实现这一任务，但由于它们依赖高质量样本而面临越来越大的挑战。本文介绍了DynPRE，一种协议逆向工程工具，利用协议服务器的交互能力获取更多语义信息和额外的流量进行动态推断。DynPRE首先处理初始输入的网络跟踪，并根据会话特定标识符的检测和自适应消息重写学习在不同上下文中与服务器交互的规则。然后应用探索性请求构建来获取语义信息和补充样本，并进行实时分析。我们对12种广泛使用的协议进行评估，结果显示DynPRE可以以0.50的完美度得分识别字段，并以0.94的V-measure推断消息类型，明显优于像Netzob、Netplier、FieldHunter、BinaryInferno和Nemesys等最先进的方法，它们的平均完美度和V-measure得分分别为（0.15，0.72）、（0.16，0.73）、（0.15，0.83）、（0.15，-）和（0.31，-）。此外，对未知协议的案例研究凸显了DynPRE在实际应用中的有效性。

论文链接：https://www.ndss-symposium.org/ndss-paper/dynpre-protocol-reverse-engineering-via-dynamic-inference/

39、EM Eye: Characterizing Electromagnetic Side-channel Eavesdropping on Embedded Cameras

物联网设备和其他嵌入式系统越来越配备了可以在私人空间中感知关键信息的摄像头。然而，这些摄像头的数据安全从硬件设计的角度几乎没有受到严格审查。我们的论文首次尝试分析对嵌入式摄像头进行物理通道窃听的攻击面。我们表征了EM Eye——一种数字图像数据传输接口中的漏洞，允许对手从摄像头的无意电磁辐射中重建高质量图像流，甚至在许多情况下，距离超过2米。我们对4个流行的物联网摄像头开发平台和12个带摄像头的商用现成设备进行评估，结果显示EM Eye对各种设备构成威胁，从智能手机到行车记录仪和家庭安全摄像头都有可能受到影响。通过利用这一漏洞，攻击者可能能够在墙的另一侧从封闭房间外窥视私人活动。我们提供根本原因分析和建模，使系统防御者能够识别和模拟防止此漏洞的措施，比如改进嵌入式摄像头的数据传输协议，成本最低。我们进一步讨论EM Eye与已知的电脑显示器窃听攻击的关系，以揭示需要解决以保护传感系统数据机密性的差距。

论文链接：https://www.ndss-symposium.org/ndss-paper/em-eye-characterizing-electromagnetic-side-channel-eavesdropping-on-embedded-cameras/

40、Eavesdropping on Black-box Mobile Devices via Audio Amplifier's EMR

在日常移动设备使用场景中，如电话通话、语音消息和机密会议，音频窃听对用户隐私构成严重威胁。因此，移动用户更倾向于使用耳机，因为它提供了物理上的声音隔离，以保护音频隐私。然而，我们的论文介绍了第一个概念验证系统Periscope，展示了插有耳机的移动设备的漏洞。该系统显示了移动设备音频放大器不经意地泄露的电磁辐射（EMR）可以被利用作为恢复受害者音频声音的有效侧信道。此外，插入的耳机充当天线，增强了EMR的强度，使其可以在较长距离上轻松测量。我们的可行性研究和硬件分析进一步揭示了EMR与设备的音频输入高度相关，但受到信号失真和环境噪音的影响，使得恢复音频声音变得极为具有挑战性。为了解决这一挑战，我们开发了带有谱图聚类方案的信号处理技术，清除了噪音和失真，使EMR能够转换回音频声音。我们的攻击原型与隐藏录音机大小相当，成功地恢复了受害者的私人音频声音，在11部移动设备和6个耳机上的字错率（WER）低至7.44%。恢复结果可以被自然人类听觉和在线语音转文字工具识别，系统对各种攻击场景的变化具有鲁棒性。我们还向6家主要移动设备制造商报告了Periscope。

论文链接：https://www.ndss-symposium.org/ndss-paper/eavesdropping-on-black-box-mobile-devices-via-audio-amplifiers-emr/

41、Eavesdropping on Controller Acoustic Emanation for Keystroke Inference Attack in Virtual Reality

了解虚拟现实（VR）的脆弱性对于保护敏感数据和建立用户对VR生态系统的信任至关重要。先前的攻击已经表明，在用户和头戴式显示器（HMDs）之间的交互过程中生成的侧通道信号可以推断出VR按键输入的可行性。然而，这些攻击受到攻击场景中的物理布局或受害者姿势的严格限制，因为录制设备必须与受害者的特定位置和方向严格匹配。在本文中，我们揭示了一种在VR中具有位置灵活性的按键推断攻击，方法是窃听在按键输入期间手柄控制器移动时产生的点击声音。恶意录音的智能手机可以放置在围绕受害者的任何位置，使攻击更加灵活和实用在VR环境中部署。作为VR中的第一个声学攻击，我们的系统Heimdall解决了之前没有解决的物理键盘和触摸屏上的声学攻击面临的独特挑战。这些挑战包括在三维空间中区分声音、在不同的录音位置之间进行按键声音和按键之间的自适应映射，以及处理偶然发生的手部旋转。30名参与者的实验表明，Heimdall实现了96.51%的按键推断准确率和4-8个字符密码推断的前5准确率为85.14%至91.22%。Heimdall也在各种实际影响下表现强劲，如智能手机-用户的放置、攻击环境、硬件模型和受害者状态。

论文链接：https://www.ndss-symposium.org/ndss-paper/eavesdropping-on-controller-acoustic-emanation-for-keystroke-inference-attack-in-virtual-reality/

42、Efficient Use-After-Free Prevention with Opportunistic Page-Level Sweeping

打败利用野指针后的漏洞是一个具有挑战性的问题，对于这个问题仍然没有普遍适用的解决方案。近年来，为了高效预防利用野指针后的漏洞，一些努力发现延迟重新利用释放内存在许多情况下既有效又高效。之前的研究提出了两种主要方法：一种是推迟重用，直到分配器可以确定已经清除了任何悬空指针指向已释放的内存，另一种是在程序终止之前不再重用已释放的堆块。我们从对这两种方法及其报告的性能影响进行深入分析中做出了有趣的观察。与延迟重用直到程序终止的设计相比，仅延迟重用直到没有悬空指针引用已释放的块的策略在某些工作负载下会受到显著的性能开销。每个堆块的重用变化会影响堆中分配块的分布以及一些基准测试的性能。本研究提出了HushVac，一种分配器，可以以一种使堆块的分布更适合这种工作负载的方式进行延迟重用。对HushVac的评估显示，当运行SPEC CPU 2006基准套件时，HushVac的平均性能开销（4.7%）低于最先进技术（11.4%）。具体地，HushVac对于分布敏感基准测试的额外开销约为35.2%，而之前的研究则为110%。

论文链接：https://www.ndss-symposium.org/ndss-paper/efficient-use-after-free-prevention-with-opportunistic-page-level-sweeping/

43、Efficient and Timely Revocation of V2X Credentials

在智能交通系统中，车辆、基础设施和其他道路使用者之间安全通信对于维护道路安全至关重要。这包括及时撤销行为不端或恶意车辆的加密凭证。然而，目前的标准在处理撤销问题上存在模糊的情况，最近的调查表明现有撤销方案在可伸缩性和有效性方面存在严重限制。在本文中，我们提出了一个经过正式验证的机制，用于自我撤销车辆对一切(V2X)匿名凭证，该机制依赖于车辆中的可信处理元素，但不需要可信时间源。我们的方案与正在进行的标准化工作兼容，并且利用Tamarin prover，它是第一个保证在可预测的撤销时间上实际撤销凭证的方案，并且能够在存在现实攻击者的情况下保证。我们在虚拟5G-Edge部署场景中测试了我们的撤销机制，其中大量车辆互相通信，模拟网络故障和延迟等真实世界条件。结果显示我们的方案在实践中保持了正式保证，同时具有低网络开销和良好的可扩展性。

论文链接：https://www.ndss-symposium.org/ndss-paper/efficient-and-timely-revocation-of-v2x-credentials/

44、EnclaveFuzz: Finding Vulnerabilities in SGX Applications

英特尔的软件保护扩展（SGX）提供了一个孤立的执行环境，称为飞地，在这个环境之外的一切都被视为潜在恶意，包括非飞地内存区域、外围设备和操作系统。尽管具有强大的攻击模型，但在飞地内运行的代码仍然容易受到常见的内存损坏漏洞的影响。此外，这种攻击模型可能会引入新的威胁或加剧现有的威胁。例如，从飞地内部对不受信任的内存进行直接内存访问可能会导致检查时间与使用时间不一致（TOCTOU）错误，因为攻击者可以控制整个不受信任的内存。此外，空指针解引用可能会造成更严重的安全影响，因为操作系统控制的零页也被视为恶意。当前的模糊测试解决方案，如SGXFuzz和FuzzSGX，在检测此类SGX特定漏洞方面存在局限性。在本文中，我们提出了EnclaveFuzz，这是一个多维结构感知的模糊测试框架，它分析飞地来源以提取输入结构和相关性，然后生成可以生成有效输入以通过合理性检查的模糊测试框架。为了进行多维度模糊测试，EnclaveFuzz为飞地的三个输入维度创建数据，包括进入飞地的参数和返回值，以及来自飞地内部的直接不受信任内存访问。为了检测更多类型的漏洞，我们设计了一个新的消毒器，用于检测既有的SGX特定漏洞，又有典型的内存损坏漏洞。最后，我们提供了一个自定义的SDK来加速模糊测试过程，并无需特殊硬件即可执行飞地。为验证我们解决方案的有效性，我们将我们的工作应用于测试20个真实世界的开源飞地，并在其中的14个中发现了162个错误。

论文链接：https://www.ndss-symposium.org/ndss-paper/enclavefuzz-finding-vulnerabilities-in-sgx-applications/

45、Enhance Stealthiness and Transferability of Adversarial Attacks with Class Activation Mapping Ensemble Attack

尽管对对抗攻击的可传递性进行了大量研究，但是现有的生成对抗样本的方法存在两个显著的缺点：隐蔽性差和在低轮次攻击下攻击效果较低。为了解决上述问题，我们创造性地提出了一种对抗样本生成方法，该方法将多个模型的类激活映射进行整合，称为类激活映射集成攻击。我们首先使用类激活映射方法来发现深度神经网络的决策与图像区域之间的关系。然后，我们计算每个像素的类激活分数，并将其用作扰动的权重，以增强对抗样本的隐蔽性，并提高低轮次攻击下的攻击性能。在优化过程中，我们还将多个模型的类激活映射进行整合，以确保对抗攻击算法的传递性。实验结果显示，我们的方法生成的对抗样本在感知性、传递性、低轮次攻击下的攻击效果和隐蔽性方面表现出色。具体而言，当我们的攻击能力与最强攻击（VMIFGSM）相当时，我们的感知性接近最佳攻击（TPGD）。对于非目标攻击，我们的方法在攻击能力方面平均比VMIFGSM高出11.69％，比TPGD高出37.15％。对于目标攻击，我们的方法实现了最快的收敛速度，最高的攻击效果，并在低轮次攻击中显著优于八种基线方法。此外，我们的方法可以规避防御，并用于评估模型的鲁棒性。

论文链接：https://www.ndss-symposium.org/ndss-paper/enhance-stealthiness-and-transferability-of-adversarial-attacks-with-class-activation-mapping-ensemble-attack/

46、Experimental Analyses of the Physical Surveillance Risks in Client-Side Content Scanning

内容扫描系统利用感知哈希算法扫描用户内容，以查找非法材料，如儿童色情或恐怖主义招募传单。感知哈希算法有助于确定两幅图像在视觉上是否相似，同时保护输入图像的隐私。来自行业和学术界的几项努力提议在客户端设备上进行扫描，如智能手机，这是因为即将推出端到端加密将使服务器端扫描变得困难。这些提议引起了强烈批评，因为技术可能被滥用以实施审查。然而，在监视背景下，这项技术的风险并不被充分了解。我们的研究通过实验性地表征了这种技术被误用的潜力，即攻击者操纵内容扫描系统来对目标位置进行实物监视。我们的贡献有三个方面：(1)我们在客户端图像扫描系统的背景下提供了实物监视的定义；(2)我们实验性地表征了这一风险，并创建了一个监视算法，通过对0.2%的感知哈希数据库进行污染，实现了物理监视率超过30%；(3)我们实验性地研究了客户端图像扫描系统的稳健性和监视之间的权衡，表明更强大的非法材料检测会导致在大多数情况下对实物监视的潜在增加。

论文链接：https://www.ndss-symposium.org/ndss-paper/experimental-analyses-of-the-physical-surveillance-risks-in-client-side-content-scanning/

47、Exploiting Sequence Number Leakage: TCP Hijacking in NAT-Enabled Wi-Fi Networks

在本文中，我们揭示了一个新的侧信道漏洞，即广泛使用的NAT端口保留策略和Wi-Fi路由器的不足逆向路径验证策略，这使得一个站在路径之外的攻击者可以推断出同一网络中是否有一个受害者客户端与互联网上的另一台主机使用TCP进行通信。在检测到受害客户端与服务器之间存在TCP连接后，攻击者可以通过发送伪造的TCP数据包驱逐原始NAT映射，并在路由器上重新构建一个新的映射，原因是路由器的漏洞禁用了TCP窗口跟踪策略，这个策略多年来一直被大多数路由器忠实执行。通过这种方式，攻击者可以拦截来自服务器的TCP数据包，获取当前的序列号和确认号，从而允许攻击者强制关闭连接、以明文毒化流量，或将服务器的入站数据包重新路由到攻击者。我们对来自30个供应商的67个广泛使用的路由器进行了测试，发现其中有52台受到了这种攻击的影响。此外，我们对93个真实Wi-Fi网络进行了广泛的测量研究。实验结果显示，这些受评估的Wi-Fi网络中有75个（81%）完全容易受到我们的攻击。我们的案例研究显示，平均需要约17.5、19.4和54.5秒来终止一个SSH连接，从FTP服务器下载私人文件，以及注入伪造的HTTP响应数据包，成功率分别为87.4%、82.6%和76.1%。我们对漏洞进行了负责的披露，并向所有受影响的供应商建议缓解策略，得到了积极的反馈，包括感谢、CVE编号、奖励以及采纳我们建议的做法。

论文链接：https://www.ndss-symposium.org/ndss-paper/exploiting-sequence-number-leakage-tcp-hijacking-in-nat-enabled-wi-fi-networks/

48、FP-Fed: Privacy-Preserving Federated Detection of Browser Fingerprinting

浏览器指纹技术通常是跟踪用户在网络上活动的第三方cookie的一种吸引人的替代方法。事实上，常见网络浏览器对第三方cookie的增加限制以及像GDPR这样的最近法规可能加速这种转变。为了对抗浏览器指纹技术，之前的研究提出了一些技术来检测其普遍性和严重性。然而，绝大多数 - 如果不是全部 - 这些技术依赖于1）集中式网络爬虫和/或2）计算密集型操作以提取和处理信号（例如，信息流和静态分析）。

为了解决这些限制，我们提出了FP-Fed，这是第一个用于浏览器指纹检测的分布式系统。使用FP-Fed，用户可以基于真实浏览模式协作训练设备模型，而无需与中心实体共享其培训数据，这是通过依靠差分隐私联邦学习（DP-FL）实现的。为了证明其可行性和有效性，我们评估了FP-Fed在一组拥有不同隐私级别的20k个热门网站上的性能，这些网站有不同数量的参与者和从脚本中提取的特征。我们的实验表明，FP-Fed实现了相当高的检测性能，并且可以在设备上高效地进行训练和推断，仅依赖于从执行跟踪中提取的运行时信号，而无需进行任何资源密集型操作。

论文链接：https://www.ndss-symposium.org/ndss-paper/fp-fed-privacy-preserving-federated-detection-of-browser-fingerprinting/

49、Facilitating Non-Intrusive In-Vivo Firmware Testing with Stateless Instrumentation

尽管已经开发了许多动态测试技术，但由于深度嵌入式（例如基于微控制器的）设备具有极其不同的运行时环境和受限资源，因此它们几乎无法直接应用于固件。这项工作通过利用微控制器设备在固件开发过程中的独特位置来解决这些挑战。也就是说，在固件开发过程中，固件开发人员必须依靠连接到目标设备的强大工程工作站来编程和调试代码。因此，我们开发了一个名为IPEA的解耦式固件测试框架，将资源密集型分析任务的开销从微控制器转移到工作站。只留下轻量级的“针探头”在固件中收集内部执行信息而不对其进行处理。我们还使用基于指针能力的消毒剂（IPEA-San）和灰盒模糊器（IPEA-Fuzz）实例化了这个框架。通过将IPEA-San与微控制器的AddressSanitizer端口进行比较，我们展示了IPEA-San在现实世界固件中将内存开销降低了62.75％，并提高了检测准确性。将IPEA-Fuzz与IPEA-San结合使用，我们在流行的物联网库（3个）和外围驱动程序代码（4个）中发现了7个零日漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/facilitating-non-intrusive-in-vivo-firmware-testing-with-stateless-instrumentation/

50、Faster and Better: Detecting Vulnerabilities in Linux-based IoT Firmware with Optimized Reaching Definition Analysis

物联网设备往往存在漏洞，即不受信任的输入可能触发潜在漏洞并流向固件中的敏感操作，从而可能导致严重破坏。由于这些漏洞通常是污染样式，一个有前途的解决方案是进行静态污染分析以找到它们。然而，现有的解决方案效率和效果有限。在本文中，我们提出了一种新的高效和有效的污染分析解决方案，即HermeScan，用于发现此类漏洞，该解决方案利用到达定义分析（RDA）进行污染分析，并能够获得更少的假阴性、假阳性和时间成本。我们已经实现了HermeScan的原型，并在两个数据集上进行了彻底评估，即一个包含30个最新固件的0-day数据集和一个包含98个较旧固件的N-day数据集，并与两种最先进的解决方案进行了比较，即KARONTE和SaTC。在效果方面，HermeScan、SaTC和KARONTE分别在0-day数据集中发现了163、32和0个漏洞。在准确性方面，HermeScan、SaTC和KARONTE在0-day数据集中的真阳性率分别为81%、42%和0%。在效率方面，HermeScan在发现0-day漏洞方面平均比SaTC和KARONTE分别快了7.5倍和3.8倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/faster-and-better-detecting-vulnerabilities-in-linux-based-iot-firmware-with-optimized-reaching-definition-analysis/

51、Faults in Our Bus: Novel Bus Fault Attack to Break ARM TrustZone

物联网（IoT）的快速增长导致了高频率、高度复杂的片上系统（SoCs）的广泛部署，这些系统能够运行完整的操作系统（OS）。操作系统和其他软件对策的存在使SoCs能够抵御传统的在FPGAs和微处理器上相关的故障攻击。在这项工作中，我们首次提出了针对SoC架构的一个正交方面的实际影响：系统总线。我们在涉及处理器-内存交互的指令执行过程中向系统总线注入电磁脉冲。我们展示了地址总线故障如何破坏掩蔽实现的密码的软件实现，使用最先进的后量子密码（PQC）方案的实现进行说明，通过单一故障泄漏整个秘钥。我们还证明了数据总线故障可以被控制和利用，以启动差分故障分析（DFA）攻击，针对基于表的高级加密标准（AES）的实现。此外，我们证明了这类总线故障的影响可能会产生深远的影响，并误导广泛使用的ARM TrustZone的安全性保证。我们利用数据总线故障（以及全球平台API规范中的漏洞）来误导签名验证步骤，以在TrustZone中加载恶意可信应用程序（TA）。我们继续使用地址总线故障来窃取系统中其他良性TA的对称加密密钥，导致TrustZone的安全完全瓦解。我们注意到，由于这种攻击依赖于全球平台API规范中的漏洞，因此可以移植到遵循该规范的任何TEE上。为了强调这种攻击的可移植性，我们展示了在两个不同平台（树莓派3和树莓派4）上的两个TrustZone实现（OP-TEE和MyTEE）上成功安装恶意TA。最后，我们提出可以集成到SoC环境中以抵御这些攻击向量的对策措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/faults-in-our-bus-novel-bus-fault-attack-to-break-arm-trustzone/

52、File Hijacking Vulnerability: The Elephant in the Room

文件是一种重要的安全攻击向量，用于违反安全边界，但是对这些攻击潜在漏洞的系统性理解还不足。为了弥合这一差距，我们提出了对文件劫持漏洞（FHVulns）的全面分析，这是一种使攻击者能够通过操纵文件内容或文件路径来突破安全边界的漏洞类型。我们对从2020年1月到2022年10月的268个有详细记录的FHVuln CVE记录进行了深入的实证研究。我们的研究揭示了FHVulns的起源和触发机制，并强调现有的检测技术忽略了大多数FHVulns。因此，我们预计软件中存在大量的零日FHVulns。我们开发了一个动态分析工具JERRY，通过模拟程序执行过程中的劫持行为，有效地在运行时检测FHVulns。我们将JERRY应用于包括微软、谷歌、Adobe和英特尔在内的438个热门软件程序，并发现了339个零日FHVulns。我们将JERRY识别的所有漏洞报告给相应的厂商，目前已确认或修复了其中的84个漏洞，其中有51个CVE ID授予并获得了83400美元的漏洞赏金。

论文链接：https://www.ndss-symposium.org/ndss-paper/file-hijacking-vulnerability-the-elephant-in-the-room/

53、Flow Correlation Attacks on Tor Onion Service Sessions with Sliding Subset Sum

Tor是当今使用最广泛的匿名网络之一。它抵御流量相关性攻击的能力对于提供强大的匿名性保证至关重要。然而，针对Tor洋葱服务（以前被称为“隐藏服务”）的流量相关性攻击的可行性仍然是一个未解决的挑战。在本文中，我们提出了一种有效的流量相关性攻击，可以在Tor网络中去匿名化洋葱服务会话。我们的攻击基于一种名为Sliding Subset Sum（SUMo）的新颖分布式技术，该技术可以由全球一组勾结的ISP以联邦方式部署。这些ISP在网络中的多个视角收集Tor流量，并通过基于机器学习分类器和基于经典子集和决策问题的新颖相似性函数的流水线架构对其进行分析。这些分类器使得SUMo能够有效而高效地去匿名化洋葱服务会话。我们还分析了Tor社区可以采用的可能对抗措施，以阻碍这些攻击的有效性。

论文链接：https://www.ndss-symposium.org/ndss-paper/flow-correlation-attacks-on-tor-onion-service-sessions-with-sliding-subset-sum/

54、FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning Attacks in Federated Learning

联邦学习（FL）是一种协作学习范式，允许多个客户端共同训练模型，而不共享他们的训练数据。然而，FL容易受到毒化攻击的影响，即对手将操纵的模型更新注入到联邦模型聚合过程中，以损坏或销毁预测（非目标化毒化）或植入隐藏功能（目标化毒化或后门）。现有的防御措施对FL中的毒化攻击存在几个局限性，例如依赖于特定假设攻击类型和策略或数据分布，或对先进注入技术和策略不够强大并同时保持聚合模型的实用性。为了解决现有防御措施的不足，我们采取了一种全新的方法来检测毒化（目标化和非目标化）攻击。我们提出了FreqFed，一种将模型更新（即权重）转换到频域的新型聚合机制，从而可以识别核心频率成分，这些成分包含足够的关于权重的信息。这使我们能够在客户端进行本地训练时有效地过滤掉恶意更新，无论攻击类型、策略和客户端数据分布如何。我们在不同应用领域（包括图像分类、单词预测、物联网入侵检测和语音识别）中广泛评估了FreqFed的效率和有效性。我们证明了FreqFed可以有效地缓解毒化攻击，并对聚合模型的实用性影响微乎其微。

论文链接：https://www.ndss-symposium.org/ndss-paper/freqfed-a-frequency-analysis-based-approach-for-mitigating-poisoning-attacks-in-federated-learning/

55、From Hardware Fingerprint to Access Token: Enhancing the Authentication on IoT Devices

消费者物联网产品在我们日常生活中的普及增加了对安全设备身份验证和访问控制的需求。

不幸的是，这些资源受限的设备通常使用基于令牌的身份验证，这种身份验证容易受到令牌受损攻击的影响，允许攻击者冒充设备并通过窃取访问令牌执行恶意操作。

使用硬件指纹来确保身份验证是减轻这些威胁的一种有希望的方法。

然而，一旦攻击者窃取了一些硬件指纹（例如，通过中间人攻击），他们可以通过训练机器学习模型来模仿指纹或重复使用这些指纹来伪造请求来绕过硬件身份验证。在本文中，我们提出了MCU-Token，这是一个针对基于MCU的物联网设备的安全硬件指纹框架，即使加密机制（例如私钥）被破坏也可以保证安全。MCU-Token 可以通过简单地向现有有效负载添加基于硬件指纹的短令牌来轻松集成到各种物联网设备中。为了防止此令牌被重用，我们提出了一种通过基于请求有效负载生成硬件指纹将令牌绑定到特定请求的消息映射方法。为了避免机器学习攻击，我们将有效的指纹与毒害数据混合，使攻击者无法使用泄漏的令牌训练可用模型。MCU-Token可以抵御装甲对手，后者可能通过中间人攻击重放、伪造和卸载请求，或者使用硬件（例如使用相同设备）和软件（例如机器学习攻击）策略来模仿指纹。系统评估表明，MCU-Token 可以在各种物联网设备和应用场景中实现高准确性（超过 97%）并且具有较低的开销。

论文链接：https://www.ndss-symposium.org/ndss-paper/from-hardware-fingerprint-to-access-token-enhancing-the-authentication-on-iot-devices/

56、From Interaction to Independence: zkSNARKs for Transparent and Non-Interactive Remote Attestation

远程认证（RA）协议被广泛应用于评估远程设备上软件的完整性。目前，最先进的RA协议缺乏一个关键特性：透明性。这意味着最终认证验证的细节并不公开可访问或可验证。此外，这些协议的互动性通常限制了认证仅限于拥有对机密设备数据（如预共享密钥和初始测量数据）的特权访问的可信方。这些限制阻碍了这些协议在各种应用中的广泛采用。本文介绍了zRA，这是一种基于zkSNARKs的非交互式、透明且公开可证明的RA协议。zRA使设备认证的验证无需预共享密钥或访问机密数据，确保了一种无需信任的开放认证流程。这消除了对在线服务或验证方侧的安全存储的依赖。此外，zRA在证明方（即ROM和MPU）不会在基本加密方案以及基本信任锚点组件之外施加任何额外的安全假设。由设备生成的零知识认证证明无论网络复杂度和认证数量如何，其大小始终保持恒定。此外，这些证明不会揭示设备内部状态的敏感信息，使得任何人都可以以公开和可审计的方式进行验证。我们进行了广泛的安全分析，并展示了zRA相对于以前的工作在可扩展性上的设备。我们的分析表明，zRA在点对点和发布/订阅网络结构中表现出色。为了验证实用性，我们使用Circom语言实现了zRA的开源原型。我们展示了zRA可以安全地部署在公共无许可区块链上，作为认证数据的档案平台，以实现对抗DoS攻击的韧性。

论文链接：https://www.ndss-symposium.org/ndss-paper/from-interaction-to-independence-zksnarks-for-transparent-and-non-interactive-remote-attestation/

57、Front-running Attack in Sharded Blockchains and Fair Cross-shard Consensus

分片(sharding)是一种用于扩展区块链的重要技术。通过将网络划分为更小的部分，称为分片(shards)，分片区块链可以并行处理交易，而不会通过协调分片内和跨片共识协议引入不一致性。然而，我们观察到分片系统存在一个关键的安全问题：在协调分片内和跨片共识协议时，可能会出现交易排序的篡改，使系统容易受到攻击。具体来说，我们确定了一种称为最终公正性(finalization fairness)的新型安全问题，它可以通过前置攻击(front-running attack)来利用。这种攻击允许攻击者操纵交易执行顺序，即使受害者的交易已经通过公平的分片内共识被处理并添加到区块链中。为了解决这个问题，我们提出了Haechi，这是一种能够抵御前置攻击的新型跨片协议。Haechi在交易处理和执行之间引入一个排序阶段，确保交易的执行顺序与处理顺序相同，并实现最终公正性。为了适应分片之间不同的共识速度，Haechi集成了一个最终公正性算法，以实现全局公平排序，并最小化性能损失。通过提供全局顺序，Haechi确保分片之间具有强一致性，从而更好地处理跨片冲突交易的并行性。这些特点使Haechi成为支持现实世界中流行智能合约的一个有前途的解决方案。为了评估Haechi在预防攻击方面的性能和有效性，我们使用Tendermint实现了该协议，并在地理分布的AWS环境中进行了大量实验。我们的结果表明，与现有的跨片共识协议相比，Haechi可以有效地防止已提出的前置攻击，并且性能牺牲较小。

论文链接：https://www.ndss-symposium.org/ndss-paper/front-running-attack-in-sharded-blockchains-and-fair-cross-shard-consensus/

58、GNNIC: Finding Long-Lost Sibling Functions with Abstract Similarity

生成大型程序的准确调用图，特别是在操作系统（OS）级别，是一个众所周知的挑战。这种困难源于大型程序中广泛使用间接调用，其中调用目标的计算被推迟到运行时以实现程序多态性。因此，编译器无法静态确定间接调用边缘。最近的进展尝试使用类型分析来全局匹配程序中的间接调用目标。然而，这些方法在处理大型目标程序或通用类型时仍存在低精度问题。

本文介绍了GNNIC，一种基于图神经网络（GNN）的间接调用分析器。GNNIC采用一种称为抽象相似性搜索的技术，精确识别大型程序中的间接调用目标。该方法基于一个观察结果，即虽然间接调用目标呈现复杂的多态行为，但它们共享共同的抽象特征，如函数描述、数据类型和调用的函数。我们将这些信息汇总到一个代表性抽象图（RAG）中，并利用GNN学习函数嵌入。抽象相似性搜索依赖于至少一个锚目标来引导。因此，我们还提出了一种新的程序分析技术，以局部确定每个间接调用的有效目标。

从锚目标开始，GNNIC可以扩展搜索范围，以在整个程序中找到更多间接调用的目标函数。

GNNIC的实施利用LLVM和GNN，并在多个OS内核上进行了评估。结果表明，GNNIC通过减少86%到93%的错误目标函数，胜过了最先进的基于类型的技术。此外，GNNIC生成的抽象相似性和准确的调用图可以通过发现新的漏洞、缓解路径爆炸问题，并改善静态程序分析的效率来增强安全应用。静态分析与GNNIC的结合导致在Linux和FreeBSD内核中发现了97个新漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/gnnic-finding-long-lost-sibling-functions-with-abstract-similarity/

59、GhostType: The Limits of Using Contactless Electromagnetic Interference to Inject Phantom Keys into Analog Circuits of Keyboards

键盘是各种关键计算机应用场景的主要外围输入设备。本文对键盘传感机制进行了安全分析，揭示了一种可以利用电磁干扰（EMI）以非接触方式注入键盘模拟电路的新型漏洞类别，从而引发虚假按键（phantom keys）---即虚构的按键。除了正常按键之外，这些虚拟按键还包括人类操作员无法实现的按键，例如每分钟快速注入超过10,000个按键和注入实际物理键盘上不存在的隐藏按键。虚拟按键注入的基本原理在于通过EMI耦合到矩阵电路上诱导键盘传感GPIO引脚上的虚假电压。我们从理论和经验两方面研究了注入信号的电压和时序要求，以建立虚拟按键注入理论。为了验证键盘传感漏洞的威胁，我们设计了GhostType，可以导致键盘拒绝服务，并注入随机按键以及对手选择的特定目标按键。我们在包括薄膜/机械结构和USB/蓝牙协议在内的20个品牌的50个现成键盘/键盘上验证了GhostType。GhostType的一些示例后果包括完全阻止键盘操作，导致下游计算机崩溃和关闭，以及在计算机上删除文件。最后，我们从调查中总结教训并提出包括EMI屏蔽、虚拟按键检测和按键扫描信号改进在内的对策措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/ghosttype-the-limits-of-using-contactless-electromagnetic-interference-to-inject-phantom-keys-into-analog-circuits-of-keyboards/

60、Gradient Shaping: Enhancing Backdoor Attack Against Reverse Engineering

当前大多数存在的检测植入后门的机器学习（ML）模型的方法可以归为两种：触发反转（又称逆向工程）和权重分析（又称模型诊断）。特别是，基于梯度的触发反转被认为是最有效的后门检测技术之一，这一点可以从TrojAI竞赛、木马检测挑战和backdoorBench的证据中得到证实。然而，目前很少有人研究为什么这一技术如此有效，更重要的是，它是否提高了后门攻击的难度。本文报告了第一次尝试回答这个问题，方法是分析植入后门模型在其携带触发输入周围的输出变化率。我们的研究表明，现有的攻击往往在触发输入周围注入后门，其特点是变化率较低，这种情况很容易被基于梯度的触发反转技术所捕捉。与此同时，我们发现，变化率较低并非后门攻击成功所必需：我们设计了一种新的攻击增强方法，称为梯度塑形（GRASP），它沿着对抗训练的反方向，减少了植入后门模型相对于触发的变化率，而不损害其后门效果。此外，我们提供了一个理论分析，解释这种新技术的有效性以及基于梯度的触发反转的基本弱点。最后，我们进行了理论和实验分析，表明GRASP增强并不会降低设计用于规避基于权重分析的后门检测方法的隐蔽攻击的有效性，也不会降低其他未使用检测方法的后门缓解方法的效果。

论文链接：https://www.ndss-symposium.org/ndss-paper/gradient-shaping-enhancing-backdoor-attack-against-reverse-engineering/

61、GraphGuard: Detecting and Counteracting Training Data Misuse in Graph Neural Networks

图神经网络（GNNs）在图数据分析中的出现以及它们在机器学习即服务平台上的部署引发了关于模型训练过程中数据误用的严重关切。由于本地训练过程缺乏透明度，这种情况进一步恶化，可能导致未经授权地积累大量图数据，从而侵犯数据所有者的知识产权。现有方法通常要么解决数据误用检测或缓解问题，主要针对本地GNN模型而非基于云的MLaaS平台。这些限制要求设计一种有效且全面的解决方案，既可以检测并缓解数据误用，又无需确切的训练数据，同时尊重这些数据的专有性质。本文介绍了一种名为GraphGuard的创新方法来解决这些挑战。我们提出了一种无需训练数据的方法，不仅能检测图数据的误用，还能通过有针对性的遗忘来减轻影响，而且全都不依赖于原始训练数据。我们的创新误用检测技术利用了具有放射性数据的成员推断，增强了成员和非成员数据分布之间的可区分性。为了缓解问题，我们利用合成图来模拟目标模型之前学到的特征，即使在没有确切图数据的情况下也能进行有效的遗忘。我们进行了全面的实验，利用四个真实世界的图数据集来证明GraphGuard在检测和遗忘方面的有效性。我们展示了GraphGuard在各种GNN模型下跨这些数据集实现了近乎100%的完美检测率。此外，它通过消除被遗忘的图的影响来进行遗忘，并在准确率下降轻微（小于5%）的情况下实现了这一目标。 

论文链接：https://www.ndss-symposium.org/ndss-paper/graphguard-detecting-and-counteracting-training-data-misuse-in-graph-neural-networks/

62、Group-based Robustness: A General Framework for Customized Robustness in the Real World

机器学习模型被认为容易受到规避攻击的影响，这些攻击会扰乱模型输入，导致错误分类。在这项工作中，我们确定了真实世界的情景，通过现有攻击无法准确评估真正的威胁。具体来说，我们发现传统的衡量有针对性和无目标性强度的指标并不能准确反映模型抵御一组源类到另一组目标类攻击的能力。为解决现有方法的缺点，我们正式定义了一个新的指标，称为基于群体的强度，该指标补充了现有指标，并更适合评估某些攻击情景下的模型性能。我们经验证实，基于群体的强度允许我们区分模型对特定威胁模型的脆弱性，而传统强度指标无法应用于这种情况。此外，为了有效精确地衡量基于群体的强度，我们1）提出两个损失函数和2）确定三种新的攻击策略。我们经验证明，使用我们的新损失函数找出规避样本，可节省计算量高达目标类数量的倍数，并使用我们的新攻击策略找出规避样本与蛮力搜索方法相比，节省时间高达99%。最后，我们提出了一种增加基于群体强度的防御方法，可将强度提高最多3.52倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/group-based-robustness-a-general-framework-for-customized-robustness-in-the-real-world/

63、HEIR: A Unified Representation for Cross-Scheme Compilation of Fully Homomorphic Computation

我们提出了一个新的编译器框架，可以自动化地在多个全同态加密（FHE）方案上生成代码。最近的研究表明，结合多个FHE方案（例如CKKS和TFHE）的算法既可以实现高执行效率，又可以实现任务效用。然而，为了在实际应用中开发快速的跨方案FHE算法，通常需要由密码专家进行大量手工调优，这可能导致高可用成本或低计算效率。为了解决可用性和效率的两难问题，我们设计并实现了HEIR，这是一个基于多级中间表示（IR）的编译器框架。为了实现高效的跨方案FHE电路的编译，我们开发了一个基于自定义IR方言的两阶段代码降低结构。首先，在转换阶段，将明文程序及其关联的数据类型转换为适合FHE的方言。然后，在优化阶段，我们应用FHE特定的优化方法将转换后的方言降低到我们底层的FHE库运算符。在实验中，我们实现了HEIR的整个软件栈，并展示了复杂的端到端程序，例如同态K均值聚类和数据库中的同态数据聚合，可以比当今最先进的FHE编译器生成的程序运行快72~179倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/heir-a-unified-representation-for-cross-scheme-compilation-of-fully-homomorphic-computation/

64、IDA: Hybrid Attestation with Support for Interrupts and TOCTOU

由于嵌入式和物联网设备的大量增加，远程认证近年来受到了广泛关注。在各种解决方案中，基于硬件-软件协同设计（混合）的方法尤其受欢迎，因为它们具有低开销但高效的方法。尽管混合方法非常有用，但仍然存在诸多局限，比如对认证密钥和受限操作和威胁模型的严格保护，如禁用中断和忽略时序检查时序使用（TOCTOU）攻击。

本文提出了一种名为IDA的新型混合认证方法，它消除了对禁用中断和对秘钥和认证代码的受限访问控制的要求，从而提高了系统的整体安全性和灵活性。IDA并不使用秘钥来计算响应，而是通过信任的硬件监控验证认证过程，并仅在准确遵循时认证其真实性。此外，为了防止TOCTOU攻击并处理中断，我们提出了IDA+，它在认证请求之间或在中断期间监控程序存储器，并通知验证程序对程序存储器的更改。我们在开源MSP430架构上实现并评估了IDA和IDA+，表明在运行时间、存储占用和硬件开销方面存在合理的开销，同时在对抗各种攻击情景中表现坚固。通过将我们的方法与最新技术进行比较，我们展示了它具有最小的开销，并能实现诸如支持中断和DMA请求以及检测TOCTOU攻击等重要新属性。

论文链接：https://www.ndss-symposium.org/ndss-paper/ida-hybrid-attestation-with-support-for-interrupts-and-toctou/

65、IRRedicator: Pruning IRR with RPKI-Valid BGP Insights

边界网关协议（BGP）提供了一种交换路由信息的方式，以帮助路由器构建其路由表。然而，由于缺乏安全考虑，BGP 遭受了诸如 BGP 劫持攻击等漏洞。为了缓解这些问题，已经使用了两种数据源，即互联网路由注册表（IRR）和资源公钥基础设施（RPKI），以提供 IP 前缀及其授权的自治系统（AS）之间的可靠映射。然而，每个数据源都有其自身的局限性。IRR 因其过时的 AS 信息而闻名于世，网络运营商由于没有足够的动机来及时更新，导致 Route 对象陈旧。而 RPKI 由于其操作复杂性而部署缓慢。在本文中，我们测量了IRR中路由对象和RPKI中ROA对象之间的流行不一致性。接下来，我们通过关注它们的BGP公告模式，分别对不一致和一致的路由对象进行表征。基于这一洞察，我们开发了一种利用机器学习算法识别陈旧路由对象的技术，并评估其性能。通过真实基于跟踪的实验，我们展示了我们的技术可以提供优势，将潜在陈旧路由对象的百分比从 72% 降低到 40%（整个IRR路由对象的百分比）。通过这种方式，我们实现了验证 BGP 公告的准确性的 93%，同时覆盖了 87% 的 BGP 公告。

论文链接：https://www.ndss-symposium.org/ndss-paper/irredicator-pruning-irr-with-rpki-valid-bgp-insights/

66、IdleLeak: Exploiting Idle State Side Effects for Information Leakage

现代处理器配备了许多特性，可以根据工作负载调节能量消耗。为此，软件通过专用指令（如hlt）将处理器核心置于空闲状态。最近，英特尔引入了C0.1和C0.2空闲状态。虽然以前只能通过特权操作到达空闲状态，但这些新的空闲状态也可以被非特权攻击者所达到。然而，这些空闲状态开放的攻击面仍不清楚。在本文中，我们提出了IdleLeak，一种利用新的C0.1和C0.2空闲状态的新型侧信道攻击，以两种不同的方式执行。具体而言，我们利用处理器的空闲状态C0.2来监控系统活动，并用于新颖的数据泄露手段，利用空闲状态C0.1来监控逻辑同级核心上的系统活动。IdleLeak仍然有效，无论受害者工作负载被调度到何处，即跨核心，这是由于低级别的x86设计。我们演示了IdleLeak在本机按键定时攻击中泄露了大量信息，实现了90.5%的F1分数和仅12微秒的定时预测标准误差。我们还演示了使用IdleLeak跟踪记录进行网站和视频指纹攻击，通过短时傅里叶变换进行预处理，并使用卷积神经网络进行分类。这些攻击在开放世界网站指纹识别（F1分数为85.2%）和开放世界视频指纹识别（F1分数81.5%）方面非常实用。我们在隐蔽通道场景中评估了IdleLeak侧信道的双向吞吐量，即使用中断和性能增强效果。通过性能增强效果，IdleLeak在本机情况下实现了7.1兆比特/秒的真实容量，在跨虚拟机情况下为46.3千比特/秒。通过中断，在本机情况下，IdleLeak实现了656.37千比特/秒。我们得出结论，在运行不受信任的代码时，无论是个人还是云环境中，都需要采取针对IdleLeak的缓解措施。

论文链接：https://www.ndss-symposium.org/ndss-paper/idleleak-exploiting-idle-state-side-effects-for-information-leakage/

67、Improving the Robustness of Transformer-based Large Language Models with Dynamic Attention

基于Transformer的模型，如BERT和GPT，由于其出色的性能在自然语言处理（NLP）领域被广泛采用。然而，最近的研究显示它们对文本对抗攻击的脆弱性，即模型的输出可以被有意识地操纵文本输入而误导。尽管已经提出了各种方法来增强模型的鲁棒性和减轻这种脆弱性，但许多方法需要大量资源消耗（例如对抗训练），或者只提供有限的保护（例如防御性辍学）。在本文中，我们提出一种名为动态注意力的新方法，专门针对Transformer架构，以增强模型本身对各种对抗攻击的内在鲁棒性。我们的方法不需要下游任务知识，也不需要额外成本。提议的动态注意力包括两个模块：（i）注意力修正，即遮蔽或削弱所选标记的注意力值，以及（ii）动态建模，即动态构建候选标记集。大量实验证明，相比于先前方法，动态注意力显著减轻了对抗性攻击的影响，提高了高达33%。动态注意力的模型级设计使其能够轻松地与其他防御方法（例如对抗训练）结合，进一步增强模型的鲁棒性。此外，我们证明了与其他动态建模方法相比，动态注意力保留了原始模型的最先进鲁棒性空间。

论文链接：https://www.ndss-symposium.org/ndss-paper/improving-the-robustness-of-transformer-based-large-language-models-with-dynamic-attention/

68、Inaudible Adversarial Perturbation: Manipulating the Recognition of User Speech in Real Time

自动语音识别（ASR）系统已被证明容易受到对抗性示例（AEs）的攻击。最近的成功都假设用户不会注意到或干扰攻击过程，尽管存在类似音乐/噪音的声音和语音助手的即时响应。然而，在实际用户现场场景中，用户意识可能会使现有的攻击尝试无效，从而启动意外声音或ASR使用。在本文中，我们试图填补现有研究的差距，并将攻击扩展到用户现场场景。我们提出了VRIFLE，一种通过超声波传输的不可听见的对抗性扰动（IAP）攻击，可以在用户说话时操纵ASRs。可听声音和超声波之间的固有差异使得IAP传递面临前所未有的挑战，如失真、噪音和不稳定性。在这方面，我们设计了一个新颖的超声变换模型，以增强精心设计的扰动的物理有效性，甚至能在长距离传输中生存下来。我们通过在生成过程中对用户和现实世界变化进行一系列增强，进一步提高了VRIFLE的鲁棒性。通过采用修改和静音策略来抑制用户干扰的影响，VRIFLE可以对来自不同距离的各种用户语音实时输出进行有效的操纵。我们在数字和物理世界中进行了大量实验证实了VRIFLE在各种配置下的有效性，对六种防御的鲁棒性，以及在针对性方面的普遍性。我们还展示了VRIFLE可以通过便携式攻击设备甚至日常生活扬声器来传递。

论文链接：https://www.ndss-symposium.org/ndss-paper/inaudible-adversarial-perturbation-manipulating-the-recognition-of-user-speech-in-real-time/

69、Information Based Heavy Hitters for Real-Time DNS Data Exfiltration Detection

在最近几年中，关于通过DNS协议进行数据外泄及其检测的研究得到了广泛开展。先前的研究主要集中在离线检测方法上，尽管这些方法能够检测到攻击，但在攻击被检测和处理之前，允许大量数据被外泄。在本文中，我们介绍了基于信息的重点检测（ibHH）方法，这是一种实时检测方法，其基于对注册域名传输的信息量的实时估计。ibHH使用恒定大小的内存并支持恒定时间的查询，这使其适合部署在递归DNS服务器上，以进一步减少检测和响应时间。在我们的评估中，我们将所提出的方法的性能与实际数据集上的领先DNS外泄检测方法进行了比较，该数据集包括2500亿个DNS查询。评估表明，ibHH成功地能够检测到慢至0.7B/s的外泄率，并且误报警报率低于0.004，与其他方法相比，资源消耗明显更低。

论文链接：https://www.ndss-symposium.org/ndss-paper/information-based-heavy-hitters-for-real-time-dns-data-exfiltration-detection/

70、Invisible Reflections: Leveraging Infrared Laser Reflections to Target Traffic Sign Perception

所有车辆必须遵守管理交通行为的规则，无论是人驾驶的还是连接的自动驾驶车辆（CAVs）。道路标志指示本地有效的规则，如限速和礼让或停车要求。最近的研究表明了攻击，比如在标志上贴贴纸或投射彩色斑块，导致CAV误解，可能造成安全问题。人类可以看到并可能防御这些攻击。但人类无法察觉看不到的东西。我们开发了一种有效的物理世界攻击，利用无滤波图像传感器的灵敏度和红外激光反射（ILRs）的特性，这对人类是看不见的。这种攻击旨在影响CAV相机和感知，通过诱导误分类来破坏交通标志识别。在这项工作中，我们制定了基于ILR的交通标志感知攻击的威胁模型和要求以取得成功。我们通过对四个红外敏感相机进行真实世界实验来评估ILR攻击的有效性，针对两种主要的交通标志识别架构进行攻击。我们的黑匣优化方法使攻击在室内静态场景中可以达到高达100%的攻击成功率，在室外移动车辆场景中可以达到≥80.5%的攻击成功率。我们发现最新的体系结构认证防御对ILR攻击无效，因为它错误认证了≥33.5%的案例。为了解决这个问题，我们提出了一种基于红外激光反射物理特性的侦测策略，可以检测到96%的ILR攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/invisible-reflections-leveraging-infrared-laser-reflections-to-target-traffic-sign-perception/