网络安全顶会——S&P '24 论文清单、摘要(上)

cc668d6c6d304fab47270eb8ba1243ed.png

1、"False negative - that one is going to kill you." - Understanding Industry Perspectives of Static Analysis based Security Testing

随着对自动化安全分析技术的需求不断增加,如基于静态分析的安全测试(SAST)工具,研究人员和工具设计师必须了解开发人员如何看待、选择和使用SAST工具,他们对工具的期望是什么,是否了解工具的限制以及如何解决这些限制,才能开发出有效利用的SAST。本文描述了一项定性研究,探讨了使用SAST工具的开发人员经历的假设、期望、信念和挑战。我们对拥有各种软件开发专业知识以及各种独特安全、产品和组织背景的20名从业者进行了深入的半结构化访谈。我们确定了17个关键发现,揭示了与SAST工具相关的开发人员看法和期望,并揭示了现状中存在的差距-挑战长期以来对SAST设计优先事项的信仰。最后,我们针对我们的研究结果提供了具体的未来方向,供研究人员和从业者参考。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a019/1RjE9Wb4Wze

0f3a0903e52a0bb21fcda76757ce242c.png

2、"Len or index or count, anything but v1": Predicting Variable Names in  Decompilation Output with Transfer Learning

二进制逆向工程是由熟练且昂贵的人类分析师执行的一项费时费力的任务。关于源代码的信息在编译过程中是不可逆地丢失了。虽然现代反编译器试图从二进制生成C风格的源代码,但它们无法恢复丢失的变量名称。先前的研究探讨了用于预测反编译代码中变量名的机器学习技术。然而,最先进的系统DIRE和DIRTY对于测试集中未包含在训练集中的函数表现不佳——DIRE在DIRTY的数据集上为31.8%,DIRTY在DIRTY的数据集上为36.9%。在本文中,我们提出了VarBERT,一个用于预测反编译输出中有意义的变量名的双向编码器来自Transformers(BERT)。VarBERT的一个优势是我们可以在人类源代码上进行预训练,然后微调模型以完成预测变量名的任务。我们还创建了一个新的数据集VarCorpus,显著扩展了数据集的规模和种类。在VarCorpus上对VarBERT的评估表明,它在预测开发者原始变量名称方面取得了显著改进,为IDA实现了54.43%的准确率,为Ghidra实现了54.49%的准确率。VarBERT严格优于最先进的技术:在VarCorpus的一个子集上,VarBERT能够预测开发者原始变量名的时间为50.70%,而DIRE和DIRTY分别为35.94%和38.00%。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a152/1Ub24apzuq4

c1d7172421d23882d026deb8d18d0ddc.png

3、A Representative Study on Human Detection of Artificially Generated Media Across Countries

人工智能生成的媒体已经成为我们已知的数字社会的威胁。这些伪造品可以基于公开可用的技术自动大规模创建。为了应对这一挑战,学术界和从业者已经提出了多种自动检测策略来检测这种人工媒体。然而,与这些技术进步相比,人类对生成的媒体的感知尚未得到彻底研究。在本文中,我们旨在弥补这一研究空白。我们进行了首次全面调查,以了解人们识别生成媒体的能力,涵盖了美国、德国和中国三个国家,在音频、图像和文本媒体方面共有3,002名参与者。我们的结果表明,最先进的伪造品几乎无法与“真实”媒体区分开来,大多数参与者在被要求将其评为人类生成或机器生成时只能猜测。此外,人工智能生成的媒体在所有媒体类型和所有国家中都被投票为更像人类。为了进一步了解影响人们识别生成媒体能力的因素,我们根据深度伪造和假新闻研究领域的文献综述,包括个人变量。在回归分析中,我们发现广义信任、认知反思和自我报告的深度伪造熟悉度显著影响参与者在所有媒体类型上的决定。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a159/1Ub24iZeb2U

0ecdc6e3526b36e2f423fb8a0625d144.png

4、A Systematic Study of Physical Sensor Attack Hardness

对机器人车辆(RV)的物理传感器攻击已经成为一个严重关注的问题,因为它们的普遍性和潜在的物理威胁。然而,RV软件开发人员通常没有部署适当的对策。这种犹豫来自于他们的信念,即攻击者在进行传感器攻击时面临重大挑战,例如在硬件中消除传感器冗余和在软件中绕过传感器过滤器。然而,我们发现攻击者可以通过满足特定先决条件和精细调节攻击参数来克服这些挑战。开发人员的误解源于他们缺乏对攻击者在成功实现攻击目标时所面临的难度水平的研究,我们将其称为“攻击难度”。在本文中,我们考察了12种著名传感器攻击的难度。我们首先确定了成功进行攻击所需的先决条件。然后,我们将每种攻击的难度量化为特定攻击启用实际世界中先决条件的频率。为了自动化这种分析,我们引入了RVPROBER,一个攻击先决条件分析框架。RVPROBER发现,这12种传感器攻击需要平均4.4个先决条件,突显了以往文献经常忽略执行这些攻击所需的重要细节。通过满足确定的先决条件并调节攻击参数,我们将成功攻击的数量从6增加到11。此外,我们的分析显示,平均57.08%的实际RV用户容易受到传感器攻击。最后,从确定的先决条件开始,我们分析了每种攻击成功的原因,并发现了以前未知的根本原因,例如RV软件的故障逻辑设计缺陷。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a143/1Ub240Z7pBe

fdcf722028cc243c37793532838937ef.png

5、A Tale of Two Industroyers: It was the Season of Darkness

在这篇论文中,我们研究了两种试图在乌克兰制造停电的恶意软件。具体而言,我们设计并开发了一个新的沙箱,可以模拟不同的网络、设备和其他特征,以便我们可以执行针对变电站设备的恶意软件,并详细了解攻击者可能对变电站设备执行的具体行动顺序。我们还研究了未来类似恶意软件可能产生的影响。我们的研究结果包括以前未曾记录的新恶意软件行为(如MMS协议有效载荷的详细算法)以及攻击不同目标将产生不同影响的示例。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a162/1Ub24B7070k

934b1e4c6ea6cf6cca28f91f869bb729.png

6、AFGen: Whole-Function Fuzzing for Applications and Libraries

模糊测试技术已被广泛用于发现漏洞,但现有的模糊测试技术仍无法覆盖和探索应用程序或库中的所有功能。自动生成 API 函数的模糊测试组件的工作提供了一种直接测试目标函数的方法。然而,将这些方法应用到项目(例如库)的任意内部函数是具有挑战性的。具体来说,API 函数的上下文通常对用户来说简单明了,但内部函数的复杂依赖关系导致更复杂的运行上下文和对参数的约束,使得难以有效生成模糊测试组件。在本文中,我们提出了全函数模糊测试,这是一种“自下而上”的方法,通过涵盖所有函数来对应用程序和库进行模糊测试。我们认为,如果通过牺牲精度来获得完整的函数覆盖,则对漏洞发现是有益的,这可以通过精心设计来缓解。为此,我们设计并实现了 AFGEN,一个自动全函数模糊测试框架。给定一个目标函数,AFGEN 将生成一个模糊测试组件,以达到具有适当初始程序上下文的目标函数,并根据发现的崩溃的约束来完善模糊测试组件。具体而言,它根据控制流和数据流依赖性切片目标函数的调用语句,为切片代码中使用的必要变量分配值以确保它们符合其类型,并搜索与崩溃相关的变量的约束语句。通过这种方式,AFGEN 生成具有低误报率的模糊测试组件。为验证 AFGEN 的有效性,我们从 11 个开源项目中收集了 102 个已知漏洞。AFGEN 成功为所有脆弱函数创建了模糊测试组件,并识别了这些已知漏洞中的 66 个,这优于所有比较工具,并发现了第二好的模糊测试工具(即 AFL++)发现的漏洞数量的 2 倍。AFGEN 触发的崩溃实现了 77.1% 的精度,是 FUDGE 的 10 倍。AFGEN 还发现了 24 个通过 CVE ID 确认的未知漏洞。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a011/1RjE9PjiDss

49c11eeaede0a9632d36cb33d0916463.png

7、ALIF: Low-Cost Adversarial Audio Attacks on Black-Box Speech Platforms using Linguistic Features

广泛的研究表明,对抗性样本(AE)对语音可控智能设备构成重大威胁。最近的研究提出了仅需要自动语音识别(ASR)系统的最终转录的黑盒对抗攻击。然而,这些攻击通常涉及对ASR的多次查询,造成相当大的成本。此外,基于AE的对抗音频样本容易受到ASR更新的影响。在本文中,我们找出了这些限制的根本原因,即无法直接围绕深度学习(DL)模型的决策边界构建AE攻击样本。基于这一观察结果,我们提出了ALIF,第一个基于对抗语言特征的黑盒攻击管道。我们利用文本转语音(TTS)和ASR模型的互为过程,在语言嵌入空间中生成扰动,从而找到决策边界所在的位置。基于ALIF管道,我们提出了ALIF-OTL和ALIF-OTA方案,用于在四种商用ASR和语音助手中发起攻击,分别在数字领域和物理回放环境中进行。广泛的评估表明,ALIF-OTL和-OTA分别提高了97.7%和73.3%的查询效率,同时与现有方法相比表现出竞争性能。值得注意的是,ALIF-OTL可以仅通过一个查询生成攻击样本。此外,我们的时间测试实验证实了我们的方法对ASR更新的稳健性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a056/1RjEav0Daa4

c7288ee6d35c44a3594192ff06842b31.png

8、APP-Miner: Detecting API Misuses via Automatically Mining API Path Patterns

从源代码中提取API模式已被广泛应用于检测API误用。然而,最近的研究通常需要手动提供模式模板作为先决条件,这要求先前的软件知识,并限制了它们的提取范围。本文介绍了一种名为APP-Miner(API路径模式挖掘器)的新颖静态分析框架,通过频繁子图挖掘技术提取API路径模式,而无需使用模式模板。关键的洞察是API模式通常由API的数据相关操作组成,并且是普遍存在的。因此,我们将API路径定义为由API的数据相关操作组成的控制流图,因此API路径的最大频繁子图即为可能的API路径模式。我们实现了APP-Miner,并在四个广泛使用的开源软件上进行了广泛评估:Linux内核、OpenSSL、FFmpeg和Apache httpd。我们分别从上述系统中发现了116个、35个、3个和3个新的API误用。此外,我们还获得了19个CVE。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a043/1RjEahCVEXu

9caad86c087b7923aaeba93712be5902.png

9、AVA: Inconspicuous Attribute Variation-based Adversarial Attack bypassing DeepFake Detection

近年来,DeepFake 应用程序越来越受欢迎,但它们的滥用构成了严重的隐私威胁。不幸的是,大多数相关的检测算法以减轻滥用问题的措施基于建立在DNN-based分类模型之上,由于它们容易受到对抗性攻击而脆弱,因为文献表明,通过引入像素级扰动可以绕过这些检测算法。尽管已经提出了相应的缓解措施,但我们发现了一种新的基于属性变化的对抗性攻击(AVA),通过使用高斯先验和语义鉴别器的组合扰动潜在空间来绕过这种缓解。它扰乱了 DeepFake 图像的属性空间中的语义,这些对于人类来说是不明显的(例如,张开的嘴),但可以在 DeepFake 检测中产生实质性差异。我们在九种最先进的 DeepFake 检测算法和应用程序上评估了我们提出的 AVA 攻击。实证结果表明,AVA 攻击能够击败最先进的对 DeepFake 检测器的黑盒攻击,并在两种商业 DeepFake 检测器上实现了超过 95% 的成功率。此外,我们的人类研究表明,AVA 生成的 DeepFake 图像通常对人类来说几乎不可察觉,这带来了巨大的安全和隐私问题。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a155/1Ub24d2MQda

c4176a34743b093a18d3b8dc596988a4.png

10、AirTaint: Making Dynamic Taint Analysis Faster and Easier

动态污点分析(DTA)是一种广泛使用的数据流跟踪技术,有助于安全研究人员在各种应用中,如模糊测试和漏洞分析。影响其实用性的一个关键问题是显著的开销。根据我们的分析,在一些情况下,最先进的作品甚至会将程序执行效率降低超过100倍。高开销主要是因为大多数方法在指令级别上进行污点分析,并使用即时插装方法将跟踪代码插入原始程序中。在本文中,我们提出了一种新颖的方法AirTaint,将污点规则的基本块级抽象和汇编代码级插装结合起来进行高级动态污点分析。具体来说,AirTaint利用指令级模拟来识别每个基本块的输入和输出操作数(即寄存器和内存变量),然后使用现有的污点引擎推断每个基本块的污点规则抽象。最后,将污点规则抽象的汇编代码插入原始程序中。在运行时,程序将快速执行插入的污点分析代码。在我们基于9个实际应用程序中的14个CVE的评估中,AirTaint成功检测到所有这些漏洞。在比较实验中,AirTaint在29个实际应用程序中的效率要比现有工具表现得好得多,最大改进分别比libdft、SelectiveTaint和TaintRabbit高931.0倍、5.97倍和328.3倍。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a045/1RjEajj6rHa

209a8c7512eb3ef8a1a257f9e3cad4c6.png

11、Architectural Mimicry: Innovative Instructions to Efficiently Address Control-Flow Leakage in Data-Oblivious Programs

程序的控制流经常可以通过侧信道攻击来观察。因此,当控制流依赖于秘密时,攻击者可以了解关于这些秘密的信息。广泛使用的基于软件的对抗措施确保攻击者可以观察的控制流方面不依赖于秘密,依赖于诸如虚拟执行(用于平衡代码)或条件执行(用于使代码线性化)等技术。在当前的实践中,实现这些技术所需的原语必须在不事先设计提供它们的现有指令集架构(ISA)中找到,这导致性能、安全性和可移植性问题。为了应对这些问题,本文提出了支持这些技术的轻量级硬件扩展,以一种有原则的方式。我们提出了一种新颖的硬件机制(模拟执行),仅对指令流进行执行,以实现其攻击者可观察的效果,并抑制(大部分)体系结构效果,以及ISA支持(称为AMi,代表体系结构模拟)和编程模型,以有效地利用模拟执行来平衡或线性化代码。通过为一个泄露控制流的32位乱序RISC-V核心实现模拟执行和AMi,我们展示了我们提议的可行性和好处。我们的实验评估表明,硬件成本低(最重要的是,对处理器的关键路径没有影响),AMi能够显著提高性能。特别是,在我们的基准测试中,AMi将最先进的线性化代码的开销降低了60%。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a047/1RjEal0He5a

8a88ce26a5bc577baaae8e4f655d3442.png

12、Asterisk: Super-fast MPC with a Friend

多方安全计算(MPC)使多个相互不信任方持有的敏感数据进行隐私保护的协作计算成为可能。遗憾的是,在大多数方恶意腐败(也称为不诚实多数设置)的自然环境中,传统的MPC协议会产生高开销,并提供比实际应用需要的安全保障要弱。在本文中,我们探讨了通过假设添加一个半诚实、非串通的辅助方HP,规避这些缺点并实现具有强安全保障的实际高效不诚实多数MPC协议的可能性。我们认为这是一个更现实的替代方案,因为许多涉及潜在大量方(如暗池)的MPC的实际应用通常由可以模拟为HP的中央治理实体来实现。我们的框架仅需要调用HP恒定次数,实现了强公正性保证(所有方要么都学习输出,要么都不学习),并且可扩展到数百方,表现优于所有现有的不诚实多数MPC协议,并且实际上与最先进的诚实多数MPC协议相竞争。我们的实验表明,与最佳不诚实多数MPC协议相比,星号在预处理中实现了228-288倍的加速。就在线时间而言,星号支持在大约20秒内对具有10^6个乘法门的电路进行100方的评估。我们还使用星号实施和基准测试了实际高效且高度可扩展的暗池实例。相应的运行时间展示了星号在实现具有强安全保障的现实隐私应用的有效性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a128/1Ub23LgEu3K

8c49e07bdd7b9abdc9977fc4d4535cee.png

13、Attacking and Improving the Tor Directory Protocol

Tor网络通过将流量路由到志愿中间继节点的覆盖网络中来增强客户的隐私。Tor采用分布式协议,其中包括九个硬编码的目录权威(DA)服务器,用于安全地传播有关这些中继的信息,每小时生成一个新的共识文档。通过简单的投票机制来确保一致性,即使部分权威被 compromised,该协议也被期望是安全的。然而,当前的共识协议存在缺陷:它允许模棱两可的攻击,使得只有一个受损的权威能够创建带有恶意中继的有效共识文档。重要的是,这种漏洞并不无害:我们证明,受损的权威可以有效地欺骗一个有针对性的客户以一种无法检测的方式使用模棱两可的共识文档。此外,即使我们有自Tor开始以来的归档Tor共识文档可用,我们也无法确定是否曾经有客户被欺骗过。我们提出了一个两阶段的解决方案来解决这个漏洞。在短期内,我们开发并部署了TorEq,一个用于发现此类漏洞的监控程序:Tor客户端可以在更新共识前参考该监控程序,以确保没有模棱两可情况。为了主动解决问题,我们首先将Tor DA共识问题定义为来自分布式计算文献的交互一致性(IC)问题。然后,我们设计了DirCast,一个新颖的安全拜占庭广播协议,需要最少的代码更改从现有的Tor DA代码库中。我们的协议具有接近最佳的效率,使用乐观地五轮和最多九轮来在当前的九个权威系统中达成一致。我们的解决方案是实用的:我们的性能分析显示,我们的监控程序可以在五分钟内无需改变权威代码即可检测模棱两可情况;安全IC协议可以在真实场景中每小时生成多达500个共识文档。我们正在与Tor安全团队沟通,将解决方案整合到Tor项目中。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a083/1RjEaRA1Bq8

296f94c0d6f59d1d62f253a6e8264d9e.png

14、Automated Synthesis of Effect Graph Policies for Microservice-Aware Stateful System Call Specialization

我们提出了一个混合程序分析框架,自动合成描述容器化程序的可接受行为的有状态系统调用策略。给定容器镜像作为输入,该框架生成一个参考策略,编码了通过在从容器镜像元数据和环境中提取的约束条件下对应容器二进制入口点进行符号微执行而获得的安全自动机。我们通过为DARPA Cyber Grand Challenge(CGC)数据库中的25个挑战、5个真实的容器化程序(包括广泛使用的NGINX Web 服务器)和公共基准测试中的一个完整微服务应用程序综合安全策略来展示我们方法的实用性和实用性。我们在运行时策略监视器的保护下,分别对每个程序或微服务使用良性和攻击场景。此外,我们通过将我们合成的策略与四种最先进的系统调用专业化工具生成的策略进行比较来评估我们的方法。我们的结果表明,我们的技术可以扩展到大型程序,并准确提取简洁的参考应用程序模型进行安全监控。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a064/1RjEaBpaMSc

fab5f7114d4498746c831d84b84fec04.png

15、BENZENE: A Practical Root Cause Analysis System with an Under-Constrained State Mutation

Fuzzing在漏洞发现方面取得了巨大成功,并在当今的软件测试中起着至关重要的作用。尽管Fuzzing越来越受欢迎,但自动根本原因分析(RCA)却受到了较少关注。最近在RCA方面的一个进展是基于崩溃的统计调试,该方法利用程序执行中崩溃触发和非崩溃输入之间的行为差异。因此,获取接近原始崩溃的非崩溃行为对于以前的方法(如Fuzzing)来说至关重要但也具有挑战性。在本文中,我们提出了BENZENE,一个实用的端到端RCA系统,可促进自动崩溃诊断。为此,我们引入了一种新颖技术,称为不完全约束状态突变,用于生成既崩溃又非崩溃行为,以实现有效和高效的RCA。我们设计和实现了BENZENE原型,并用60个实际漏洞进行了评估。我们的实证结果表明,BENZENE不仅在性能(即根本原因排名)方面胜过以往方法,而且在速度(平均快4.6倍)和内存占用(平均少31.4倍)方面取得了优越结果。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a074/1RjEaJVHT4k

2cbf2bcc97c36af4096270e5191ef55d.png

16、BOLT: Privacy-Preserving, Accurate and Efficient Inference for Transformers

随着变压器的出现,传统机器学习任务取得了重大进展。然而,它们广泛部署引发了对推断期间敏感信息潜在泄漏的担忧。现有采用安全多方计算(MPC)的方法在应用于变压器时面临限制,因为模型规模庞大且资源密集的矩阵矩阵乘法。在本文中,我们提出了BOLT,一个用于变压器模型的隐私保护推断框架,支持高效的矩阵乘法和非线性计算。结合我们的新型机器学习优化,BOLT将通信成本降低了10.91倍。我们在各种数据集上的评估表明,与浮点模型相比,BOLT保持了可比的准确性,并在各种网络设置下实现了4.8-9.5倍的更快推断速度,超过了最先进的系统。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a130/1Ub23O2X00U

d8b88be846c6ebe638c05f285b275060.png

17、BULKOR: Enabling Bulk Loading for Path ORAM

忘却随机存取记忆(ORAM)是一种重要的密码学原语,旨在防止数据访问模式泄漏。随着最近ORAM协议的理论改进以及硬件安全执行环境(TEEs)的引入,ORAM已经成为越来越实用的设计,在现实世界中开始被采用在安全系统中。本文研究ORAM的批量加载问题,这可以使许多场景受益于安全云数据库系统,例如数据恢复、布局转换和查询处理。我们提出了BULKOR,这是一种最先进的Path ORAM协议的扩展。BULKOR支持在不受信任的服务器中部署TEE,并满足双重遗忘的要求,以减轻现代TEE中的侧信道问题。BULKOR不仅将理论复杂性从O(N log^3 N)改进到O(N log^2 N),同时提高了ORAM批量加载的实际性能,而不牺牲安全性保证。在采用ORAM在硬盘或内存中的各种设置中,它在性能上远远优于基线设计Oblix和ZeroTrace,分别提高了8.7倍至54.6倍和5.8倍至533.1倍。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a103/1Ub23aTrrDa

05185be3098efb3980348c8adaaf2735.png

18、BUSted!!! Microarchitectural Side-Channel Attacks on the MCU Bus Interconnect

Spectre和Meltdown推动了研究界对处理器微体系结构安全影响的理解,这是以前无法获得的。然而,研究工作主要集中在高端处理器(例如Intel、AMD、Arm Cortex-A),对于驱动数十亿小型嵌入式和物联网设备的微控制器(MCU)几乎没有进行过多研究。在本文中,我们介绍了BUSted。BUSted是一种新型侧信道攻击,探索了MCU总线互连仲裁逻辑的副作用,以绕过内存保护原语强制执行的安全保证。针对MCU的侧信道攻击带来了渐进和意想不到的挑战,这些挑战严格与这些系统的资源受限的特性相关(例如单核CPU,无状态总线)。我们提出了一个依赖于硬件小工具概念的独特方法。我们对搭载TrustZone-M的最新Armv8-M MCU进行了实际攻击,运行了Trusted Firmware-M(TF-M)。与Nemesis攻击相比,我们的攻击在Arm Cortex-M MCU上是可行的,我们的研究表明它可以跨越整个MCU系列。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a062/1RjEazNfZ5u

78c149df913b5ceeceea450cac85ee1c.png

19、Backdooring Multimodal Learning

深度神经网络(DNNs)容易受到后门攻击的影响,这种攻击会污染训练集以改变模型对具有特定触发器的样本的预测。尽管现有的努力主要集中在单模态场景上,但现代人工智能系统通常会运用多种模态以提高模型性能,这使得多模态后门攻击更加实际但结构更加复杂,因为存在固有的模态交互、多个攻击面、不平衡的模态贡献等因素。这些因素显著影响了后门多模态学习的有效性,但尚未得到充分调查。为了填补这一空白,我们提出了针对多模态学习的首个数据和计算高效的后门攻击。我们的解决方案包括两个创新。首先,我们提出了一种新颖的基于梯度的后门评分(BAGS),可以准确量化每个数据样本在后门学习中的贡献,并可以在非常早期的训练阶段就实现。因此,它可以极大地节省攻击者的时间和计算资源。其次,我们引入了一种具有两种攻击模式的搜索策略,以有效确定最优的毒害模态和数据样本。我们的方法导致以下研究结果。首先,我们全面评估了所提出的解决方案在最先进的多模态任务、模型、数据集和设置上的有效性、效率和可转移性,以验证其有效性。例如,我们只需污染训练样本的0.005%,就可以以>96%的成功率攻击视觉问答任务。对于音频视频语音识别任务,我们只需污染0.05%的样本就可以实现>93%的成功率。其次,在我们的实验中披露了几个有趣的发现:(1)毒害所有模态并不总是比单独使用更好,有时甚至会使攻击变得更糟;(2)模态竞争和互补共存于多模态学习的后门攻击中;(3)在多模态学习中占主导地位的模态可能无法主导后门攻击。我们希望这项工作能推动未来改善多模态学习安全性的研究。代码可在https://github.com/multimodalbags/BAGS_Multimodal获取。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a031/1RjEa7rmaxW

2374aefbb4817c328056081023d9f150.png

20、BadVFL: Backdoor Attacks in Vertical Federated Learning

联邦学习(FL)使多个参与方能够共同训练一个机器学习模型,而无需共享他们的数据;相反,他们在本地训练自己的模型,并将更新发送到中央服务器进行聚合。根据数据在参与方之间的分布方式,FL可以分为水平(HFL)和垂直(VFL)。在VFL中,参与方共享相同的训练实例集,但只托管不同且不重叠的整个特征空间的子集。而在HFL中,每个参与者共享相同的特征集,而训练集被分割为本地拥有的训练数据子集。VFL越来越多地用于金融欺诈检测等应用程序;然而,很少有研究分析其安全性。在本文中,我们重点关注VFL中的鲁棒性,特别是针对后门攻击,即对手试图在训练过程中操纵聚合模型以触发错误分类。在VFL中执行后门攻击比在HFL中更具挑战性,因为对手i)在训练期间无法访问标签,ii)不能更改标签,因为她只能访问特征嵌入。我们提出了VFL中首次独立标签后门攻击,它包含两个阶段:标签推断和后门阶段。我们展示了攻击在三个不同数据集上的有效性,调查了影响其成功的因素,并讨论了减轻其影响的对策。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a008/1RjE9MQ1fdC

da78484b2bf647f45f9f5bd2a47485ec.png

21、BounceAttack: A Query-Efficient Decision-based Adversarial Attack by Bouncing into the Wild

深度神经网络容易受到对抗性攻击的威胁。我们研究这种威胁在决策为基础的黑盒设置下,攻击者只能通过有限的查询获取受害者分类器的预测标签,旨在在不同的扰动约束下执行有针对性和无针对性的对抗性攻击。在本文中,我们提出BounceAttack作为一种查询高效的攻击方法。我们提出反弹向量,鼓励迭代在有限的查询内最大程度地探索对抗空间,朝向最佳对抗示例,以提高查询效率。我们在各种基准数据集和模型上进行了广泛实验。实验结果表明,BounceAttack既实现了高查询效率,又具有较小的扰动大小。与现有的攻击方法相比,BounceAttack表现更优。例如,使用相同数量的模型查询,BounceAttack平均比最先进的攻击方法减小了48.1%的扰动大小。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a068/1RjEaEvldVS

871de5e8618a310498528cd69b97f2d4.png

22、Bounded and Unbiased Composite Differential Privacy

差分隐私(DP)的目标是通过产生一个输出分布,使得任何两个相邻的数据库之间无法区分。然而,传统的差分隐私机制往往会产生无界的输出,以实现最大的扰动范围,这并不总是符合现实世界的应用。现有的解决方案试图通过采用后处理或截断技术来限制输出结果,但这会引入偏差问题。

本文提出了一种新颖的差分隐私机制,该机制使用复合概率密度函数生成任何数值输入数据的有界且无偏的输出。复合概率密度函数由激活函数和基本函数组成,允许用户根据DP约束定义函数,提供了灵活性。我们还开发了一种优化算法,可以在不需要重复实验的情况下进行迭代搜索最佳超参数设置,从而避免额外的隐私开销。此外,我们通过评估复合概率密度函数的方差并引入两个比方差估计更简单的替代度量标准,来评估所提出机制的效用。我们在三个基准数据集上进行的广泛评估显示,相较于传统的拉普拉斯和高斯机制,提出的有界且无偏的复合差分私有机制表现出了一致且显著的改进。这种提出的有界且无偏的复合差分隐私机制将支撑更广泛的差分隐私工具库,并促进未来的隐私保护研究。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a108/1Ub23g6KyME

fb37b2d2962b1783dd7a5b8c8ca0783f.png

23、Breach Extraction Attacks: Exposing and Addressing the Leakage in Second Generation Compromised Credential Checking Services

凭证调整攻击利用被泄露的密码生成语义上相似的密码,以获取对受害者服务的访问权限。这些攻击绕过了第一代被入侵的凭证检查(C3)服务。第二代被入侵的凭证检查服务,称为“我可能被入侵”(MIGP),是一个具有隐私保护协议,通过允许客户端查询服务器的被泄露凭证数据集中是否存在密码或语义上相似的变体,来防御凭证调整攻击。所需的隐私要求包括不向服务器透露用户输入的密码,并确保不向客户端披露被泄露的凭证。在这项工作中,我们形式化了MIGP协议的密码泄露,并进行了安全分析,评估了它对服务器持有的凭证的影响。我们关注这种泄漏如何促进违规提取攻击,其中一个诚实但好奇的客户端与服务器互动,以获取有关存储的凭证的信息。此外,我们发现由Cloudflare部署的MIGP实施而产生的额外泄漏。我们评估了所发现的泄漏对攻击者在与违规提取攻击相关的猜测能力的影响。最后,我们提出了MIGP 2.0,MIGP协议的一个新版本,旨在最小化数据泄漏并防止引入的攻击。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a114/1Ub23nm5zGM

2574dfe04be45311273e0ea1dddbf692.png

24、Break the Wall from bottom: Automated Discovery of Protocol-Level Evasion Vulnerabilities in Web Application Firewalls

网络应用防火墙(WAFs)是针对基于网络的攻击的关键防线。然而,一个新兴的威胁来自于协议级逃避漏洞,即对手利用WAF HTTP解析器与Web应用程序之间的解析差异来规避WAFs。目前,发现这些漏洞仍然依赖于手动的临时方法。在本文中,我们提出了一种名为WAF Manis的新型测试方法,可以自动发现WAFs中的协议级逃避漏洞。我们对14种流行的WAFs进行了评估,包括Cloudflare和ModSecurity,以及20种流行的Web框架,包括Laravel和Spring。总共,我们发现了311个影响所有测试过的WAFs和应用程序的协议级逃避情况。由于协议级逃避的通用性,这些逃避漏洞并不依赖于特定的有效载荷模式,并且可以传输任何恶意有效载荷 - 例如,SQL注入,XSS或Log4jShell - 到目标网站。我们进一步分析了这些漏洞,并确定了导致WAF逃避的三个主要原因。我们已向受影响的提供商报告了这些确定的漏洞,并从Cloudflare WAF,Fortinet WAF,阿里云WAF,华为云WAF,ModSecurity,Go安全团队和PHP安全团队获得了确认和漏洞赏金奖励。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a129/1Ub23M2l5UA

3a9937be9337d8850f58c86e3e005db8.png

25、CONJUNCT: Learning Inductive Invariants to Prove Unbounded Instruction Safety Against Microarchitectural Timing Attacks

过去十年来,由于各种硬件结构(如缓存、分支预测器、执行端口、TLB、预测等)引发了大量微体系结构侧信道攻击。这些攻击源自软件将敏感数据传递给所谓的不安全或传输指令,即其执行时间取决于操作数值的指令。相应地,出现了大量的防御措施(涵盖硬件和软件),试图实施政策:敏感数据不会传递给不安全指令的操作数。实施该政策假设能够识别给定微体系结构中的不安全指令。但这是相当困难的 --- 需要设计者分析潜在的动态指令组合,以找出它们之间可能存在的微妙相互作用。本文通过提出 CONJUNCT 来解决上述挑战。给定 RTL:CONJUNCT 证明,对于所有可能的执行,每个ISA指令是否安全,即 i)对于无限个周期安全,或者 ii)不安全。这是通过符号分析(生成示例)和归纳不变量学习(由这些示例引导)的组合来完成的,并借助我们展示对于分析处理器流水线中的信息流很有帮助的一种新颖的条件信息流谓词来实现。我们在几种不同复杂性的RISC-V微体系结构上展示了我们的分析,并用它来提取每个的安全/不安全集合。通过谨慎地使用程序综合,我们能够从头到尾自动化分析(几乎完全),例如,仅需要8个设计者注释即可完全分析 RISC-V RocketChip 核心。最后,我们通过几个案例研究展示了 CONJUNCT 如何被微体系结构师用于理解高级优化的安全性影响,以及 CONJUNCT 生成的不变量如何用于定位不安全性发生的微体系结构中的位置。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a176/1V5U7fT85IQ

11d47302b3b3ba244e7dc1f47fad17c0.png

26、Can we cast a ballot as intended and be receipt free?

本文探讨了收据自由性和意图一致性可验证性之间的交互作用,这是在收据自由投票协议的情境中直到现在才被忽视或被假定为通过程序手段来实现的性质。我们首先证明,如果投票过程是非交互式的,那么在没有可信任的权威机构的情况下,无法获得具有意图一致性可验证性的收据自由性投票协议。我们还证明,如果有一个可信任的选民登记机构可用,那么可以获得意图一致性可验证性和收据自由性。此外,在将标准的收据自由性安全定义扩展到交互式投票(和腐败)情境之后,我们证明了可以使用交互式投票过程获得相同的安全属性。最后,我们根据一个原型实现讨论了我们的协议的性能。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a172/1V5U7cQmQdW

7ca0ef73c6f4cc6cda445041ecc0ef7b.png

27、Casual Users and Rational Choices within Differential Privacy

鉴于最近隐私意识和数据所有权权利的增长,差分隐私(DP)已成为几个知名数据控制实体采用的一种有前途的技术。这引发了一个问题,即作为隐私威胁和风险的直接受害者,普通用户如何理解和认知DP及其关键参数ε,因为DP提供的保护取决于它。现有研究表明,只要通过文字和视觉辅助清晰地传达,普通用户有潜力理解DP的基本机制以及其对隐私-效用权衡的影响,并据此做出关于在DP保护下共享其数据的决定。然而,这些尝试要么只隐含地提到ε的一些可能值,如低、中、高,要么干脆在沟通中完全忽略它。在本文中,我们对426名受试者进行了一项不同受试者用户研究,以调查九种交互式视觉工具对于在涉及发布阳性COVID-19检测结果的数据共享场景中明确和连续地传达ε的有效性。这些交互式视觉工具允许普通用户可视化DP对各种ε值的数据准确性和/或隐私损失的影响。我们发现,结合隐私损失组件的可视化对协助用户选择接近专家建议值的数值有显著影响。然而,根据DP噪声和基础数据之间的比率,准确性损失组件对用户ε决策的影响有所不同;相对误差越大,选择的ε值就越大,反之亦然。因此,应谨慎进行准确性描绘。我们将研究结果放在现有文献中,并总结对有效地利用我们的研究结果向普通用户传达DP的见解和建议。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a088/1Ub22UPYcsU

4087f4c5bf3ce1170b487e48e2d5fcf4.png

28、Cerberus: Enabling Efficient and Effective In-Network Monitoring on Programmable Switches

随着网络流量的增加和新类型的攻击的出现,传统的网络监视在确保网络安全和性能方面面临着重大挑战。基于可编程交换机的网络内监视(INM)系统,即基于P4的INM系统,已经成为一种更有前景的高性能和实时网络监视方法。然而,现有的基于P4的INM系统在处理多样化和高流量的INM任务(如多向量DDoS防御)方面存在资源限制。更糟糕的是,攻击者可能会试图动态改变攻击向量来破坏无法适应的系统,甚至导致对INM的拒绝服务(DoS)攻击。为了应对这些挑战,我们提出了Cerberus,一种高效且有效的网络内安全监视系统。为了支持各种INM任务,我们将其抽象为关键特征(K-F)对,并设计一种新颖的内存切片机制来在多个K-F对之间共享内存。为了处理高流量,我们提出了一种新的共同监视机制,该机制补充了数据和控制平面,从而极大地提高了Cerberus的效率。为了适应不断变化的网络条件,我们设计了一个新的资源管理器,动态重新分配资源用于INM任务,并调整数据和控制平面的负载,而不会中断正在运行的服务。我们设计了一系列的INM模块,包括DDoS防御,并开发了Cerberus的原型。我们进行了广泛的评估来证明Cerberus可以将可编程交换机的并发性和容量提高一个数量级。此外,Cerberus在处理各种INM任务方面更具适应性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a016/1RjE9TO2JbO

418d9aa14285bd851ee68884526f1e79.png

29、Certifying Zero-Knowledge Circuits with Refinement Types

零知识(ZK)证明系统已经成为构建安全敏感应用程序的一个有希望的解决方案。然而,在ZK应用程序中的错误非常难以检测,并且可能使恶意方在不留下任何可观察痕迹的情况下静默地利用系统。本文介绍了CODA,这是一种用于构建零知识应用程序的新颖的静态类型语言。最关键的是,CODA通过丰富的细化类型系统,使得能够形式化地指定和静态检查ZK应用程序的属性成为可能。在形式化验证ZK应用程序中的一个关键挑战是,它们需要对大素数域上的多项式方程进行推理,这超出了自动定理证明器的能力。CODA通过生成一组可以在交互方式下借助策略库证明的Coq引理来缓解这一挑战。我们已经使用CODA从广泛使用的Circom库和应用程序中重新实现了77个算术电路。我们的评估表明,CODA使得能够指定这些电路的重要性并形式化验证其正确性属性成为可能。我们的评估还揭示了原始Circom项目中的6个以前未知的漏洞。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a078/1RjEaNkBQIg

ebc0d15166e6f5dc931310326c1a44d8.png

30、Chronos: Finding Timeout Bugs in Practical Distributed Systems by Deep-Priority Fuzzing with Transient Delay

在复杂的分布式环境中,延迟是不可避免的。超时机制通常用于处理分布式系统中的意外故障。然而,超时处理不正确或超时机制的实现错误可能导致系统死机或崩溃。这种超时错误可能是至关重要的,并对分布式系统的可用性和安全性构成重大威胁。在这项工作中,我们介绍了一个名为Chronos的通用测试框架,用于自动检测具有深优先瞬时延迟的分布式系统中的超时错误。首先,我们提出了通用的运行时延迟库,动态地在被测试的分布式系统中注入细粒度延迟。为了有效地触发延迟并不断探索深层路径中的超时错误,Chronos利用深度优先引导模糊测试,在运行时动态生成高质量的延迟序列。然后,Chronos利用瞬时延迟消除由实际延迟引起的时间开销,加快测试过程。我们在四个广泛使用的分布式系统上实施并评估了Chronos,包括ZooKeeper、MySQL-Cluster、HDFS和Go-Ethereum。与最先进的技术Random、BruteForce和Coverage-Guided故障注入相比,Chronos分别覆盖了26.40%、21.69%和15.14%更多的超时机制逻辑。此外,Chronos在这些真实应用程序中检测到了27个超时错误,这些错误已经被相应的维护人员修复。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a109/1Ub23heRtUA

84300f825af960b182642fadb30da7ea.png

31、Cohere: Managing Differential Privacy in Large Scale Systems

当隐私保护分析和隐私合规新系统的出现开始显现时,如今系统中需要一个隐私管理层。因此,许多独立的努力已经涌现出来,试图为隐私提供系统支持。最近,系统中使用的隐私解决方案范围已扩展到包括更复杂的技术,如差分隐私(DP)。在大规模系统中使用这些解决方案带来了新的挑战和需求。需要谨慎的规划和协调,以确保隐私保证在广泛的异构应用程序和数据系统中得以保持。这需要新的解决方案来管理和分配有限且不可再生的隐私资源。在本文中,我们介绍了Cohere,这是一个简化在大规模系统中使用差分隐私的新系统。Cohere实现了一个统一接口,允许异构应用程序在对用户数据的统一视图上运行。在这项工作中,我们进一步解决了在实际部署中出现的两个迫切的系统挑战:确保隐私基础应用程序的连续性(即防止隐私预算耗尽)以及有效地分配有限的共享隐私资源(即预算)在复杂偏好下。我们的实验表明,Cohere在一系列复杂工作负载中相较于现有技术取得了6.4至28倍的效用改进。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a122/1Ub23vHgIGk

c82616f156827bc79d24b58c2497de3b.png

32、Combing for Credentials: Active Pattern Extraction from Smart Reply

预训练的大型语言模型,如GPT-2和BERT,通常会被微调以在下游任务中取得最先进的性能。一个自然的例子是“智能回复”应用程序,其中一个预训练模型被调整以为给定的查询消息提供建议的回复。由于调整数据通常是敏感数据,如电子邮件或聊天记录,因此了解和减轻模型泄漏其调整数据的风险是非常重要的。我们调查了典型“智能回复”管道中潜在的信息泄露漏洞。我们考虑了一个现实的情景,攻击者只能通过一个前端界面与底层模型进行交互,该界面限制了可以发送给模型的查询类型。先前的攻击在这些设置中不起作用,但需要能够直接向模型发送无限制的查询。即使没有对查询的限制,以前的攻击通常需要成千上万,甚至数百万次的查询来提取有用的信息,而我们的攻击只需要几次查询就可以提取敏感数据。我们引入了一种新型的主动提取攻击,利用包含敏感数据的文本中的规范模式。我们通过实验证明,即使在所有与模型的交互都必须通过限制查询类型的前端进行的现实设置中,攻击者也可以提取出训练数据中存在的敏感用户信息。我们探讨了潜在的缓解策略,并实证地表明差分隐私似乎是一种相当有效的防御机制,用于防止这种模式提取攻击。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a041/1RjEafGRkWc

914d28fec5b72d993cf978ec2354befd.png

33、Communication-efficient, Fault Tolerant PIR over Erasure Coded Storage

私人信息检索(PIR)是一种技术,客户可以从公共数据库检索项目,而不向对抗性服务器透露被查询的项目。虽然多服务器PIR已经得到广泛研究,以获得相对于单服务器方案更好的通信和计算,但远远较少的容错PIR方案可以即使在存在恶意对手的情况下仍能正常工作。在本文中,我们提出了一种解决方案,结合了来自密码学和信息论社区的技术,设计出更为健壮的PIR协议,相比以前的最先进方案,获得更好的计算、通信和存储。我们的研究结果显示,我们的PIR协议在数据库大小为4GB时,可以实现高达9.1倍更低的延迟,至少总通信量减少39.2倍,以及高达7.3倍的计算量减少,可以承受两个恶意服务器,且在各种参数配置和故障场景下持续优于健壮的PIR基准。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a168/1Ub24IZvLRm

2238e451b012da48e110b306e5ca5502.png

34、Conning the Crypto Conman: End-to-End Analysis of Cryptocurrency-based Technical Support Scams

加密货币的主流采用导致普通用户在社交媒体平台上报告的与钱包有关的问题急剧增多。同时,出现了一种名为基于加密货币的技术支持诈骗的新兴诈骗趋势,诈骗者提供虚假的钱包恢复服务,针对遇到钱包相关问题的用户。在本文中,我们对基于加密货币的技术支持诈骗进行了全面研究。我们提出了一个称为HoneyTweet的分析工具,用于分析这种诈骗。通过HoneyTweet,我们发布了25,000条虚假钱包支持推文(称为蜜汁推文),吸引了超过9,000名诈骗者。然后,我们部署自动化系统与诈骗者进行互动,分析他们的作案手法。在我们的实验中,我们观察到诈骗者以Twitter作为诈骗的起点,然后转向其他沟通渠道(例如电子邮件、Instagram或Telegram)以完成欺诈活动。我们跟踪诈骗者在这些沟通渠道上,并诱使他们透露付款方式。根据支付方式,我们发现了两类诈骗者,其中一类要求受害者提交秘密关键短语,另一类则要求直接向他们的数字钱包付款。此外,我们通过部署假钱包地址和验证私钥被盗来获得诈骗确认。我们还与知名的支付服务提供商合作,共享诈骗者数据集。支付服务提供商的反馈与我们的发现一致,从而支持我们的方法和结果。通过在各个视角上综合分析,我们提供了一种端到端的诈骗生命周期分析,并提出了减少诈骗的建议。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a156/1Ub24dUICVq

d512279f696ba6019b6f91e723de26aa.png

35、DPI: Ensuring Strict Differential Privacy for Infinite Data Streaming

流数据在应用领域如众包分析、行为研究和实时监测等方面起着至关重要的作用,由于与个人相关的大量且多样化的数据,面临着重大的隐私风险。特别是最近为了发布数据流,利用严格的差分隐私概念(DP),遇到了无界隐私泄漏的问题。这一挑战限制了它们仅适用于有限数量的时间槽(“有限数据流”)或放松对活动的保护(“事件或w事件DP”),而不是所有用户的所有记录。一个持久的挑战是在用户贡献许多活动并且数据分布随时间演变的情况下,管理输出对输入的敏感性。在本文中,我们提出了一种针对无限披露的差分私密数据流(DPI)的新技术,它有效地限制了每个用户在无限数据流中的总隐私泄漏,同时实现准确的数据收集和分析。此外,我们还通过一种新颖的 boosting 机制最大化了 DPI 的准确性。最后,通过在各种流应用和真实数据集(如 COVID-19、网络流量和 USDA 生产)上进行广泛实验,表明 DPI 在不同设置中为无限数据流保持高效用性。DPI 的代码可在 https://github.com/ShuyaFeng/DPI 上找到。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a124/1Ub23xNh0fS

92ddc2e4e1560272036b5cb057db1750.png

36、DY Fuzzing: Formal Dolev-Yao Models Meet Cryptographic Protocol Fuzz Testing

加密协议中已经多次发现设计和实现中存在缺陷。其中一个突出的漏洞类别是逻辑攻击,例如利用有缺陷的协议逻辑的攻击。基于Dolev-Yao(DY)攻击者的自动形式验证方法在定义和发现这类缺陷方面表现出色,但仅在抽象规范模型上操作。对现有协议实现的完全自动验证如今仍然是不可企及的。这导致了这些实现是否安全的问题。不幸的是,这个盲点掩盖了许多攻击,例如最近的逻辑攻击针对由实现错误引入的广泛使用的TLS实现。我们提出了一种新颖有效的技术,称为DY模型引导模糊测试,以防止针对协议实现的逻辑攻击。主要思想是将DY攻击者的抽象DY执行集合视为可能的测试案例,并使用基于变异的新型模糊测试器来探索这个集合。DY模糊器将每个抽象执行具体化,以在被测试程序上进行测试。这种方法使得能够在更结构化和安全相关的消息水平上进行推理,消息以形式术语表示(例如解密消息并使用不同密钥重新加密)而不是进行随机位级修改,这种修改不太可能产生相关的逻辑对抗行为。我们实现了一个完整且模块化的DY协议模糊测试器。通过对三个流行的TLS实现进行模糊测试,我们证明了其有效性,并发现了四个新型漏洞。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a096/1Ub234bjuWA

e6ae8552c94932e29183006357884bbe.png

37、DeepShuffle: A Lightweight Defense Framework against Adversarial Fault Injection Attacks on Deep Neural Networks in Multi-Tenant Cloud-FPGA

FPGA虚拟化已经引起了行业和学术界的广泛关注,因为它旨在实现能够在单个FPGA上容纳多个用户电路的多租户云系统。尽管这种方法极大地增强了硬件资源利用效率,但也引入了新的安全顾虑。作为代表性研究,一种最先进的对抗性故障注入攻击,名为Deep-Dup,展示了多租户云-FPGA系统中离片数据通信的漏洞。Deep-Dup攻击成功地演示了在黑盒设置中通过仅对极少量的敏感权重数据传输进行故障注入,通过一个强大的差分进化搜索算法识别这些数据,来完全破坏各种深度神经网络(DNNs)。这种新兴的对抗性故障注入攻击揭示了保护多租户云-FPGA系统上的DNN应用所需的有效防御方法的迫切性。本文首次提出了一个面向移动目标防御(MTD)的防御框架DeepShuffle,通过一种新颖的轻量级模型参数打乱方法,可以有效地保护多租户云-FPGA上的DNN免受SOTA Deep-Dup攻击。DeepShuffle通过改变权重传输顺序有效地抵御了Deep-Dup攻击,这有效地阻止了对手通过在每一轮推理中的权重传输重复性来识别安全关键的模型参数。重要的是,DeepShuffle代表了一种无需训练的DNN防御方法,它利用DNN架构的类型来实现轻量级。此外,DeepShuffle的部署既不需要任何硬件修改,也不会导致性能下降。我们在SOTA开源FPGA-DNN加速器Vertical Tensor Accelerator(VTA)上评估了DeepShuffle,这代表了现实世界中FPGA-DNN系统开发人员的实践。然后我们评估了DeepShuffle的性能开销,发现与未受保护的基线相比,只会消耗额外的约3%的推理时间。DeepShuffle能够显著提高各种SOTA DNN架构(如VGG,ResNet等)对Deep-Dup的鲁棒性。它能够有效地将依赖进化搜索的对抗性故障注入攻击的效果降低至接近于随机故障注入攻击,例如在VGG-11上,即使攻击者的努力增加了2.3倍,我们的防御相比于未受保护的基线显示了约93%的准确率提高。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a034/1RjEa9WUlPi

dfa67a78e417c39f6af53357c285b59a.png

38、Device-Oriented Group Messaging: A Formal Cryptographic Analysis of Matrix’ Core

着重于其加密核心,我们提供了Matrix安全组消息传递协议的第一个正式描述。观察到文献中没有现有的安全消息传递模型能够捕捉用户、设备和他们所属群组之间的关系(和共享状态),我们引入了设备导向的组消息传递模型来捕捉Matrix协议的这些关键特征。利用我们的新形式化方法,我们确定Matrix实现了保密性和认证等基本安全概念,前提是引入经过验证的组成员身份。另一方面,虽然Matrix中的状态共享功能与文献中的高级安全概念——前向和事后妥协安全——相冲突,但它使历史共享和账户恢复等功能成为可能,引发了更广泛的问题,关于这些安全概念应该如何被理解的问题。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a075/1RjEaKIOuzu

f7021c1d58e15bfddab1a1a8dfcb3ee8.png

39、Digital Security — A Question of Perspective. A Large-Scale Telephone Survey with Four At-Risk User Groups

本文调查了德国四个风险用户群体的数字安全体验,包括老年人(70+)、青少年(14-17岁)、具有移民背景的人和受过低形式教育的人。通过计算机辅助电话访谈,我们对每个群体采样了250名代表性参与者,代表了地区、性别和部分年龄分布。我们研究了他们的设备使用情况、关注点、之前的负面事件、对潜在攻击者的看法以及信息来源。我们的研究首次提供了德国这四个风险群体数字安全体验的定量和全国代表性见解。我们的研究结果显示,具有移民背景的参与者使用设备最多,寻求更多安全信息,并与其他群体相比报告了更多的网络犯罪事件经历。老年人使用的设备最少,受网络犯罪影响最小。所有群体都依赖朋友和家人以及在线新闻作为他们主要的安全信息来源,对于他们的社交圈可能是潜在攻击者的担忧较少。我们的研究通过突出这四个风险群体之间微妙的差异,并在可能时将它们与更广泛的德国人口进行比较,为现有文献做出贡献。最后,我们提出了针对教育、政策和未来研究的建议,旨在满足这些风险用户群体的数字安全需求。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a027/1RjEa3cNdeg

24329652faf8ce26a58002b4d764de33.png

40、Distributed & Scalable Oblivious Sorting and Shuffling

现有的遗忘系统通过隐藏内存访问模式提供了强大的安全性,但它们面临着重大的可扩展性和性能挑战。最近努力提高这些系统的实用性包括在可信执行环境(TEEs)中嵌入遗忘计算,例如遗忘排序和洗牌。例如,在Oblix(S&P'18)中遗忘排序已被大量利用:当创建和访问遗忘索引时;在Snoopy高吞吐量遗忘键值(SOSP'21)中在初始化和当输入请求进行去重和准备交付时;在Opaque(NSDI'17)中针对所有提出的遗忘SQL操作符;以及在最先进的非外键遗忘连接方法(PVLDB'20)中。此外,遗忘排序/洗牌在Signal的商业解决方案中用于联系发现,匿名Google的密钥透明度,可搜索加密,软件监控,以及带有用户隐私的差分私有联邦学习中找到应用。在这项工作中,我们通过重新设计这些方法以在分布式多风格环境中实现高效率来解决遗忘排序和洗牌的可扩展性瓶颈。首先,我们提出了一种针对分布式设置进行优化的多线程比特位排序,使其成为最适用于小型风格(多至4个)的遗忘排序。对于更大数量的风格,我们提出了一种新颖的遗忘桶排序,它改善了数据局部性和网络消耗,并且比我们优化的分布式比特位排序快5-6倍。据我们所知,这些是第一个基于分布式遗忘TEE的排序解决方案。作为参考,我们能够在一秒内对2 GiB的数据进行排序,以及在多风格测试中以53.4秒内对128 GiB进行排序。我们遗忘桶排序的基本构建块是一种遗忘洗牌,它在分布式多风格环境中将先前的最新结果(CCS'22)提高了9.5倍---有趣的是,即使在单风格/多线程设置中,也比先前结果好了10%。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a153/1Ub24bi4tos

955b0b337510e6bf3552baaa6c1fc6de.png

41、Distribution Preserving Backdoor Attack in Self-supervised Learning

自监督学习在各个领域广泛应用于构建基础模型。已经证明在各种任务中取得了最先进的性能。在计算机视觉领域,自监督学习被用于生成图像特征提取器,称为编码器,以便各种下游任务可以在其基础上建立分类器,并且只需有限的数据和资源。尽管自监督学习表现出色,但容易受到后门攻击的影响,即攻击者将后门注入其未标记的训练数据中。建立在带有后门的编码器上的下游分类器将错误地将任何输入都误分类为目标标签。在自监督学习中存在的现有后门攻击具有一个关键的分布外特性,即毒害样本在特征空间中与干净数据有显著不同。毒害分布也异常密集,导致毒害样本之间的成对相似性很高。因此,这些攻击可以被最先进的防御技术检测到。我们提出了一种新颖的分布保持攻击,通过减小其分布距离与干净数据之间的距离,将毒害样本转换为分布数据。我们还将毒害数据分布到目标类分布的更广泛区域,以减轻集中问题。我们对五个流行数据集的评估表明,我们的攻击DRUPE与现有攻击相比显著减少了分布距离和毒害分布的集中度。DRUPE成功地规避了自监督学习中的两种最先进的后门防御措施,并且对知识渊博的防御者具有稳健性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a029/1RjEa5rjsHK

975b3114ac9b776c92f34b1839649483.png

42、Do You Play It by the Books? A Study on Incident Response Playbooks and Influencing Factors

事件响应“playbooks”是组织用来指导人员或机器执行针对网络安全威胁的应对措施的结构化操作程序集。这些playbooks通常结合了关于特定威胁和在组织背景下相关的组织方面的信息。这两种类型的信息对于在组织之间使用、维护和共享playbooks来确保有效性和机密性至关重要。尽管从研究角度出发,从业者对playbooks表现出浓厚的兴趣,但它们的特点尚未得到深入研究。因此,我们通过分析playbook内部的内容来探讨这个主题。我们的方法包括对可用数据(1217个playbooks)进行综合实证评估,与147名参与者进行在线研究,并最终与九名安全专家进行深入访谈以巩固和验证我们的发现。我们注意到,从业者和组织在定义他们的playbooks时存在固有的模糊性。此外,我们注意到现有的playbooks目前无法直接使用,这可能限制了它们在不同网络安全行业参与者之间的广泛使用。因此,我们可以得出结论,组织“按照书本上的要求”行事,但他们会个别定义playbooks的内容以及可能涉及的事件响应领域。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a060/1RjEay8MN8c

aeebb8341992d51b4b12875a00d7d5c5.png

43、Don't Eject the Impostor: Fast Three-Party Computation With a Known Cheater

安全多方计算(MPC)使得在保持隐私的情况下对敏感数据进行协作成为可能。在现实情景中,不对称的信任假设通常是最现实的,其中一个相对可信的实体与较小的客户进行互动。基于先前的两方计算(2PC)协议,如MUSE(USENIX Security'21)和SIMC(USENIX Security'22),我们专注于带有一个恶意方的三方计算(3PC),避免了固有于2PC中的不诚实多数的性能限制。我们引入了两个协议,AUXILIATOR和SOCIUM,设计了一种适合机器学习(ML)的友好设计,具有快速的在线阶段和新颖的验证技术在设置阶段。这些协议弥合了之前考虑了完全半诚实或恶意设置的三方计算方法之间的差距。AUXILIATOR将半诚实的两方设置与一个恶意助手相结合,通过至少两个数量级显着提高了通信。SOCIUM将客户端恶意设置与一个恶意客户和一个半诚实服务器相结合,与SIMC相比,在通信上实现了至少一个数量级的显着改进。除了我们新协议的实现,我们还提供了半诚实3PC协议ASTRA(CCSW'19)的首个开源实现,以及恶意3PC协议SWIFT(USENIX Security'21)的变体。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a164/1Ub24EZ8L2U

6c57d96ea42f910adc4715e6893c92c9.png

44、Don't Shoot the Messenger: Localization Prevention of Satellite Internet Users

卫星互联网在地缘政治冲突中扮演越来越重要的角色。这一观念在2022年初爆发的乌克兰冲突中得到了证实,大规模部署了Starlink卫星互联网服务,因此展示了信息自由流动的战略重要性。除了军事用途外,许多公民在社交媒体平台上发布敏感信息,以影响公众舆论。然而,卫星通信的使用被证明是危险的,因为信号可以被其他卫星监控并用于在地面上三角定位来源。不幸的是,针对记者的有针对性谋杀显示了这种威胁的有效性。尽管卫星互联网系统的日益部署为公民在冲突中提供了史无前例的舆论声音,但保护他们免受定位的问题仍未解决。为了解决这一威胁,我们提出了AnonSat,这是一种新颖的方案,可以保护卫星互联网用户免受三角定位。AnonSat 使用廉价的现成设备,利用远程无线通信在卫星基站之间建立本地网络。这使用户的通信被重新路由到其他卫星基站,距离每个用户都有一定距离,从而防止他们被定位。AnonSat 设计简单易部署和易用,我们通过原型实现进行了演示。我们使用真实数据集进行的大规模网络模拟表明了AnonSat 在各种实际环境中的有效性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a066/1RjEaCUhdxm

eff00b088fad374a48710e6013926094.png

45、DrSec: Flexible Distributed Representations for Efficient Endpoint Security

随着攻击的日益复杂,安全应用程序应对着深层次的任务,从警报分类到攻击重建。然而,安全产品,如终端检测和响应,汇集了在孤立中开发的应用程序,触发许多误报,错过了实际攻击,并产生了有限的标签,在监督学习方案中有用。为了解决这些挑战,我们提出了DrSec—一种利用自监督学习来预训练基础语言模型(LMs)的系统,这些LMs摄取事件序列数据并发出过程的分布表示。一旦预训练,LMs可以适应解决不同的下游任务,减少或消除监督,有助于统一目前分散的应用程序生态系统。我们在一个包含∼91M个进程和∼2.55B个事件的真实世界数据集上训练了两种类型的LM,并在三个应用领域进行了测试。我们发现DrSec能够准确地进行无监督过程识别;在警报分类方面表现优异,以减少警报疲劳(例如,75.11%对≤64.31%的精度-召回率曲线下面积);并且准确学习专家开发的规则,允许调整事件检测器以控制误报和漏报。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a145/1Ub243cvgys

8dee420b3a0f3a6978bbb2637f843e8e.png

46、Dropout Attacks

Dropout是深度学习中常见的操作符,旨在通过在训练过程中随机丢弃神经元来防止过拟合。本文介绍了一种针对神经网络的新型毒化攻击家族,名为DROPOUTATTACK。DROPOUTATTACK通过操纵要丢弃的神经元的选择来攻击dropout操作符,而不是随机选择它们。我们设计、实现和评估了四种DROPOUTATTACK变体,涵盖了广泛的场景。这些攻击可以减缓或停止训练,破坏目标类别的预测准确性,并破坏目标类别的精确度或召回率。在我们在CIFAR-100上对VGG-16模型进行训练的实验中,我们的攻击可以将受害类别的精准度降低34.6%(81.7% → 47.1%),而模型准确性并不会受到任何降低。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a026/1RjEa2qP0fm

d5a44428755cd79e042a00f54607ab50.png

47、Efficient Detection of Java Deserialization Gadget Chains via Bottom-up Gadget Search and Dataflow-aided Payload Construction

Java对象注入(JOI)是一种严重影响Java反序列化的漏洞类型,允许对手注入一个精心制作的序列化对象,从而触发一系列链接的内部方法(称为小工具),然后实现攻击后果,如远程代码执行(RCE)。之前的研究主要关注检测和链接JOI漏洞的小工具的问题,使用静态搜索可能的小工具链和通过模糊构建有效载荷。然而,之前的工作面临两个挑战:(i)静态小工具搜索中的路径爆炸和(ii)动态有效载荷构建中通过对象字段连接的细粒度对象关系不足。在本文中,我们设计并实现了一个新颖的Java反序列化小工具检测框架,称为JDD。一方面,JDD通过自底向上的方法解决了静态路径爆炸问题,首先寻找小工具片段,然后将小工具片段从汇点链接到源点。该方法将最大静态搜索时间从指数级降至多项式级,即从Z_O(eMn)O(eMn)_Z到Z_O(M2n3+enM)O(M2n3+enM)_Z,其中Z_nn_Z是小工具链中动态函数调用的数量,Z_MM_Z是平均动态函数调用候选者的数量,Z_ee_Z是入口点的数量。另一方面,JDD构建所谓的注入对象构造图(IOCD),模拟注入对象字段之间的数据流依赖关系,以便促进动态模糊。我们对JDD在六个真实世界的Java应用程序上的评估发现了127个零日漏洞,可利用的小工具链,其中分配了六个通用漏洞和暴露(CVE)标识符。我们还负责向应用程序开发人员报告这些漏洞并获得他们的确认和确认。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a150/1Ub248fSq9G

f4f9cf732807d7663da35774ee9b7da5.png

48、Efficient Zero-Knowledge Arguments For Paillier Cryptosystem

我们提出了一种为Paillier加密系统定制的高效零知识知识证明系统。我们的系统具有亚线性证明大小、低验证成本和可接受的证明生成工作量,同时还支持批量证明生成/验证。现有的专门针对Paillier加密系统的作品具有线性证明大小和验证时间。使用现有的亚线性论证系统来证明通用语句(例如zk-SNARK)会导致无法承受的证明生成成本,因为这涉及将要证明的关系转化为一个庞大的布尔或算术电路,这个电路是在一个素数阶域上。我们的系统不受这些限制。我们论证系统的核心是在一个复合数模下的残余类环上定义的约束系统,以及专门针对在这种环境中提出二进制值的技术。然后,我们适应了Bootle等人(EUROCRYPT 2016)的方法,将约束系统编译成亚线性论证系统。我们的约束系统是通用的,可以用来表达Paillier加密系统中的典型关系,包括范围证明、正确性证明、明文位之间的关系、多个密文之间的明文关系等。我们的论证支持批量证明生成和验证,摊销成本超过了专门为Paillier设计的最新协议,当Paillier密文的数量以百计时。我们报告了一个端到端的原型,并进行了跨多种情景的全面实验。第一个情景是带有填充的Paillier。当我们将25.6K位打包到400个密文中,证明所有这些密文计算正确时,与朴素实现相比,证明大小减小了17倍,并且验证速度快了3倍:使用25.6K OR证明不带打包。此外,我们几乎可以免费证明其他陈述,例如,我们可以证明见证位子集的总和小于阈值t。另一个情景是范围证明。为了证明200个Paillier密文中的每个明文都是256位,我们的证明大小比现有技术小了10倍。我们的分析表明,我们的系统在渐近上比现有协议更有效,并且非常适合涉及大量(超过100)的Paillier密文的情况,而这种情况通常在数据分析应用中出现。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a093/1Ub231Cm86s

0db514883423861d30a82685729ea56b.png

49、Efficient and Generic Microarchitectural Hash-Function Recovery

现代CPU使用各种未记录的微体系结构哈希函数,以有效地在微体系结构结构(如高速缓存)中分发数据。一个众所周知的函数是高速缓存切片函数,它将缓存行分发到最后一级高速缓存的切片中。了解这些函数显著提高了微体系结构攻击的效率,例如Prime+Probe或Rowhammer。然而,虽然已经逆向工程了几种这样的线性函数,但目前没有用于逆向工程非线性函数的通用或自动化方法,这在现代CPU中很常见。在本文中,我们介绍了一种新颖的通用方法,可自动逆向工程各种微体系结构哈希函数。我们的方法结合了最初用于逻辑门最小化和计算代数的技术,根据通过侧信道观察到的输入-输出对推断哈希函数。借助我们的框架,我们推断了在AMD和Intel CPU以及新的Alder Lake混合CPU架构上的3个先前未知的非线性哈希函数。我们通过重现已知的哈希函数并评估依赖这些函数的侧信道攻击来验证我们的方法,成功率超过97.65%。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a028/1RjEa4ilKbC

8be7cc6eb6ad4edc7a55bc51a293811a.png

50、Eureka: A General Framework for Black-box Differential Privacy Estimators

差分隐私(DP)是隐私保护数据分析中的关键工具。然而,对于非隐私专家来说,证明他们的算法具有差分隐私仍然具有挑战性。我们提出了一种方法论,用于具有有限数据隐私背景的领域专家来经验性地估计任意机制的隐私性。我们的“顿悟时刻”是一个新的关联---我们证明了---在DP参数估计问题和机器学习中的Bayes最优分类器之间的关联,我们认为这可能具有独立的兴趣。我们的估计器利用这个关联实现了两个理想的性质:(1)黑盒,即它不需要知道底层机制,(2)具有基于理论的准确性,取决于所使用的底层分类器,允许插拔使用不同的分类器。\\更具体地说,受限于无限制输入域的任务的不可能性(我们证明了),我们引入了一种自然的、受应用启发的DP放宽,我们将其称为相对DP。直观地说,相对DP定义了一个机制相对于输入集T的隐私性,当T是有限的时,它可以避开上述不可能性。重要的是,它保持了DP的关键直观隐私保证,同时享有许多理想的DP性质---可扩展性、组合性和对后处理的鲁棒性。然后,我们设计了一个黑盒多项式时间(\epsilon,\delta)-相对DP估计器,适用于任何多项式大小的T---这是第一个支持具有大输出空间的机制并且具有严格精度界限的隐私估计器。鉴于独立的兴趣,我们将我们的理论推广到开发第一个分布式差分隐私(DDP)估计器。\\我们在一个概念验证实现中对我们的估计器进行基准测试。首先,使用kNN作为分类器,我们展示了我们的方法(1)产生低维Laplace和高斯机制的紧密、分析计算的(\epsilon,\delta)-DP权衡---第一个这样做的方法,(2)准确估计DDP机制的隐私光谱,并且能够验证DP机制的实施,例如稀疏向量技术、嘈杂直方图和嘈杂最大值。我们的实现和实验展示了我们框架的潜力,并突出了在估计DP方面的计算障碍,例如\delta的大小和数据的维度。我们的第二个基于神经网络的实例化是向前迈出了一步,展示了我们的方法可以扩展到具有高维输出的机制。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a166/1Ub24GW3Sso

4eec6108438e11d67280c13b7d18e837.png

51、Everything is Good for Something: Counterexample-Guided Directed Fuzzing via Likely Invariant Inference

定向模糊测试展示了重现错误报告、验证修补程序和调试漏洞的潜力。最先进的定向模糊器会优先考虑更有可能触发目标漏洞的输入,或过滤与目标无关的无关输入。尽管有这些努力,现有方法往往很难重现特定的漏洞,因为大部分生成的输入都是无关的。例如,在Magma基准测试中,超过94%的生成输入未命中目标漏洞。我们将这一挑战称为间接输入生成问题。我们提出通过限制输入生成来增加到达目标位置的输入产出。我们的关键洞察是从可达和不可达的执行输入中推断可能的不变量,以约束后续输入生成的搜索空间,并产生更多可达的输入。此外,我们提出两种选择策略来最小化无效输入的比例,以有效地推断不变量并将不准确的不变量降低优先级,以进行有效的输入生成。我们的原型实现Halo在重现目标漏洞方面的速度提高了15.3倍,生成了6.2倍更多的可达输入,优于最先进的定向模糊器。在我们的评估过程中,我们还在经过很好模糊测试的目标的最新版本中检测到了十个先前未知的错误,其中七个修复不完整。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a142/1Ub23ZRRhRu

175cc0bc4ab11df9d98b88df17504b5f.png

52、FLASH: A Comprehensive Approach to Intrusion Detection via Provenance Graph Representation Learning

最近,基于溯源的入侵检测系统(IDSes)因其在检测复杂的高级持续性威胁(APT)攻击方面的潜力而受到关注。这些IDSes利用从系统日志创建的溯源图来识别潜在恶意活动。尽管具有潜力,但它们在准确性、实用性和可扩展性方面面临挑战,特别是在处理大型溯源图时。我们提出了FLASH,这是一种可扩展的IDS,通过在数据溯源图上利用图表示学习(通过图神经网络(GNNs))来克服这些限制。FLASH采用基于Word2Vec的语义编码器来捕捉关键的语义属性(例如进程名称和文件路径)以及溯源图中事件的时间顺序。此外,FLASH融合了基于GNN的上下文编码器的新颖适应方法,以高效地将局部和全局图结构编码为富有表现力的节点嵌入。为了学习良性节点行为,我们利用一个轻量级分类器,结合GNN和Word2Vec嵌入。鉴于GNN的计算需求和处理时间,尤其是对于大型溯源图而言,我们开发了一个嵌入式回收数据库,用于存储训练阶段生成的节点嵌入。在运行时,我们的轻量级分类器利用存储的嵌入,无需重新生成GNN嵌入,从而推动实时APT检测。在真实数据集上对FLASH进行的广泛评估显示了比现有基于溯源的IDSes更高的检测准确性。结果还展示了FLASH的可扩展性、对模仿攻击的稳健性以及加速警报验证过程的潜力。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a139/1Ub23WQw20U

f27970208fb04ec20ccd1aee34b3ad4d.png

53、FLShield: A Validation Based Federated Learning Framework to Defend Against Poisoning Attacks

联邦学习(FL)正在彻底改变我们从数据中学习的方式。随着其日益普及,现在已经在许多安全关键领域如自动驾驶车辆和医疗保健中使用。由于成千上万的参与者可以在这种协作环境中做出贡献,然而,在确保这些系统的安全性和可靠性方面存在挑战。这凸显了设计安全和稳健的FL系统的必要性,以抵御恶意参与者的行为,同时确保高效用、本地数据隐私和效率。本文提出了一个名为FLShield的新颖FL框架,利用FL参与者的良性数据来验证本地模型,然后将其纳入生成全局模型的考虑之中。这与现有的防御机制存在鲜明对比,现有的防御机制依赖于服务器对干净数据集的访问--这种假设在现实场景中经常不可行,并与FL的基本原则相矛盾。我们进行了大量实验,评估我们的FLShield框架在不同环境下的效果,并展示了它在挫败各种类型的毒化和后门攻击方面的有效性,包括一种防御感知攻击。FLShield还能防止梯度反转攻击,保护本地数据的隐私。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a141/1Ub23YUOIO4

715fd132742593b6c903834765b14500.png

54、FlowMur: A Stealthy and Practical Audio Backdoor Attack with Limited Knowledge

由深度神经网络(DNNs)驱动的语音识别系统通过语音界面彻底改变了人机交互,极大地方便了我们的日常生活。然而,这些系统日益普及也引发了对其安全性的特别关注,特别是针对后门攻击的担忧。后门攻击是指在DNN模型的训练过程中插入一个或多个隐藏的后门,从而不影响模型对良性输入的性能,但在模型输入中存在特定触发器时,强制模型产生对手所需的输出。尽管当前音频后门攻击取得了初步成功,但它们存在以下限制:(i)大多数需要足够的知识,这限制了它们的广泛应用。(ii)它们不够隐蔽,容易被人类检测到。(iii)大多数无法攻击实时语音,降低了它们的实用性。为了解决这些问题,在本文中,我们提出了FlowMur,一种隐蔽且实用的音频后门攻击,可在有限的知识下启动。FlowMur构建了一个辅助数据集和一个替代模型来增加攻击者的知识。为了实现动态性,它将触发器生成形式化为一个优化问题,并在不同的附件位置上优化触发器。为了增强隐蔽性,我们根据信噪比提出了自适应数据毒化方法。此外,环境噪音被纳入到触发器生成和数据毒化的过程中,使FlowMur对环境噪音具有鲁棒性,并提高其实用性。在两个数据集上进行的大量实验表明,FlowMur在数字和物理环境下均实现了高攻击性能,同时仍然能够抵御最先进的防御措施。特别是,一个人类研究验证了FlowMur生成的触发器不容易被参与者检测到。FlowMur的源代码可在https://github.com/cristinalan/FlowMur 上公开获取。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a148/1Ub245RZpo4

85c9e4d1d0cc47eb59f7cb808a01772a.png

55、Formal Model-Driven Analysis of Resilience of GossipSub to Attacks from Misbehaving Peers

GossipSub是一种新的点对点通信协议,旨在通过控制发送的信息内容及其接收对象,通过由每个节点计算的评分函数来抵御恶意节点的攻击。评分函数取决于几个参数(权重、上限、阈值),这些参数可以由使用GossipSub的应用程序进行配置。GossipSub的规范是用英语编写的,并且通过在Golang中实现的仿真测试来支持其对抗恶意节点攻击的负载能力。我们在这项工作中采用基础方法来理解GossipSub对抗恶意节点攻击的负载能力。我们建立了GossipSub的第一个形式模型,使用ACL2s定理证明器。我们的模型得到了GossipSub开发人员的正式认可。它可以模拟任意大小和拓扑结构的GossipSub网络,具有任意配置的节点,并可用于证明和反驳有关协议的定理。我们形式化了基本安全属性,即评分函数是公平的,惩罚不良行为,奖励良好行为。我们证明了评分函数始终是公平的,但可以根据配置方式来惩罚良好行为或忽视不良行为。使用我们的模型,我们使用特定配置运行了GossipSub,用于两个热门实际应用程序:FileCoin和Eth2.0区块链。我们展示了所有的属性对于FileCoin都成立。然而,对于任何Eth2.0网络(任何拓扑结构和大小),有任意数量的潜在恶意节点,我们可以合成攻击,这些节点能够持续进行不当行为,永远不转发主题消息,同时保持积极的评分,使它们永远不会被GossipSub从网络中剪枝。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a017/1RjE9Uyjlok

24c1b43dabefac41f07e7e235715c38c.png

56、From Individual Computation to Allied Optimization: Remodeling Privacy-Preserving Neural Inference with Function Input Tuning

隐私保护的机器学习服务(MLaaS)使资源有限的客户能够高效地获得云服务器拥有的经过良好训练的神经模型的推理输出,同时保护客户的输入和服务器的模型参数。虽然效率对于隐私保护的MLaaS的实际实施起着核心作用,并且近期对效率改进的进步令人鼓舞,但在实际应用中仍存在着与现实世界应用之间的显著性能差距。最先进框架中的基本逻辑涉及每个神经模型函数的单独计算,基于特定的密码原语。虽然这是合理的,但我们回顾这种按函数处理的方法的必要性,并启动对于有效隐私保护MLaaS的相关优化的全面探索。在这种新鲜的视角下,我们重新设计计算过程,从主流作品中始终从输入到相同函数的输出,转向相关对应的计算,从一个函数的输入关联到昂贵开销的开始,到另一个函数的输出,实现在程序中有效地回避不必要的成本。因此,我们提出了FIT(Function Input Tuning),它通过一系列联合优化策略的计算模块用于复合函数。在理论上,FIT不仅消除了最昂贵的加密操作,而且使运行时的加密复杂度与滤波器大小无关。在实验证明,FIT对于现代模型中各种函数维度展示了数十倍的加速,以及在将其插入从小规模MNIST到大规模ImageNet的神经网络中的总计算时间中实现了4.5倍到35.5倍的加速。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a101/1Ub238IknIs

985514dcaf4fcbff2cee91287a86c2d2.png

57、From Principle to Practice: Vertical Data Minimization for Machine Learning

为了培训和部署预测模型,组织收集大量详细的客户数据,存在着在发生数据泄露事件时暴露私人信息的风险。为了减轻这种风险,政策制定者越来越要求遵守数据最小化(DM)原则,将数据收集限制在仅与任务相关和必要的数据上。尽管受到监管的压力,遵守DM的部署机器学习模型的问题迄今为止受到的关注较少。在这项工作中,我们以全面的方式解决了这一挑战。我们提出了一种基于数据概括的新型垂直DM(vDM)工作流程,通过设计确保在训练和部署模型过程中不会收集全分辨率的客户数据,从而通过降低攻击面来使客户隐私受益。我们正式化并研究了相应的问题,即如何找到既能最大化数据效用又能最小化实证隐私风险的概括,我们通过引入一系列与政策一致的对抗情景来量化这种风险。最后,我们提出了一系列基准vDM算法,以及一种特别有效的vDM算法 Privacy-aware Tree(PAT),在几种设置中均优于所有基准算法。我们计划将我们的代码作为一个公开可用的库发布,帮助推动机器学习中数据最小化的标准化。总的来说,我们相信我们的工作可以为进一步探索和采纳实际应用中的DM原则奠定基础。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a089/1Ub22VU6JLW

47c5ebe1fcc8900f6070a8f789dfadf7.png

58、GAuV: A Graph-Based Automated Verification Framework for Perfect Semi-Honest Security of Multiparty Computation Protocols

多方计算(MPC)协议的安全性证明是一项困难的任务。根据当前基于模拟的MPC定义,安全性证明包括一个模拟器,通常特定于具体协议,并需要手动构建,以及对模拟器的输出分布和现实世界中受损方视图的理论分析。这在验证给定MPC协议的安全性方面存在障碍。此外,一个安全的MPC协议实例很容易由于粗心实现而失去安全性保证,而这样的安全问题在实践中很难检测。在这项工作中,我们提出了一个通用的自动化框架,用于验证针对半诚实对手的MPC协议实例的完美安全性。我们的框架具有完美的可靠性:任何在我们的框架下被证明安全的协议也在基于模拟的MPC定义下是安全的。我们通过展示对于任何已知的BGW协议实例,我们的框架可以在多项式时间内证明其在每个受损方集中的安全性,来展示我们框架的完整性。与以往仅专注于要求受损方的输出不包含有关诚实方输入信息的黑盒隐私不同,我们的框架可能用于证明任意MPC协议的安全性。我们将框架实现为原型。评估表明,我们的原型可以在合理的时间内自动证明BGW协议和B2A(二进制到算术)转换协议的完美半诚实安全性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a131/1Ub23P5FxFC

445f8b39fe3cc429d50c52e86522e44a.png

59、GPU.zip: On the Side-Channel Implications of Hardware-Based Graphical Data Compression

压缩是一种广泛部署的优化技术,可以减少现代计算堆栈中的数据移动。不幸的是,它也是一个众所周知的侧信道泄漏源,可以泄漏底层数据的细粒度功能。然而,这里也有一个拯救的办法。压缩通常是软件可见的。因此,软件可以在涉及敏感数据时禁用压缩,并根据已知的、公开的压缩算法定制缓解措施,以避开危险。本文挑战了上述传统智慧,通过展示并利用对压缩进行软件透明使用的存在。具体来说,我们发现英特尔和AMD供应商的集成GPU以供应商特定和未记录的方式压缩图形数据,即使软件没有明确请求压缩。压缩引起了数据相关的DRAM流量和缓存利用,可以通过侧信道分析来测量。我们通过在浏览器中执行跨源SVG滤镜像素窃取攻击展示了这种侧信道的有效性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a084/1RjEaSnpO3m

b83ed585cbfd97457767431e0a29370b.png

60、GrOVe: Ownership Verification of Graph Neural Networks using Embeddings

图神经网络(GNNs)已经成为一种在各种应用环境中对大规模图结构数据进行建模和推断的最先进方法,例如社交网络。GNN的主要目标是学习数据集中每个图节点的嵌入,该嵌入编码了节点特征和节点周围的局部图结构。先前的研究表明,GNN容易受到模型提取攻击的影响。在其他非图形环境中,已经广泛探讨了模型提取攻击和防御。尽管检测或预防模型提取似乎很困难,但通过有效的所有权验证技术来阻止它们提供了一种潜在的防御方法。在非图形环境中,模型指纹技术或构建模型所使用的数据已经显示出是一种具有潜力的所有权验证方法。我们提出了GROVE,这是一种最先进的GNN模型指纹技术,通过给定目标模型和嫌疑模型,可以可靠地确定嫌疑模型是否是独立于目标模型进行训练,或者是通过模型提取获得的目标模型的替代品。我们展示了,即使独立模型使用与原始目标模型相同的训练数据集和架构,GROVE也能区分替代模型和独立模型。使用六个基准数据集和三种模型架构,我们展示了GROVE始终实现低误报率和漏报率。我们展示了GROVE对已知的指纹规避技术具有鲁棒性,同时保持计算效率。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a050/1RjEaorRYLC

6cc862e9f28170f3d6214b68a60bf8cb.png

61、Group Oblivious Message Retrieval

匿名消息传递,如私人通信和保护隐私的区块链应用程序,应该保护接收者的元数据:消息不应该被无意中与其目的地关联起来。但是如何才能将消息传递给每个接收者,而不需要每个接收者扫描所有消息呢?最近的研究构建了隐私保护方式将这个工作外包给不受信任的服务器的隐控消息检索(OMR)协议。我们考虑群组消息的情况,每个消息可能有多个接收者(例如在群组聊天或区块链交易中)。在群组环境中直接使用先前的OMR协议会使服务器的工作量与群组规模成线性增长,这对大型群组来说成本过高。因此,我们设计了新的协议,其中服务器的成本随着群组规模增长非常缓慢,而接收者的成本低且与群组规模无关。我们的方法利用全同态加密和其他基于格的技术,在以前的工作的基础上构建和改进。通过将多个特定接收者线索编码成单个多项式或多线性函数,并通过预处理和摊销技术,在FHE下可以高效评估,实现对群组的高效处理。我们正式研究多种Group Oblivious Message Retrieval(GOMR)变体,并描述相应的GOMR协议。我们的实施和基准测试显示,在感兴趣的参数下,与先前方案相比,成本降低数量级。例如,服务器的成本约为每扫描一百万条消息消耗3.36美元,其中每条消息可能涉及多达15个接收者。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a115/1Ub23ocBmKI

7cfc5ddfd3bb5963b4efa267fe7d0060.png

62、Guessing on Dominant Paths: Understanding the Limitation of Wireless Authentication Using Channel State Information

信道状态信息(CSI)在文献中得到了广泛研究,以促进无线网络中的认证。目前较少关注的是用于评估基于CSI的认证的系统性攻击模型。现有研究通常采用一个现有设计对抗的随机攻击模型,或者假设攻击者具有某些内部知识的特定知识模型。本文提出了一种新的、现实的基于CSI的认证攻击模型。在这个模型中,攻击者Eve试图主动猜测用户Alice的CSI,并对信号进行预编码,以冒充Alice向使用CSI对用户进行认证的验证者Bob。为了使CSI猜测有效且成本低,我们使用理论分析和CSI数据集验证来显示,没有必要猜测所有信号传输路径上的CSI值。具体而言,Eve可以采用一种主导路径构建(DomPathCon)策略,只关注于猜测前几个具有最高信道响应幅度的路径上的CSI值(称为主导路径)。全面的实验结果表明,DomPathCon是有效的,在不同的无线网络设置下,攻击成功率最高可达61%,这显示了CSI-based认证的新局限性。我们还提出了设计来减轻DomPathCon的不利影响。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a042/1RjEagFjTDW

9c4b2ea0714181f0a23552214b88a501.png

63、Hyena: Balancing Packing, Reuse, and Rotations for Encrypted Inference

深度神经网络广泛应用于各种商业服务中。许多这些服务都托管在云上,需要用户将其个人数据发送到云中。这样一来,用户的私人和敏感数据就会暴露给多个第三方。为解决这个问题,引入了同态加密(HE)技术,用户在将数据发送到云之前对其进行加密;云对加密数据执行操作,返回密文,用户需要解密才能获取结果。虽然这种方法可以保护用户数据的隐私,但是需要消耗大量计算和数据传输。因此,有必要设计硬件/软件技术,以降低在同态加密方案下执行AI服务时的开销。在本文中,我们考虑了一系列AI推理的HE实现,并解决了现有框架中的关键瓶颈。我们首先提出了一个混合HE和多方计算(MPC)的方案,因为相比纯粹的完全HE,它更加实用。本文在不同层面引入了新技术:(i)我们提出了新的数据打包技术,减少数据移动;(ii)我们引入了新的数据流,增加了重用性并减少其他昂贵的HE运算(旋转、密钥交换、NTT转换);(iii)我们在一个平衡的流水线架构上评估了Hyena,有效处理上述基本操作。最终的框架Hyena(新打包+数据流)在性能和能耗上优于几种打包基线。与广泛使用的通道打包相比,Hyena的速度提高了38倍,能耗降低了162倍,整体ResNet20推理端到端延迟为11.4毫秒,使用面积为163 mm^2、功耗为16.75瓦的加速器。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a107/1Ub23ff6ncs

ab7a6131178219f582bc33a028d85c45.png

64、INVISILINE: Invisible Plausibly-Deniable Storage

可否认性(PD)存储系统允许用户安全地隐藏数据,并在面对迫使他们提供加密密钥和密码的对手时否认存在数据。但是,PD系统需要专门的软件,使其能够被怀疑的对手发现,质疑PD系统的使用本身。为了解决这个根本问题,我们引入并正式定义了合理性不可见的概念,阻止对手确定是否首次使用了PD系统。我们开发了INVISILINE,一个能够抵抗能够多次访问设备的多快照对手的合理不可见系统。为了保持不可见,INVISILINE使用与Linux dm-crypt磁盘加密子系统兼容的数据布局和编码,并将隐藏数据存储在dm-crypt用于加密公共数据的初始化向量中。INVISILINE确保在对手快照之间对隐藏数据进行更改导致的任何磁盘更改,都可以合理地解释为由于常规使用dm-crypt而导致的对公共数据的更改。在有对手存在的情况下,INVISILINE让用户可以仅通过dm-crypt访问所有公共数据,且无法访问隐藏数据。INVISILINE可以在1TB硬盘上安全且隐形地隐藏19GB数据,不对公共数据I/O产生影响,且写入隐藏数据的平均吞吐量为4.5MB/s。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a018/1RjE9Voxxkc

9a416fbb6e2065100f64b3e581bc784b.png

65、Injection Attacks Against End-to-End Encrypted Applications

我们探讨了一种新兴的端到端(E2E)加密应用的威胁模型:对手向目标客户端发送选择的消息,从而将敌对内容“注入”到应用程序状态中。这种状态随后被加密并同步到对手可见的存储中。通过观察结果云存储的密文的长度,攻击者可以推断出机密信息。我们在支持E2E加密备份的最先进加密消息应用的背景下研究了这种注入威胁模型。我们展示了可以恢复有关通过WhatsApp发送的E2E加密消息或附件的信息的概念验证攻击,假设能够妥协目标用户的Google或Apple帐户(以获取对加密备份的访问权限)。我们还展示了Signal加密备份设计中存在的弱点,这可能允许注入攻击推断出元数据,包括目标用户的联系人数量和对话次数,如果对手以某种方式获得用户的加密Signal备份的访问权。尽管我们认为我们的结果不应立即让这些消息应用的用户感到担忧,但我们的结果表明需要更多的工作来构建享有强大的E2E安全性保证的工具。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a082/1RjEaQAIfkc

4b4aa6ae40e9aef755154580792331d1.png

66、Investigating Voter Perceptions of Printed Physical Audit Trails for Online Voting

在线选举存在安全挑战,因为数字选票没有产生易于验证的物理审计轨迹。我们提出并研究了一种混合在线投票系统,结合了通过互联网从家中投票和物理选票的优势,如风险限制审计和可验证性。在在线投票后,系统生成一个跟踪代码和一个加密选票的物理打印品(纸质或3D打印品),选民可以通过实时视频广播视觉验证。通过一项在线实验(N=150),我们将混合投票与纸质和3D打印投票以及基准(数字存储投票)进行比较,调查受访者对信任、用户体验 (UX)、可用性和安全准备情况的看法。在我们的结果中,我们发现纸质打印品提高了信任感,但并不会对用户体验产生负面影响。3D打印品增强了受访者对隐私的感知,但影响了可用性和用户体验。最后,我们提出建议和实践考虑,以指导混合在线投票方案的实施。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a136/1Ub23TAHex2

72f215cc1e1d737bd653131b049c3b62.png

67、It's Simplex! Disaggregating Measures to Improve Certified Robustness

经过认证的健壮性可以规避对抗攻击的防御脆弱性,通过赋予模型预测在计算大小的攻击上具有类不变性的保证。虽然这些认证有其价值,但我们评估其性能的技术并没有正确考虑其优势和劣势,因为分析已经摒弃了对个别样本的性能考量,而转而采用了聚合测量。通过考虑认证模型的潜在输出空间,本研究提出了两种不同的方法来改进认证机制的分析,允许进行数据集无关和数据集相关的认证性能测量。采用这种观点揭示了新的认证方法,这些方法有可能将认证半径的可实现范围增加一倍以上,相对于当前最先进技术而言。经验评估验证了我们的新方法可以在噪声尺度Z_σ=1σ=1_Z的情况下认证更多的样本Z_9%9%_Z,并且随着预测任务的难度增加,相对改进幅度更大。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a065/1RjEaC7sdag

d2ed8de37b912fada4f776fa78c6f21e.png

68、Janus: Safe Biometric Deduplication for Humanitarian Aid Distribution

人道主义组织为有需要的人们提供援助。为了高效利用他们有限的预算,他们的分发流程必须确保合法的受助人不能获得比他们应得的更多援助。因此,受助人最多只能在每个援助项目中注册一次至关重要。 我们以红十字国际委员会的援助分发注册流程作为一个案例,识别出了在不为受助人引入新风险的情况下检测双重注册的要求。然后,我们设计了Janus,结合了增强隐私的技术和生物识别技术,以安全的方式防止双重注册。 Janus不会创建明文生物特征数据库,并且在注册时只透露一位信息(即注册的用户是否在数据库中)。我们基于安全多方计算(SMC)单独实现并评估了三种Janus的实现方式:仅使用SMC,略微同态加密与SMC的混合,以及受信执行环境。我们展示他们支持人道主义组织的隐私、准确性和性能需求。我们将Janus与现有的替代方案进行比较,并展示它是我们场景要求的首个提供准确性且提供强大保护的系统。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a116/1Ub23oZZznW

aa52489e9131ce0a8034d2a1571e5e2c.png

69、Jbeil: Temporal Graph-Based Inductive Learning to Infer Lateral Movement in Evolving Enterprise Networks

侧向移动(LM)是高级持续威胁的核心阶段之一,继续危害企业网络的安全状况。最近的研究工作采用了图神经网络(GNN)技术来检测复杂网络中的LM。这些方法采用传导图学习,在训练阶段使用具有完整节点可见性的固定图,并吸收良性数据。这些假设在现实世界的设置中不考虑企业网络的动态特性和连接性,其中主机、用户、虚拟化环境和应用程序之间的动态特性占主导地位,并且仅通过训练正常数据来训练来阻碍检测LM的有效性,特别是考虑到当代恶意策略的回避、隐秘和类似良性的行为。此外,复杂网络通常没有其运行时网络过程的完整可见性,如果有的话,由于 passivedata 分析的延迟问题往往无法有效跟踪LM。因此,本文提出了Jbeil,这是一个基于数据驱动的框架,用于在表示为认证定时事件序列的演化网络上进行自监督深度学习。该工作的前提是在连续时间演变图上应用编码器,为每个时间步生成可见图节点的嵌入,以及一个利用这些嵌入进行LM链接预测的解码器。此外,我们在Jbeil中包含了威胁样本增强机制,以确保对高级LM攻击有一个明确的理解。我们使用来自洛斯阿拉莫斯网络的认证定时事件来评估Jbeil,在预测LM路径时实现了99.73%的AUC得分和99.25%的召回得分,即使在训练阶段有30%的节点/边缘不存在。此外,我们评估了不同的真实攻击场景,并展示了Jbeil在其归纳和传导设置中,以99%的AUC得分预测LM路径的潜力,超越了最先进技术的显著差距。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a009/1RjE9NF72De

1e7eca1a02e3d2f4b4eacfcce0eb5045.png

70、KAIROS: Practical Intrusion Detection and Investigation using Whole-system Provenance

溯源图是结构化的审计日志,描述系统执行的历史。最近的研究探讨了各种技术来分析溯源图以进行自动主机入侵检测,重点特别放在先进持久性威胁上。通过研究他们的设计文件,我们确定了推动基于溯源的入侵检测系统(PIDSes)发展的四个共同维度:范围(PIDSes能否检测跨应用程序边界渗透的现代攻击?)、攻击与特征无关(PIDSes能否在不事先了解攻击特征的情况下检测新型攻击?)、及时性(PIDSes能否有效地监视主机系统在运行时的状态?)和攻击重建(PIDSes能否从庞大的溯源图中提取攻击活动,以便系统管理员能够轻松理解并迅速应对系统入侵?)。我们提出了KAIROS,这是第一个在所有四个维度上同时满足这些要求的PIDS,而现有方法至少会牺牲一个,并且难以实现可比较的检测性能。KAIROS利用了一种基于图神经网络的编码器-解码器架构,学习溯源图结构变化的时间演变,以量化每个系统事件的异常程度。然后,基于这些细致信息,KAIROS重建攻击痕迹,生成简洁的摘要图,准确描述在系统审计日志流中的恶意活动。通过使用最先进的基准数据集,我们证明KAIROS表现优于先前的方法。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a005/1RjE9KhD4DC

c2df62003fcb5a9faedeefd295843209.png

71、LABRADOR: Response Guided Directed Fuzzing for Black-box IoT Devices

模糊测试是一种流行的方法,用于发现包括物联网固件在内的软件中的漏洞。然而,由于模拟或重新托管固件的挑战,一些物联网设备(例如企业级设备)只能以黑盒方式进行模糊测试,这使得模糊器因缺少反馈而变得盲目和低效(例如代码覆盖率或距离)。在本文中,我们提出了一种新颖的响应引导型定向模糊测试解决方案LABRADOR,能够高效地测试黑盒物联网设备。具体来说,我们利用网络响应来推断固件的执行跟踪,并推导出测试的代码覆盖率。其次,我们利用测试案例(即请求)及其响应来估计与目标敏感代码(即漏洞)的距离。最后,我们进一步利用距离来引导测试案例的变异,从而有效地将定向模糊测试驱向候选易受攻击的代码。我们已经实现了LABRADOR的原型,并在14个不同的企业级物联网设备上进行了评估。结果显示,LABRADOR明显优于最先进的(SOTA)解决方案。它比SNIPUZZ、BOOFUZZ和FIRM-AFL发现了44倍更多的漏洞,比SaTC发现了8.57倍更多的漏洞。总共,它发现了79个未知的漏洞,其中61个被指定为CVE编号。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a127/1Ub23HQTJ1C

67b8c11f08ce4d0a0bd1cf6be4a0ffe3.png

72、LOKI: Large-scale Data Reconstruction Attack against Federated Learning through Model Manipulation

联邦学习被引入以便在大规模去中心化数据集上进行机器学习,并承诺通过消除数据共享的需求来保护隐私。尽管如此,先前的研究表明,共享的梯度经常包含私人信息,攻击者可以通过恶意修改架构和参数或使用优化来从共享的梯度中近似用户数据。然而,先前的数据重构攻击在设置和规模上受到限制,因为大多数研究都针对FedSGD,并将攻击限制在单个客户端的梯度上。许多这些攻击在更实际的FedAVG设置下失败,或者如果更新使用安全聚合方法一起聚合。数据重构变得显着更加困难,导致攻击规模有限和/或重构质量降低。当同时使用FedAVG和安全聚合时,目前没有一种方法能够在联邦学习环境中同时攻击多个客户端。在这项工作中,我们介绍LOKI,一种攻击方法,它克服了先前的限制,并且破坏了聚合的匿名性,因为泄露的数据可识别,并直接与它们来自的客户端相关联。我们的设计向客户端发送定制的卷积参数,即使在聚合过程中,客户端之间的数据点的权重梯度仍然保持分开。使用FedAVG和在100个客户端之间聚合的情况下,先前的研究可能泄露不到MNIST、CIFAR-100和Tiny ImageNet中不到1%的图像。只需一轮训练,LOKI就能泄露76-86%的所有数据样本。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a030/1RjEa6sC0I8

57e3fb70ef6494f3db8c29cb2c8af12e.png

73、Leaky Address Masking: Exploiting Unmasked Spectre Gadgets with Noncanonical Address Translation

线性地址掩码(LAM)是英特尔最近公布的一项功能,它使CPU能够在解引用64位指针之前屏蔽一些更高位。LAM(以及AMD的类似功能Upper Address Ignore或UAI)背后的关键思想是允许软件有效利用64位线性地址的未翻译位作为元数据。该假设是,在启用LAM(或UAI)功能后,可以实现快速安全性(例如内存安全性)检查,进而提高生产系统的安全性。在本文中,我们挑战这一假设,并展示LAM功能实际上可能通过大幅增加Spectre攻击面而降低生产系统的安全性。为了支持这一主张,我们提出了一种基于非规范地址转换的Spectre隐蔽通道,并提出了在实践中实施它的地址关键挑战。例如,我们利用现代TLB的特性来设计一个可靠的信号,利用LAM功能(至关重要地)绕过规范性检查。此外,我们展示了与经典Spectre隐蔽通道不同的地方,我们的通道可以解锁编码高熵机密信息作为解引用指针的通用(或未屏蔽)Spectre工具。与经典的(或掩码的)工具不同,我们展示了后者可以绕过部署的缓解措施,并且在高价值目标(如Linux内核)中普遍存在。为了展示新的攻击面,我们提出了一个基于LAM(SLAM)的Spectre端到端利用,针对即将发布的英特尔CPU。我们特别关注BHI Spectre变体,并展示,尽管有被认为可以根除攻击面的缓解措施,我们的利用程序可以利用最新的Linux内核中的各种工具,并在几分钟内从内核内存中泄漏根密码哈希。我们最后对缓解措施进行评估。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a158/1Ub24ihNy92

8730e9b7b2142fbf669510f652033e48.png

74、Ligetron: Lightweight Scalable End-to-End Zero-Knowledge  Proofs. Post-Quantum ZK-SNARKs on a Browser

零知识证明(ZK)最初由Goldwasser、Micali和Rackoff(STOC 1985)的重要工作引入,并仍然是现代密码学的基石之一。随着区块链的出现,对以ZKSNARKs形式部署ZK证明系统的兴趣有所增加。ZKSNARKs是一种吸引人的变体,因为它们是非交互式的(实际上是公开可验证的)且简洁。然而,目前的部署需要很长的运行时间和/或非常大的内存,并且无法在通用硬件上将它们扩展到大电路。我们设计并实现了一种高效的次线性非交互式零知识系统,名为Ligetron,可以部署为Web应用程序,并扩展到数十亿个门。我们构建的核心是确定一个良好的中间表示,即Web Assembly(WASM),它具有以下特点:(1)能够表示复杂计算、(2)可以从大多数流行的高级语言编译,(3)具有丰富的语义来实现空间效率。在后端,我们设计并实现了Ligero ZK系统的空间高效变体,该系统是由Ames等人在ACM CCS 2017的工作中引入的,并可以利用WASM的语义。Ligetron是第一个能够在浏览器中扩展到数十亿个门并运行的后量子ZK-SNARK。在通用硬件上,Ligetron可以扩展到任意大的电路,同时展示出具有竞争力的证明者/验证者运行时间,并且比所有先前的后量子ZK-SNARK都有更好的证明长度。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a086/1RjEaU3iZEY

81bb7ab0f044e3e87f8a741c9f8b7744.png

75、Lower Bounds for Rényi Differential Privacy in a Black-Box Setting

我们提出了一种新的方法,用于评估算法在Rényi差分隐私方面的隐私保证。据我们所知,这项工作是第一个在只有算法输出可用的黑盒场景中解决这个问题的研究。为了量化隐私泄露,我们设计了一种新的估计器,用于估计一对输出分布之间的Rényi散度。这个估计器被转换为一个统计下界,已被证明对于大样本具有高概率成立。我们的方法适用于广泛的算法类别,包括隐私文献中许多著名的例子。我们通过实验展示了我们的方法的有效性,实验涵盖了相关作品中未被考虑的算法和隐私增强方法。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a134/1Ub23RBdIWY

9bb1fbd391cb40056078b020a8549c5b.png

76、MAWSEO: Adversarial Wiki Search Poisoning for Illicit Online Promotion

作为恶意编辑的重要例子,Wiki搜索毒化是一种网络犯罪,其目的是通过编辑Wiki文章来促进非法业务,通过相关查询的Wiki搜索结果。在本文中,我们报告了一项研究,首次展示了这种秘密的黑帽SEO在Wiki上可以被自动化。我们的技术,称为MAWSEO,利用对抗性修订来实现真实世界的网络犯罪目标,包括排名提升、防止检测恶意破坏、主题相关性、语义一致性、用户意识(但不会引起警报)对促销内容等。我们的评估和用户研究表明,MAWSEO能够有效且高效地生成对抗性的恶意编辑,可以绕过最先进的内置Wiki破坏检测器,并将促销内容传递给Wiki用户,而不会引起他们的警报。此外,我们还调查了潜在的防御方法,包括基于连贯性的检测和针对Wiki生态系统中我们的攻击的破坏检测的对抗性训练。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a049/1RjEamPnYIM

def90e3342cdcd7124bb10bd96c354a2.png

77、MEA-Defender: A Robust Watermark against Model Extraction Attack

最近,使用深度学习算法训练了许多具有高价值的深度神经网络(DNNs)。为了保护原始所有者对这些DNN模型的知识产权(IP),基于后门的水印已被广泛研究。然而,大多数这种水印在模型提取攻击中失败,该攻击利用输入样本查询目标模型并获取相应输出,从而使用这些输入-输出对训练替代模型。在本文中,我们提出了一种新的水印,用于保护DNN模型的知识产权免受模型提取的侵害,称为MEA-Defender。具体来说,我们通过将输入域中两个源类别的样本结合在一起来获取水印,并设计一个水印损失函数,使水印的输出域在主任务样本的输出域内。由于我们水印的输入域和输出域都是主任务样本的不可或缺的部分,水印将在模型提取期间与主任务一起提取到窃取的模型中。我们对四种模型提取攻击进行了广泛实验,使用了五个数据集和六个基于监督学习和自监督学习算法训练的模型。实验结果表明,MEA-Defender对不同的模型提取攻击和各种水印去除/检测方法都具有很高的抗性。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a099/1Ub236N6R5m

db26cfd3a4ed3bdd1515b2126988510c.png

78、MM-BD: Post-Training Detection of Backdoor Attacks with Arbitrary Backdoor Pattern Types Using a Maximum Margin Statistic

后门攻击是对深度神经网络分类器的一种重要对抗威胁类型,在这种情况下,当嵌入后门模式时,来自一个或多个源类的测试样本将被误分类为攻击者的目标类。在本文中,我们关注文献中常见的后训练后门防御场景,即防御者的目标是检测经过训练的分类器是否受到后门攻击,而没有任何对训练集的访问。许多后训练检测器设计用于检测使用单个或少数特定后门嵌入函数(例如,补丁替换或添加攻击)的攻击。当攻击者使用的后门嵌入函数(防御者不知道)与防御者假定的后门嵌入函数不同时,这些检测器可能会失败。相反,我们提出了一种后训练防御方法,可以检测任意类型的后门嵌入攻击,而不做出关于后门嵌入类型的任何假设。我们的检测器利用了后门攻击对 softmax 层之前的分类器输出景观的影响,独立于后门嵌入机制。对于每个类别,估计了最大边界统计量。然后通过将无监督异常检测器应用于这些统计量来执行检测推断。因此,我们的检测器不需要任何合法的干净样本,并且可以有效地检测具有任意数量源类的后门攻击。 这些优势在四个数据集上,针对三种不同类型的后门模式和各种攻击配置上得到了证明。最后,我们提出了一种新颖的通用方法,用于一旦发现后门攻击就对其进行缓解。这种缓解方法在第一届 IEEE 木马清除竞赛中获得了亚军。代码已在线上提供。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a015/1RjE9SU7Kz6

57e963a2d4ba551fdfaaaf9d40b11b26.png

79、MPC-in-the-Head Framework without Repetition and its Applications to the Lattice-based Cryptography

头脑中的MPC框架被提出作为非交互式零知识证明的解决方案,由于其高效的证明生成。然而,大多数使用这种方法的现有NIZKAoK构造需要多次MPC评估才能实现可忽略的声音错误,导致证明大小和时间至少是NP关系电路大小的lambda倍。在本文中,我们提出了一种新颖的方法,消除了对重复MPC评估的需求,从而实现了一种针对任何NP关系的NIZKAoK协议,我们称之为Diet。Diet的证明大小和时间只对NP关系电路C的大小渐近地为多对数,但与安全参数lambda无关。因此,证明大小和时间都可以显著减少。此外,Diet在证明学习与错误(LWE)问题及其变体方面提供了有前途的具体效率。我们的解决方案在证明大小和证明时间方面在考虑两个因素时都比其他方案具有显著优势。具体来说,Diet是一种有前途的方法,用于证明基于格的密钥封装机制(KEMs)如Frodo和Kyber的秘钥知识,为未来后量子时代证书管理提供了实用解决方案。对于Kyber 512,我们的实现实现了83.65千字节(KB)的在线证明大小,预处理开销为152.02KB。该实现非常高效,在线证明时间仅为0.68秒,预处理时间为0.81秒。值得注意的是,我们的方法提供了基于后量子原语的零知识证明对Kyber 512的秘钥知识的首次报告实现。

论文链接:https://www.computer.org/csdl/proceedings-article/sp/2024/313000a157/1Ub24hrQXle

864cd0539bc47dc79c7febc777ed13e4.png

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值