1、A Comprehensive Memory Safety Analysis of Bootloaders
引导加载程序在系统启动过程中扮演着关键角色,它作为固件与操作系统之间的桥梁。设备通电后,引导加载程序从固件接管控制权,完成早期启动环境准备,随后将控制权移交操作系统。现代计算机通常采用名为"安全启动"的功能来阻止恶意软件在启动时加载。作为安全启动链的核心环节,引导加载程序负责验证操作系统、将其映像载入内存并启动。因此引导加载程序必须具备安全的设计与实现。
然而随着功能不断丰富,引导加载程序为用户提供更多特性的同时,其代码规模持续扩大,不可避免地暴露出更多攻击面。近年来,各类引导加载程序中被发现存在漏洞,尤其是内存安全违规问题。部分漏洞可导致拒绝服务,甚至能绕过安全启动保护机制。尽管引导加载程序在安全启动链中至关重要,但目前尚未出现对其内存安全性的全面分析。
本文基于对历史引导加载程序漏洞的调研,首次对其内存安全性进行了系统化全面分析。我们研究了不同引导加载程序的潜在攻击面及其引发漏洞的机制,发现来自存储设备、网络等外设的恶意输入是攻击者利用漏洞的主要途径。为帮助开发者大规模检测漏洞,我们设计并实现了基于分析的引导加载程序模糊测试框架。实验中共发现9个引导加载程序的39个漏洞,其中38个为零日漏洞。特别是在广泛使用的Linux标准引导程序GRUB中发现14个漏洞,部分漏洞经精心利用可导致安全启动机制被绕过。目前已有5个漏洞获得CVE编号。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-comprehensive-memory-safety-analysis-of-bootloaders/
2、A Formal Approach to Multi-Layered Privileges for Enclaves
可信执行环境(TEE)作为一种保护安全关键应用的方法已被广泛采用。尽管先前已有功能扩展方案被提出以提升飞地(enclave)的可用性,但其供给模式仍面临安全挑战。本文提出Palantir——一种可验证的多层飞地间权限模型,用于实现飞地的安全功能扩展。具体而言,该系统引入父子飞地关系架构,父飞地被赋予对其子飞地的两项特权权限(执行控制权与空间控制权),从而支撑安全的功能扩展。通过支持嵌套式父子关系,Palantir实现了多层权限机制(MLP),使得功能扩展可遵循最小权限原则部署于不同特权层级。为验证Palantir的安全性,我们构建并验证了名为textTAPinfty的形式化模型,证明该权限模型不会破坏或削弱飞地的安全保障。此外,我们在开源RISC-V TEE平台"蓬莱"上实现了Palantir原型系统。评估表明Palantir在运行时开销(<5%)和启动延迟方面均展现出优越性能。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-formal-approach-to-multi-layered-privileges-for-enclaves/
3、A Key-Driven Framework for Identity-Preserving Face Anonymization
虚拟面孔是元宇宙中的核心内容。近期已有研究尝试通过生成虚拟面孔来保护隐私。然而这些方法要么永久抹除可识别信息,要么将原始身份映射为虚拟身份,导致原始身份永远丢失。本研究首次尝试解决虚拟面孔中隐私性与可识别性之间的矛盾,提出了基于密钥驱动的人脸匿名化与认证识别框架(KFAAR)。具体而言,KFAAR框架包含头部姿态保持的虚拟面孔生成模块(HPVFG)和密钥可控的虚拟面孔认证模块(KVFA)。HPVFG模块通过用户密钥将原始人脸的潜在向量投影为虚拟向量,继而映射虚拟向量获得扩展编码,最终生成虚拟面孔。通过同步加入头部姿态与表情校正模块,虚拟面孔能保持与原始人脸相同的头部姿态和面部表情。在认证环节,KVFA模块可直接利用正确用户密钥识别虚拟面孔,无需暴露原始人脸图像即可还原原始身份。我们还提出了多任务学习目标来联合训练HPVFG和KVFA模块。大量实验证明了所提模块的优越性,能同时有效实现人脸匿名性与可识别性。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-key-driven-framework-for-identity-preserving-face-anonymization/
4、A Large-Scale Measurement Study of the PROXY Protocol and its Security Implications
反向代理服务器在优化互联网服务中扮演着关键角色,其优势涵盖负载均衡到拒绝服务(DoS)防护等多个方面。然而,此类代理存在一个已知缺陷:由于所有请求均由代理服务器转发,后端服务器无法获知发起连接的客户端真实IP地址。针对HTTP协议,这一问题可通过X-Forwarded-For标头轻松解决——该标头允许代理服务器将原始请求的客户端IP传递给后端服务器。遗憾的是,许多其他协议缺乏类似机制。为此,HAProxy开发了PROXY协议,该协议在网络栈更低层级(第四层)实现代理服务器与后端服务器间的客户端信息传递,从而做到与具体协议无关。
本研究首次对PROXY协议在互联网规模的应用展开系统性分析,并深入探究其错误配置引发的安全隐患。通过对全IPv4地址空间进行测量,我们发现超过17万台主机在HTTP协议下会接受来自任意源的PROXY协议数据。我们演示了如何滥用该协议绕过路径上的代理(及其防护机制),并从后端基础设施中泄露敏感信息。研究发现超过1万台服务器存在访问绕过漏洞,该漏洞可通过注入(伪造的)PROXY协议标头触发。利用该技术,我们成功访问了500多台内部服务器,这些服务器控制着物联网监控平台和智能家居自动化设备,例如可远程调节的电动窗帘、安防摄像头及报警系统等。除HTTP协议外,我们还证实PROXY协议可被用于将350多台SMTP服务器转变为开放中继,使攻击者能够以任意邮箱地址发送邮件。综上,本研究揭示了PROXY协议错误配置如何导致影响多种主流协议的严重安全问题。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-large-scale-measurement-study-of-the-proxy-protocol-and-its-security-implications/
5、A Method to Facilitate Membership Inference Attacks in Deep Learning Models
现代机器学习(ML)生态系统提供了数量激增的ML框架和代码库,极大地便利了ML模型的开发。如今,即便是非ML专家的普通数据持有者,也能利用现成的代码库在其数据上构建高性能ML模型,其中许多数据本质敏感(如临床记录)。
本研究探讨了一种恶意ML提供者的场景:该提供者向数据持有者提供模型训练代码,但无法访问训练过程,仅能通过黑盒查询访问最终模型。在此设定下,我们展示了一种新型成员推断攻击,其威力远超现有技术。该攻击使攻击者能可靠地识别所有训练样本(平均攻击真阳性率>99% @0.1%假阳性率),而遭篡改的模型仍保持与未受污染模型相当的性能(平均准确率下降<1%)。此外,我们发现中毒模型能有效掩盖在常规成员隐私审计下被放大的成员信息泄露,这种泄露仅能通过攻击者掌握的一组秘密样本被揭示。
总体而言,我们的研究不仅揭示了最坏情况下的成员隐私泄露风险,还暴露了现有隐私审计方法的共性缺陷,呼吁未来重新思考当前ML模型成员隐私审计的实践方式。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-method-to-facilitate-membership-inference-attacks-in-deep-learning-models/
6、A Multifaceted Study on the Use of TLS and Auto-detect in Email Ecosystems
包括IMAP、POP3和SMTP在内的各类电子邮件协议最初均设计为"明文"协议,缺乏内置的机密性与完整性保障。为保护通信流量,可在这些协议启动前隐式启用TLS,或在协议交互过程中以机会主义方式升级加密。为提升用户体验,现今多数邮件客户端提供"自动检测"功能,旨在为用户自动确定可用的配置参数组合。本文针对邮件客户端中TLS与自动检测功能的安全性展开多维度研究:首先通过测试49款邮件客户端,评估其TLS与自动检测的设计实现,发现可导致安全等级暗中降级及用户凭证泄露的多种缺陷;其次通过收集分析全球1102份高校邮件配置指南,考察现行部署实践是否有效规避机会主义TLS与自动检测引入的安全陷阱,发现可能促使用户采用不安全配置的若干问题;最后基于指南中的服务器地址,评估服务器端对隐式与机会主义TLS的支持情况及证书特征。研究表明,由于对TLS与自动检测功能的草率处理,大量用户正遭受非故意的安全防护缺失,组织机构更宜为用户提供具体详尽的手动配置方案。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-multifaceted-study-on-the-use-of-tls-and-auto-detect-in-email-ecosystems/
7、A New PPML Paradigm for Quantized Models
模型量化已成为机器学习(ML)提升效率并降低计算/通信开销的常规手段。然而在隐私保护机器学习(PPML)中采用量化仍面临挑战,因为量化算子复杂的内部结构会导致现有PPML框架下的协议效率低下。本研究提出了一种专为量化模型定制的新PPML范式,该范式能充分利用量化优势。我们的核心发现是:查表法可以忽略任何函数的复杂内部构造,从而简化量化算子评估。我们将模型推理过程视为量化算子的序列,每个算子通过查表实现。随后开发了高效的隐私查表评估协议,其在线通信成本仅为logn(n为查表尺寸)。
在单CPU核上,我们的协议每秒可评估2^26个8位输入输出的查表。由此构建的量化模型PPML框架具备极快的在线性能。实验表明,该量化策略相较现有最优PPML方案实现了显著加速:在AlexNet、VGG16和ResNet18等卷积神经网络(CNN)上在线性能提升40~60倍;在GPT-2、GPT-Neo和Llama2等大语言模型(LLM)上提升10~25倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-new-ppml-paradigm-for-quantized-models/
8、A Systematic Evaluation of Novel and Existing Cache Side Channels
CPU缓存是最受关注的研究侧信道攻击目标之一,其中Prime+Probe和Flush+Reload是最具代表性的技术。这类通用缓存攻击手段可泄露加密密钥、用户输入,并构成众多微架构攻击的基础组件。本文首次系统化评估了四种主流缓存攻击(Flush+Reload、Flush+Flush、Evict+Reload和Prime+Probe)以及我们提出的三种新型攻击(Demote+Reload、Demote+Demote和DemoteContention)的九大特性指标。我们在最新英特尔微架构上测试了命中-失效边界、时间精度、空间精度、拓扑范围、攻击耗时、盲区长度、信道容量、抗噪性和可检测性。Demote+Reload与Demote+Demote表现与既有攻击相当,部分场景更优:例如Demote+Reload盲区比Flush+Reload缩小60.7%,其15.48 Mbit/s的信道容量较后者提升64.3%。我们通过AES T-table攻击对比所有技术,并在击键间隔计时攻击中比较Demote+Reload与Flush+Reload。突破现有技术局限,我们利用Demote+Demote实现KASLR破解,并通过Demote+Reload放大功耗侧信道泄露。最后,Sapphire Rapids和Emerald Rapids处理器采用非包容性L3缓存,使基于驱逐的跨核攻击(如Prime+Probe和Evict+Reload)仅当受害者活动触及L3缓存时才能生效。因此我们证明在跨核攻击中,DemoteContention可作为无需逆向寻址函数与缓存置换策略的可靠替代方案。
论文链接:https://www.ndss-symposium.org/ndss-paper/a-systematic-evaluation-of-novel-and-existing-cache-side-channels/
9、ASGARD: Protecting On-Device Deep Neural Networks with Virtualization-Based Trusted Execution Environments
基于设备的深度学习在提升用户隐私方面日益流行,但如今却对深度神经网络(DNN)模型的隐私构成严重威胁。研究者提出利用Arm TrustZone的可信执行环境(TEE)来保护模型免受富执行环境(REE)发起的攻击。然而现有方案存在明显缺陷:(i) 将DNN推理完全置于TEE的方案要么仅支持CPU推理,要么需对闭源专有软件进行大幅修改以集成加速器;(ii) 将部分DNN推理卸载到REE的方案要么导致部分模型暴露,要么因频繁的模型(解)混淆和TEE-REE切换产生巨大运行时开销。
我们提出ASGARD——首个基于虚拟化的TEE解决方案,专为保护传统Armv8-A系统级芯片(SoC)上的设备端DNN而设计。与以往基于TrustZone TEE的模型保护方案不同,ASGARD的TEE既兼容现有专有软件,又将可信计算基(TCB)保持在最小规模,且运行时开销趋近于零。其关键技术在于:(i) 通过安全I/O透传将SoC集成加速器纳入现有TEE的安全边界;(ii) 采用激进而安全的平台级与应用级TCB精简技术严格控制TCB规模;(iii) 通过退出合并式DNN执行规划减少昂贵的TEE-REE切换次数。
我们在搭载Rockchip NPU的Armv8.2-A商用安卓平台RK3588S上实现了ASGARD,全程未修改Rockchip或Arm的专有软件。实验表明,ASGARD能以最小TCB规模和可忽略的推理延迟开销,有效保护传统SoC中的设备端DNN模型。
论文链接:https://www.ndss-symposium.org/ndss-paper/asgard-protecting-on-device-deep-neural-networks-with-virtualization-based-trusted-execution-environments/
10、Alba: The Dawn of Scalable Bridges for Blockchains
过去十年间,加密货币持续吸引学术界与工业界的关注,催生出多样化的区块链生态系统与创新应用。跨链桥的诞生提升了互操作性,使资产能够利用不同区块链的特性进行转移。尽管去中心化金融(DeFi)兴起推动其普及,但当前无需信任的跨链桥协议仍存在效率缺陷——或需传递过量信息(如基于轻客户端的方案),或依赖高昂计算(如基于零知识证明的方案)。这些低效性源于现有跨链桥需严格验证交易在另一条链上的链上包含证明,而实际上如支付通道和状态通道等链下解决方案已能实现无需链上发布的可靠交易。然而现有跨链桥均不支持链下支付验证。
本文通过提出Pay2Chain跨链桥概念填补这一空白,该方案利用支付通道等链下方案优势突破当前限制。我们设计的Alba跨链桥能够基于链下事件,在目标链上高效、安全且无需信任地执行条件支付或智能合约。除技术优势外,Alba还通过支持DeFi应用、多资产支付通道及乐观状态型链下计算,丰富了源链的生态系统。
我们在UC框架下形式化定义了Alba对抗拜占庭敌手的安全性,并辅以博弈论分析。通过引入形式化的可扩展性指标,我们证明了Alba的高效性。实证评估表明Alba在通信复杂度与链上成本方面表现优异,其乐观情况下的成本仅相当于以太坊标准代币转账交易的两倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/alba-the-dawn-of-scalable-bridges-for-blockchains/
11、All your (data)base are belong to us: Characterizing Database Ransom(ware) Attacks
我们首次对数据库勒索攻击进行了系统研究,这类攻击中攻击者扫描数据库服务器,利用缺乏认证或弱凭证登录,删除数据库内容,并索要赎金以归还被删数据。我们分析了三年间从60,427台被入侵数据库服务器收集的23,736份勒索信,并通过部署数据库蜜罐获取当前攻击的一手资料。数据库勒索攻击日益猖獗,2024年3月新增感染服务器达6,000台,较上年同期增长60%。我们的蜜罐在接入互联网后14小时内即遭入侵。由于新版Elasticsearch采用缓慢,其服务器弱认证问题发生率比MySQL服务器高两个数量级。
为追溯数据库勒索攻击的幕后黑手,我们设计了一种聚类方法:首先通过勒索信文本相似性识别攻击活动,再利用指标复用和比特币区块链信息判定哪些活动属于同一组织。该方法为每个组织计算入侵服务器数量、活跃周期、收益及所用指标等属性。分析表明,60,427台受害服务器涉及32个组织发起的91次攻击活动。其中主导组织造成了76%的服务器感染和90%的经济损失。我们还发现该主导组织与某民族国家存在关联,并曾参与针对Git代码库的先前攻击。
论文链接:https://www.ndss-symposium.org/ndss-paper/all-your-database-are-belong-to-us-characterizing-database-ransomware-attacks/
12、AlphaDog: No-Box Camouflage Attacks via Alpha Channel Oversight
传统计算机视觉模型的黑盒对抗攻击存在显著局限性:查询需求密集、迭代过程耗时、缺乏普适性,且因扰动细微导致攻击成功率(ASR)和置信度(CL)低下。本文提出AlphaDog——一种基于Alpha通道的首个普适高效定向无盒攻击,通过利用RGBA图像中常被忽视的Alpha通道,在人类感知与机器解读间制造视觉差异,实现对两者的高效欺骗。具体而言,AlphaDog将RGB通道恶意设置为AI识别所需的目标物体,同时精心设计Alpha通道,使其与数字媒体(缩略图或图像查看器)的标准/默认背景色混合时呈现人类可感知的不同图像。借助AI模型与人类视觉处理透明度的差异,AlphaDog在四个方面超越现有对抗攻击:(1)作为无盒攻击,实现零查询需求;(2)生成效率极高,仅需毫秒即可生成任意攻击图像;(3)具备普适性,单张攻击图像可攻陷多数AI模型;(4)保证100%的ASR与CL。通过对100个前沿图像识别系统评估6,500个AlphaDog攻击样本的实验,以及经IRB批准的20名大学生参与的隐蔽性验证实验,均证实其有效性。AlphaDog可应用于数据投毒、规避攻击和内容审核领域。此外,本文提出基于像素强度直方图的新型检测方法,能100%有效识别并防御AlphaDog攻击。演示详见AlphaDog网站(https://sites.google.com/view/alphachannelattack/home)。
论文链接:https://www.ndss-symposium.org/ndss-paper/alphadog-no-box-camouflage-attacks-via-alpha-channel-oversight/
13、An Empirical Study on Fingerprint API Misuse with Lifecycle Analysis in Real-world Android Apps
基于指纹的身份验证(FpAuth)正日益被安卓应用程序采用,尤其在账户登录、支付等高敏感场景中,因其能为用户身份核验提供便捷途径。然而,由于安卓指纹API(FpAPIs)的复杂性和持续演进特性,移动应用在实际开发中如何正确安全地使用这些接口仍面临挑战。本文首次从FpAuth生命周期的角度,对安卓应用中指纹API的误用现象展开系统性实证分析。我们首先开发专用工具对使用FpAPIs的应用进行识别与特征分析;随后通过实际场景下的详细生命周期研究定义威胁模型,归纳出四类普遍存在的API误用类型;最终开发自动化检测工具对1,333个采用指纹验证的应用进行扫描,发现触目惊心的结果:97.15%的应用至少存在一类误用漏洞,其中18.83%的应用同时存在所有已识别的误用类型。这些误用可能导致未授权数据访问、账户劫持甚至资金损失等严重后果,影响海量用户。我们已对这些漏洞进行负责任的披露,共获得184个CVE编号和19个中国国家漏洞库(CNVD)编号的收录,并得到15家厂商的确认。本研究旨在提升行业对指纹API规范使用重要性的认知。
论文链接:https://www.ndss-symposium.org/ndss-paper/an-empirical-study-on-fingerprint-api-misuse-with-lifecycle-analysis-in-real-world-android-apps/
14、Attributing Open-Source Contributions is Critical but Difficult: A Systematic Analysis of GitHub Practices and Their Impact on Software Supply Chain Security
关键开源项目构成众多大型软件系统的基础,为密码学、兼容性与安全性等重要功能提供可信且可扩展的实现。验证开源项目中提交作者的真实性至关重要却也充满挑战。Git用户可自由配置姓名与邮箱等作者信息,GitHub等平台利用此类数据生成指向用户账户的个人资料链接。我们展示了攻击者通过操纵GitHub项目与个人资料伪装可信度的三种攻击场景,并通过混合研究方法评估了对关键开源软件项目的影响及防御措施的有效性。
首先,我们对GitHub上50,328个关键开源项目展开大规模测量,证明85.9%的项目存在贡献流程滥用风险。共识别出573,043个可被恶意攻击者声称为己有的邮箱地址,用于劫持历史提交记录并提升账户可信度。在评估提交签名作为防御措施时发现:95.4%的用户从未签署过提交,72.1%的项目不存在任何签名提交;与之相对,仅2.0%的用户签署了全部提交,0.2%的项目实现了全量提交签名。提交签名行为与项目编程语言、主题标签或其他安全措施无显著关联。
其次,通过分析网络安全建议文档,我们探究了贡献者身份伪造的认知现状。多数文档虽意识到通过Git提交的简单伪造技术,但对GitHub邮箱地址处理机制引发的风险普遍缺乏认知。
论文链接:https://www.ndss-symposium.org/ndss-paper/attributing-open-source-contributions-is-critical-but-difficult-a-systematic-analysis-of-github-practices-and-their-impact-on-software-supply-chain-security/
15、Automated Expansion of Privacy Data Taxonomy for Compliant Data Breach Notification
在隐私合规研究中,一项关键挑战在于将实际数据使用场景中的具体数据项与法律、法规或政策中定义的隐私数据进行比对。由于不同应用程序采用的数据项存在多样性,加之各司法管辖区对隐私数据的解释存在差异,这项任务变得尤为复杂。为解决这一难题,研究者构建了隐私数据分类体系,通过捕捉隐私数据类型与粒度层级间的关系来辅助合规分析。然而现有分类体系构建方法受限于人工操作或启发式规则,难以动态吸纳跨领域新术语。本文提出GRASP的设计方案,这是一种可扩展、高效率的隐私数据分类体系自动构建与扩展方法。GRASP创新性地采用基于粒度感知语义投影的上位词预测模型,其性能优于现有最先进的上位词预测方法。此外,我们设计实现了Tracy隐私专业助手,用于识别和解读事件报告中的隐私数据,以生成符合《通用数据保护条例》要求的数据泄露通知。通过对15位隐私专业人士进行的可用性研究评估,Tracy展现出高度的实用性和用户满意度。
论文链接:https://www.ndss-symposium.org/ndss-paper/automated-expansion-of-privacy-data-taxonomy-for-compliant-data-breach-notification/
16、Automated Mass Malware Factory: The Convergence of Piggybacking and Adversarial Example in Android Malicious Software Generation
对抗样本技术已被证明对安卓恶意软件检测系统极为有效,通过最小幅度的代码修改即可实现恶意软件逃逸检测。然而,现有对抗样本技术忽视了恶意软件的生成过程,从而限制了该技术的适用性。本文研究了一种通过将恶意代码植入流行应用而批量生成的寄生型恶意软件,并将其与对抗样本技术相结合。给定恶意代码片段(即植入模块),我们可为其生成定制化的对抗扰动,并将其插入任意宿主应用中,使生成的恶意软件能够逃避检测。通过探究对抗扰动影响寄生型恶意软件代码的作用机制,我们提出了一种对抗性寄生恶意软件生成方法,包含三大模块:恶意植入模块提取、对抗扰动生成和良性宿主选择。大量实验表明,我们的方法能在短时间内高效生成大量恶意软件,并显著提升逃逸检测的概率。在基于机器学习的检测模型(如Drebin和MaMaDroid)上,本方法平均攻击成功率(ASR)达88.3%;在商业引擎微软和金山上的ASR分别达到76%和92%。此外,我们还探讨了针对对抗性寄生恶意软件的潜在防御方案。
论文链接:https://www.ndss-symposium.org/ndss-paper/automated-mass-malware-factory-the-convergence-of-piggybacking-and-adversarial-example-in-android-malicious-software-generation/
17、Automatic Insecurity: Exploring Email Auto-configuration in the Wild
支持自动配置机制的电子邮件客户端能自动获取服务器配置信息(如主机名、端口号和连接类型),用户仅需输入邮箱地址和密码即可登录。这类自动配置机制正被日益广泛采用,但其在实现与部署层面的安全隐患尚未得到深入研究。本文首次系统分析了邮件自动配置相关的安全威胁并评估其影响:我们归纳出10种攻击场景,涵盖17项缺陷(含8个新发现缺陷)及4类不完善的客户端界面通知。这些攻击场景可导致受害者连接至攻击者控制的服务器,或建立不安全连接从而危及凭证安全。通过大规模测量与深度分析,我们发现实际应用中自动配置机制存在严重安全隐患:服务器端有49,013个域名存在配置错误(含19个全球Top-1K热门域名);客户端方面,29款产品中有22款易受前述威胁影响,且27款存在至少一项助长静默攻击的界面通知缺陷。这些缺陷源于错误配置、管理疏漏、实现漏洞及兼容性问题。本研究旨在提升业界对邮件自动配置安全性的重视。
论文链接:https://www.ndss-symposium.org/ndss-paper/automatic-insecurity-exploring-email-auto-configuration-in-the-wild/
18、Automatic Library Fuzzing through API Relation Evolvement
软件库是现代软件生态系统的核心组成部分。这些库中的漏洞会带来严重的安全威胁。模糊测试作为一种广泛使用的技术,能够有效发现软件漏洞。然而,将其应用于软件库测试仍面临重大挑战:需要精心设计能够反映多样化且正确API用法的驱动程序。现有自动化库模糊测试方案要么因随机生成的API序列导致误用而产生大量误报,要么过度依赖现有代码片段导致API序列多样性不足,从而遗漏深层API漏洞。
本研究提出新型模糊测试工具NEXZZER,可自动检测库中的漏洞。NEXZZER采用混合关系学习策略持续推断并演化API关系,结合创新的驱动程序架构以提升库测试覆盖率,促进深层漏洞发现。我们在18个库和Google模糊测试套件上对NEXZZER进行评估,结果表明其在代码覆盖率和漏洞发现能力上较现有方案具有显著优势。该工具还能自动识别并过滤大部分API误用导致的崩溃。此外,NEXZZER在包括OpenSSL和libpcre2在内的成熟库中新发现27个未知漏洞。截至本文撰写时,开发者已确认其中24个漏洞,并根据我们提交的报告修复了9个漏洞。
论文链接:https://www.ndss-symposium.org/ndss-paper/automatic-library-fuzzing-through-api-relation-evolvement/
19、BARBIE: Robust Backdoor Detection Based on Latent Separability
后门攻击是深度学习模型共享面临的核心威胁。本质上,后门模型与良性模型在潜在可分离性上存在差异,即模型潜在表征具有可区分的区别。然而现有方法通过聚类潜在表征或计算表征间距离来量化这种特性,极易被自适应攻击规避。本文提出BARBIE检测方法,能在自适应后门攻击下精准识别潜在可分离性。为此我们设计了一种新型潜在可分离性度量指标——相对竞争分数(RCS),通过刻画潜在表征对模型输出的支配性来实现抗攻击鲁棒性。该方法无需任何良性或后门样本,通过反演每类标签的两组潜在表征(分别反映良性模型的正常表征和强化后门模型的异常表征)来计算RCS值。我们构建了系列RCS衍生指标来全面捕捉后门模型与良性模型的差异。在4个数据集上对14类后门攻击(包括针对潜在可分离性的自适应攻击)的10,000余个模型验证表明:相较7种基线方法,BARBIE对源无关攻击的检测真阳性率平均提升17.05%,对源特定攻击提升27.72%,对样本特定攻击提升43.17%,对干净标签攻击提升11.48%,同时保持更低假阳性率。源代码见:https://github.com/Forliqr/BARBIE。
论文链接:https://www.ndss-symposium.org/ndss-paper/barbie-robust-backdoor-detection-based-on-latent-separability/
20、BULKHEAD: Secure, Scalable, and Efficient Kernel Compartmentalization with PKS
层出不穷的漏洞亟需通过系统化的缓解措施来限制漏洞利用的影响。然而,以Linux内核为代表的商用操作系统采用单体式架构,攻击者只需攻破任意内核组件即可完全控制系统。内核隔离技术遵循最小权限原则,是极具前景的解决方案。但由于众多复杂组件间相互不可信的特性,现有机制难以兼顾安全性、可扩展性与性能表现。本文提出BULKHEAD——一种安全、可扩展且高效的内核隔离技术,能为无限数量的隔离域提供双向隔离能力。该技术利用英特尔新型硬件特性PKS将数据与代码隔离至互不信任的隔离域,并受益于其快速隔离域切换机制。基于不可信前提,BULKHEAD设计了轻量级内核监控器,可强制实施数据完整性、仅执行内存保护及隔离域接口完整性等多重关键安全不变性。此外,通过局部感知的双层架构设计,系统可扩展支持无限隔离域。我们在Linux v6.1上实现原型系统,对可加载内核模块(LKM)实施隔离。大量实验验证了该方案的有效性:在系统级影响方面,当160个LKM被隔离时,BULKHEAD对实际应用产生的平均性能开销仅为2.44%;针对特定隔离域的测试中,ipv6模块的ApacheBench测试显示开销低于2%。更重要的是,性能几乎不受隔离域数量影响,展现出卓越的可扩展性。
论文链接:https://www.ndss-symposium.org/ndss-paper/bulkhead-secure-scalable-and-efficient-kernel-compartmentalization-with-pks/
21、Balancing Privacy and Data Utilization: A Comparative Vignette Study on User Acceptance of Data Trustees in Germany and the US
在大数据、互联设备和日益普及的自我量化时代,尽管技术和立法持续努力,保护消费者隐私仍面临挑战。数据托管机构作为一种前景广阔的解决方案,旨在通过促进安全数据共享并确保个人控制权,在数据利用与隐私保护之间取得平衡。然而其成功实施取决于用户的接受度与信任程度。
我们开展了一项基于情景模拟、具有人口普查代表性的大规模在线研究,考察影响医疗、汽车、物联网及在线数据领域数据托管机构接受度的因素。研究覆盖德国714名和美国1036名参与者,结果显示两国用户对数据托管机构的使用意愿存在显著差异,相当比例用户表现出明显怀疑或直接拒绝态度。
研究还发现了重要的领域特异性差异,包括用户匿名性、感知到的个人与社会效益、以及数据接收方等因素的影响。与普遍认知相反,存储地点、运营机构及监管等组织与监管决策对用户选择的影响相对有限。
结论表明,虽然数据托管机构存在潜在用户群体,但要实现广泛接受仍需制定明确且有针对性实施方案,以应对多样化的用户预期。我们的研究结果强调,必须深入理解这些细微差异,才能有效部署既符合监管要求又满足用户偏好,同时坚守最高安全与隐私标准的数据托管框架。
论文链接:https://www.ndss-symposium.org/ndss-paper/balancing-privacy-and-data-utilization-a-comparative-vignette-study-on-user-acceptance-of-data-trustees-in-germany-and-the-us/
22、Be Careful of What You Embed: Demystifying OLE Vulnerabilities
Microsoft Office是一套功能全面的生产力工具套件,而对象链接与嵌入(OLE)作为一项技术规范,实现了跨应用程序多样化对象的链接与嵌入标准化。OLE不仅促进了数据交互,还优化了用户处理复合文档(例如Word文档中嵌入Excel表格)的体验。然而,OLE设计本身存在的安全缺陷带来了风险——其架构模糊了一方代码与第三方代码之间的信任边界,可能导致非预期的库加载和解析漏洞,进而被恶意攻击者利用。针对这一问题,本文提出了OLExplore这一创新工具,专用于Office OLE对象的安全评估。通过对历史OLE漏洞的深入分析,我们归纳出三大关键漏洞类型,并对其进行了动态分析与验证。在对多个Windows操作系统版本的评估中,我们发现了26个已确认漏洞,其中17个获得CVE编号且均具备远程代码执行能力。
论文链接:https://www.ndss-symposium.org/ndss-paper/be-careful-of-what-you-embed-demystifying-ole-vulnerabilities/
23、Beyond Classification: Inferring Function Names in Stripped Binaries via Domain Adapted LLMs
在剥离符号的二进制文件中推断函数名称是许多安全应用(如恶意软件分析和漏洞发现)中一项重要但具有挑战性的任务,原因在于需要理解不同指令集、架构、编译器优化和混淆措施下的二进制代码语义。尽管机器学习在该领域取得了显著进展,但现有方法受限于基于有限词汇表的分类策略,往往难以应对未见数据。本文提出SymGen框架,该框架采用由领域自适应生成式大语言模型(LLMs)驱动的自回归生成范式,以增强二进制代码解析能力。我们在包含四种架构(x86-64、x86-32、ARM、MIPS)和四种优化级别(O0-O3)的2,237,915个二进制函数数据集上评估SymGen,其精确率、召回率和F1分数分别最高提升409.3%、553.5%和489.4%,显著超越现有最佳方法,展现出卓越的有效性和泛化能力。消融实验和案例研究进一步验证了我们设计(如领域自适应方法)带来的显著性能提升,并证明了SymGen在分析真实世界二进制文件(如混淆二进制文件和恶意软件可执行文件)时的实用性。
论文链接:https://www.ndss-symposium.org/ndss-paper/beyond-classification-inferring-function-names-in-stripped-binaries-via-domain-adapted-llms/
24、BinEnhance: An Enhancement Framework Based on External Environment Semantics for Binary Code Search
二进制代码搜索在软件复用检测和漏洞识别等应用中起着至关重要的作用。当前现有模型通常基于内部代码语义,或结合函数调用图(CG)与内部代码语义构建。然而这些模型存在局限:仅考虑函数内部语义的模型会忽略函数间语义,难以处理函数内联等情况;而结合CG与内部语义的方法仍不足以应对复杂的现实场景。为突破这些限制,我们提出BINENHANCE框架,通过利用函数间语义来增强二进制代码搜索中内部代码语义的表达能力。具体而言,BINENHANCE构建了外部环境语义图(EESG),通过调用关系、位置关联、数据共现等不同函数间语义关系,为同源函数建立稳定且相似的外部环境。在EESG构建完成后,我们利用现有内部语义模型生成的嵌入向量初始化EESG节点,并设计语义增强模型(SEM),通过关系图卷积网络(RGCNs)和残差块学习EESG中有价值的外部语义,最终生成增强后的语义嵌入。此外,BinEnhance利用数据特征相似性优化语义嵌入的余弦相似度计算。我们在六种不同任务场景(如函数内联场景)下的实验表明,BINENHANCE兼具卓越性能与鲁棒性。将BinEnhance应用于HermesSim、Asm2vec、TREX、Gemini和Asteria模型后,在两个公开数据集上的平均精度均值(MAP)从53.6%提升至69.7%,效率提升达四倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/binenhance-an-enhancement-framework-based-on-external-environment-semantics-for-binary-code-search/
25、BitShield: Defending Against Bit-Flip Attacks on DNN Executables
近期研究表明,位翻转攻击(BFA,如利用Rowhammer技术)对深度神经网络(DNN)的危害性与普遍性。此类攻击可操纵DNN预测结果并彻底破坏模型智能,其攻击对象既包括PyTorch等深度学习框架运行的DNN模型,也涵盖DL编译器生成的独立可执行文件。现有防御方案虽能保护框架中的模型,但我们发现其无法抵御针对DNN可执行文件的新型攻击路径。本文首次提出针对DNN可执行文件的BFA防御方案。我们首先通过动机研究揭示DNN可执行文件的脆弱性及独特攻击面:攻击者可通过篡改.text区段比特位改变计算逻辑从而操控预测结果,而既有权重保护机制在可执行文件中也易被绕过。基于此,我们提出BitShield——首个能同时防护数据段与.text区段的全方位防御系统。创新性地将BFA建模为语义破坏过程,BitShield通过语义完整性检查实现防护。通过将代码校验例程深度融入DNN语义,该系统对自身防护机制的攻击也具有强鲁棒性。BitShield已集成至主流DL编译器(Amazon TVM),兼容所有编译优化流程。与现有方案不同,BitShield专为保护更脆弱的全精度DNN设计,且不预设攻击方法,具有高度普适性。该系统还能主动检测攻击行为,而非被动加固模型。实验表明,BitShield在完全白盒的强敌场景下仍能提供高效防护(平均缓解率97.51%),性能开销仅2.47%。
论文链接:https://www.ndss-symposium.org/ndss-paper/bitshield-defending-against-bit-flip-attacks-on-dnn-executables/
26、Black-box Membership Inference Attacks against Fine-tuned Diffusion Models
随着基于扩散模型的图像生成技术快速发展,生成图像的质量已趋近于真实照片级别。与此同时,高质量预训练图像生成模型的公开发布,促使越来越多的用户下载这些预训练模型,并利用下游数据集进行微调以完成各类图像生成任务。然而,在下游任务中使用此类强大的预训练模型会带来严重的隐私泄露风险。本文首次提出针对最新扩散模型的基于分数的成员推理攻击框架,并在更严格的黑盒访问设置下展开研究。该框架涵盖四种不同攻击场景和三类攻击方式,能够针对任何主流条件生成器模型实现高精度攻击,其卓越性能通过0.95的AUC值得到验证。
论文链接:https://www.ndss-symposium.org/ndss-paper/black-box-membership-inference-attacks-against-fine-tuned-diffusion-models/
27、Blackbox Fuzzing of Distributed Systems with Multi-Dimensional Inputs and Symmetry-Based Feedback Pruning
本文提出DistFuzz——据我们所知,这是首个面向分布式系统的反馈引导式黑盒模糊测试框架。DistFuzz的创新性源于对分布式系统模糊测试两个关键环节的概念性贡献:输入空间与反馈指标。具体而言,区别于先前专注于系统化变异故障的研究,DistFuzz通过利用分布式系统请求驱动与时序依赖的特性,构建了包含常规事件和事件间相对时序的多维输入空间。更重要的是,通过观察分布式系统中节点间网络消息可表征重要状态变化的特性,DistFuzz采用基于对称性剪枝的网络消息序列作为程序反馈,突破了"有效反馈必须依赖代码插桩/分析或用户输入"的传统认知。实验表明,DistFuzz在C/C++、Go和Java编写的十款主流分布式系统中发现了52个真实漏洞,其中28个获开发者确认,20个为未知漏洞,4个被分配了CVE编号。
论文链接:https://www.ndss-symposium.org/ndss-paper/blackbox-fuzzing-of-distributed-systems-with-multi-dimensional-inputs-and-symmetry-based-feedback-pruning/
28、Blindfold: Confidential Memory Management by Untrusted Operating System
近年来,机密计算(Confidential Computing,CC)作为一种保护用户数据免受不可信操作系统(OS)侵害的机制受到广泛关注。现有CC方案通过向OS隐藏或加密机密内存来实现保密性,但这会导致OS内存优化功能失效,或使优化所需的可信计算基(TCB)变得复杂。本文提出突破这些限制的研究成果,并整合为名为Blindfold的CC设计方案。与其他CC方案类似,Blindfold依赖运行在更高特权级的小型可信软件组件Guardian,其具备三项可增强现有CC方案的技术:首先,Blindfold的Guardian通过切换页表和中断表来仲裁OS内存访问及异常处理,而非采用嵌套页表;其次,采用轻量级权能系统统一规范OS对用户内存的语义访问,整合了先前工作中的个案处理方法;最后,通过精心设计的安全ABI实现无需加密的机密内存管理。我们在ARMv8-A/Linux平台上实现了Blindfold原型系统,评估了由不可信Linux内核管理机密内存的开销。实验表明Blindfold的运行时TCB小于同类系统且性能具有竞争力。更重要的是,Linux内核(除内存压缩外所有内存优化功能)可正常运作于机密内存环境,仅需约400行内核代码修改。
论文链接:https://www.ndss-symposium.org/ndss-paper/blindfold-confidential-memory-management-by-untrusted-operating-system/
29、BumbleBee: Secure Two-party Inference Framework for Large Transformers
基于大型Transformer的模型在自然语言处理和计算机视觉等众多现实任务中实现了最先进的性能。然而,随着处理数据和任务敏感度的提升,隐私问题已成为模型部署过程中的关键挑战。
本研究聚焦于两方参与的隐私推理场景,其中一方持有私有输入数据,另一方持有模型参数。我们提出了BumbleBee——一个高效且通信友好的两方Transformer隐私推理系统,主要贡献包含三个方面:
首先,我们设计了优化的矩阵乘法协议,与现有技术相比可降低80%-90%的通信开销。其次,我们开发了针对Transformer模型中非线性激活函数的高效协议构造方法。所提出的激活协议处理速度显著提升,与两种现有方法相比通信成本降低80%-95%。最后,我们在五种Transformer模型上进行了全面基准测试。
BumbleBee在LLaMA-7B模型评估中展现出强大性能,使用CPU生成单个token仅需约8分钟。实验结果表明:该系统性能比NeurIPS22提出的Iron提升超过一个数量级,通信量仅为Oakland24所提BOLT方案的十分之一,而速度达到其三倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/bumblebee-secure-two-party-inference-framework-for-large-transformers/
30、CASPR: Context-Aware Security Policy Recommendation
当前,SELinux已被广泛用于提供灵活的强制访问控制,而安全策略对维护操作系统安全至关重要。严格来说,所有访问请求都必须受适当策略规则约束以满足软件或应用程序的功能需求。然而,手动配置安全策略规则是一项易出错且耗时的任务,通常需要专业知识。由于策略规则数量庞大且语义复杂,如何有效推荐无异常的策略规则成为一项挑战性任务。现有研究多从策略中挖掘信息来推荐规则,但无法适用于尚未定义任何规则的新类型。
本文提出一种上下文感知的安全策略推荐方法(CASPR),可自动分析与优化安全策略规则。该方法整合策略规则、文件路径、审计日志及属性信息等多维度上下文特征,通过提取特征计算权限集相似度,基于K-means模型对类型进行聚类并自动推荐规则。该方法能自动检测策略中的三类异常:约束冲突、策略不一致和权限不完整,并对异常策略进行优化以确保授权规则有效执行。
实验结果表明,该方法能为不同版本策略推荐有效规则。通过SHAP值计算验证了聚类效果,并量化了各上下文特征的贡献度。相比现有模型,CASPR不仅能基于上下文信息为新定义类型推荐规则,还提升了既有类型策略推荐的准确性,其规则推荐平均准确率达91.582%,F1值达93.761%。此外,该方法可自动检测并修复三类策略异常。我们在多个操作系统中验证了CASPR的普适性。该研究对安全策略推荐具有重要价值,为策略分析提供了具有巨大潜力的新方法。
论文链接:https://www.ndss-symposium.org/ndss-paper/caspr-context-aware-security-policy-recommendation/
31、CCTAG: Configurable and Combinable Tagged Architecture
内存安全违规是现实程序中的重大隐患,催生了多种防护技术的开发。然而现有低成本防御方案保护能力有限,可能被复杂攻击绕过,迫使开发者组合多种防御机制。不幸的是,这种组合往往导致性能下降和兼容性问题。
我们提出CCTAG——一种轻量级架构,可简化基于标签的多样化防御机制集成。该架构通过可配置的标签验证与修改规则构建多种安全策略,为防御应用提供基础保护原语。其以策略为中心的掩码设计增强了灵活性并避免冲突,使多种防御机制能并行运行。我们在FPGA板上实现的RISC-V原型显示,CCTAG仅带来极小的硬件开销(LUT增加6.77%,FF增加8.02%)。当组合包含返回地址保护、代码指针/虚表指针完整性校验及内存着色等防护措施时,SPEC CPU CINT2006和CINT2017基准测试分别仅产生4.71%和7.93%的运行时开销。针对涵盖主要内存安全漏洞的CVE及多种利用技术的安全评估证实,CCTAG能有效缓解现实威胁。
论文链接:https://www.ndss-symposium.org/ndss-paper/cctag-configurable-and-combinable-tagged-architecture/
32、CENSOR: Defense Against Gradient Inversion via Orthogonal Subspace Bayesian Sampling
联邦学习通过在全局服务器上协作训练神经网络,各本地客户端接收当前全局模型权重,并基于其本地私有数据返回参数更新(梯度)。
传输这些模型更新的过程可能泄露客户端的私有数据信息。现有梯度反演攻击可利用此漏洞从客户端的梯度向量中恢复私有训练样本。近期研究者提出的先进梯度反演技术,使得现有防御方案难以有效应对。
本文提出一种专为大型神经网络模型设计的新型防御方法。该防御利用模型参数的高维特性,在原始梯度的正交子空间内对梯度进行扰动。通过基于正交子空间的冷后验分布,我们的防御实现了精细化梯度更新机制。该机制能够选择最优梯度,既能抵御梯度反演攻击,又可保持模型效用。
我们在三个不同数据集上开展全面实验,并针对多种前沿攻击与防御方案评估本方法的有效性。
论文链接:https://www.ndss-symposium.org/ndss-paper/censor-defense-against-gradient-inversion-via-orthogonal-subspace-bayesian-sampling/
33、CHAOS: Exploiting Station Time Synchronization in 802.11 Networks
许多地点,尤其是城市区域,普遍存在密集的WiFi通信流量。除数据流量外,WiFi站点每秒在单个小范围内发送的管理与控制帧就可能超过数百个。这类WiFi环境为数据隐蔽传输提供了可能——可将信息藏匿于正常通信固有的噪声成分中。
本文揭示了如何利用WiFi的时间同步功能(TSF)这一特定特性,构建一个高效且鲁棒的隐蔽信号传输通道。我们的方法基于一个关键发现:WiFi站点的时间同步始终存在某种程度的固有偏差。
我们提出CHAOS——一种利用标准WiFi硬件在信标帧中嵌入秘密数据的新型隐蔽信道策略。该技术通过双重方式利用WiFi的固有噪声特性:首先,通过信标帧的乱序排列承载信息(信标帧本身不存在固有或强制性的顺序要求);其次,利用管理帧头部的TSF时间戳构建时序信道,通过模拟真实基站的时间偏差特性进行数据编码,使隐蔽帧的统计特征与正常帧无异。CHAOS可通过参数调节实现传输速率、信道稳定性与丢帧率的动态平衡,采用推荐配置时可实现520比特/秒的稳定广播。我们还论证了TSF技术的深层利用潜力,并勾勒出通过相关性攻击实现客户端与基站映射的方法。
论文链接:https://www.ndss-symposium.org/ndss-paper/chaos-exploiting-station-time-synchronization-in-802-11-networks/
34、CLIBE: Detecting Dynamic Backdoors in Transformer-based NLP Models
后门可被植入自然语言处理(NLP)模型中,当输入文本包含特定特征(即攻击者秘密选定的触发器)时诱导模型产生异常行为。与文本中使用的固定标记、词语、短语或句子等静态文本触发器不同,针对NLP模型的动态后门攻击设计了与抽象潜在文本特征(如风格)相关联的触发器,使其隐蔽性远超传统静态后门攻击。然而现有NLP后门检测研究主要集中于防御静态后门攻击,针对动态后门的检测研究仍属空白。
本文提出CLIBE——首个检测基于Transformer的NLP模型中动态后门的框架。其核心在于通过优化注意力层的权重扰动,向可疑Transformer模型注入"小样本扰动",使扰动后的模型将少量参考样本分类为目标标签。随后CLIBE利用该扰动方案的泛化能力,判定原始可疑模型是否含有动态后门。在三种先进NLP动态后门攻击、两种主流Transformer框架及四项真实分类任务上的大量实验,充分验证了CLIBE的有效性与普适性。我们还证明了CLIBE对多种自适应攻击的鲁棒性。进一步地,我们运用CLIBE检测Hugging Face平台49个热门Transformer模型,发现其中存在高概率动态后门的模型实例,已联系平台方并提供详细后门行为证据。此外,我们证明CLIBE可轻松扩展至检测被篡改后输出有害内容的文本生成模型(如GPT-Neo-1.3B)。据我们所知,CLIBE是首个无需触发器输入测试样本即可检测文本生成模型后门的框架。代码已开源:https://github.com/Raytsang123/CLIBE。
论文链接:https://www.ndss-symposium.org/ndss-paper/clibe-detecting-dynamic-backdoors-in-transformer-based-nlp-models/
35、Careful About What App Promotion Ads Recommend! Detecting and Explaining Malware Promotion via App Promotion Graph
在Android应用中,开发者频繁植入应用推广广告(即推广其他应用的广告)。然而由于广告内容审核不严,恶意开发者正将应用推广广告转化为新的恶意软件传播渠道。为检测通过此类广告传播的恶意软件,本文提出创新方法ADGPE,通过协同整合应用界面探索与图学习技术,实现自动化采集应用推广广告、识别广告推广的恶意软件,并解析恶意软件的推广机制。
我们对18,627条应用推广广告的评估揭示了该生态系统的重大风险:通过推广广告下载应用遭遇恶意软件的概率比Google Play商店高出数百倍。主流广告平台(如Google AdMob、Unity Ads和Applovin)正被恶意开发者滥用,用于传播多种恶意软件(包括激进广告软件、欺诈安全软件、木马程序和吸血软件)。我们的界面探索技术相较现有最优方案,能在相同时间内多发现24%的推广广告。我们还通过野外广告采集验证了该技术在地下经济调查中的应用价值。
基于发现的推广关联关系,我们的恶意软件检测模型F1分数提升5.17%,将现有最优技术的90.14%提升至95.31%。该模型还检测出28个初始被VirusTotal标记为良性、但六个月后被重新判定为恶意软件/潜在有害程序(PUA)的应用。通过路径推理模型,我们揭示出两种恶意软件推广机制:基于硬编码广告的定制化推广,以及通过广告服务器(如AdMob和Applovin)交互实现的广告库推广。这些发现揭示了应用推广广告的关键安全风险,并证明ADGPE通过动态程序分析与图学习的结合,能有效研究基于推广广告的恶意软件传播。
论文链接:https://www.ndss-symposium.org/ndss-paper/careful-about-what-app-promotion-ads-recommend-detecting-and-explaining-malware-promotion-via-app-promotion-graph/
36、Cascading Spy Sheets: Exploiting the Complexity of Modern CSS for Email and Browser Fingerprinting
为防范用户追踪,注重隐私的浏览器(如Tor)和电子邮件应用通常禁用JavaScript,此举有效封堵了用户指纹识别的主要途径。然而最新研究表明,特定层叠样式表(CSS)功能仍可能导致隐私泄露。但CSS的完整指纹识别潜力尚未明晰,尤其在电子邮件等严格限制场景下的攻击可行性仍存疑。
本文系统研究了CSS现代动态特性及其在无脚本指纹识别中的应用,可绕过多种前沿防护措施。我们提出基于模糊测试与模板化的三种创新技术,通过CSS容器查询、算术函数及复杂选择器的精妙差异,实现了对应用、操作系统及硬件配置的高精度推断。在浏览器场景中,我们成功区分了1176种浏览器-操作系统组合中的97.95%。该方法同样适用于电子邮件应用——21款测试的网页/桌面/移动端邮件应用中,有8款存在漏洞。这证明在HTML邮件的高度受限环境中仍可实现指纹识别,将追踪范围扩展至传统网页环境之外。
针对当前及未来潜在的CSS追踪威胁,我们提出两项根除隐私泄露的防御机制:为浏览器设计预加载条件资源方案以消除特性依赖型泄露;针对电子邮件场景开发代理服务,在保持功能兼容性的同时确保隐私与邮件完整性。本研究为隐私保护领域贡献了新视角与解决方案,强调了对新兴追踪手段建立强效防御的重要性。
论文链接:https://www.ndss-symposium.org/ndss-paper/cascading-spy-sheets-exploiting-the-complexity-of-modern-css-for-email-and-browser-fingerprinting/
37、Characterizing the Impact of Audio Deepfakes in the Presence of Cochlear Implant
人工耳蜗(CIs)使失聪或听力受损者能够使用电话、语音助手等音频设备。然而,日益复杂的合成音频(如深度伪造技术)的出现可能威胁这些用户。目前尚不清楚这一群体对此类攻击的易感性。本文首次研究了音频深度伪造对人工耳蜗用户的影响,探讨了在深度伪造检测器中模拟人工耳蜗音频的应用。基于实验结果,我们对35名人工耳蜗用户和87名听力正常者(HPs)开展用户研究,以分析两者对深度伪造音频感知的差异。研究表明,人工耳蜗用户与听力正常者类似,能够识别文本转语音生成的深度伪造音频,但对语音转换类深度伪造生成算法的识别表现显著较差,正确分类率仅为67%。我们还评估了基于人工耳蜗模拟音频训练的检测模型与真实用户表现的差异,并探究其能否有效替代人工耳蜗用户进行检测。本研究开创性地探索了对抗性音频与人工耳蜗用户的交叉领域,旨在识别并减轻这一弱势群体面临的安全威胁。
论文链接:https://www.ndss-symposium.org/ndss-paper/characterizing-the-impact-of-audio-deepfakes-in-the-presence-of-cochlear-implant/
38、Compiled Models, Built-In Exploits: Uncovering Pervasive Bit-Flip Attack Surfaces in DNN Executables
近期研究表明,位翻转攻击(BFA)可通过DRAM Rowhammer漏洞操控深度神经网络(DNN)。针对PyTorch等深度学习框架运行的高级DNN模型,已有大量研究通过翻转模型权重中的比特位实现有效攻击,相关防御方案也相继提出。然而,当前DNN正越来越多地通过DL编译器生成可执行文件以利用硬件原语,这些可执行文件呈现出全新且独特的计算范式。我们发现现有研究未能准确捕捉和揭示DNN可执行文件面临的BFA攻击面。
为此,我们首次对DNN可执行文件开展系统性BFA研究,揭示了先前工作中被忽视或低估的新攻击面。具体而言,传统DL框架中的BFA仅能攻击模型权重,且假设攻击者完全掌握受害者模型权重(强白盒假设),这在实际中往往不成立,因为权重通常属于机密信息。与之相反,我们发现针对DNN可执行文件的BFA通过利用模型结构(通常存储于可执行代码中)即可实现高效攻击,仅需知晓(通常公开的)模型结构。重要的是,此类基于结构的BFA在DNN可执行文件中具有普遍性、可迁移性和更高危害性(例如单比特翻转即可成功攻击),且能绕过现有防御机制。
为真实展现新攻击面,我们假设攻击者不具备受害者模型权重知识(弱假设更符合实际),设计了自动化工具以高置信度(70% vs 基线2%)定位可执行文件中的脆弱比特位。在DDR4 DRAM上的实验表明,仅需平均1.4次翻转即可使受害者可执行文件(包括此前需要23倍翻转次数量化模型)的准确率完全退化至随机猜测水平。我们全面评估了16个DNN可执行文件,涵盖两大主流DL编译器对三个常用数据集训练的三种大规模DNN模型的编译结果。本研究呼吁未来DNN编译工具链必须整合安全机制。
论文链接:https://www.ndss-symposium.org/ndss-paper/compiled-models-built-in-exploits-uncovering-pervasive-bit-flip-attack-surfaces-in-dnn-executables/
39、CounterSEVeillance: Performance-Counter Attacks on AMD SEV-SNP
机密虚拟机(VM)通过将虚拟机运行于可信执行环境(TEE)中,承诺提供更高的安全性。近期AMD服务器处理器通过SEV-SNP扩展支持机密虚拟机。SEV-SNP即便在共享托管环境中运行机密虚拟机,仍能为其提供完整性与机密性保障。
本文提出CounterSEVeillance攻击——一种通过性能计数器数据泄露与秘密相关的控制流及操作数属性的新型侧信道攻击。该攻击首次利用SEV-SNP虚拟机中具有单指令分辨率的性能计数器侧信道泄漏,且可在完全修补的系统上实施。我们系统分析了SEV-SNP虚拟机的性能计数器事件,发现其中228个可能暴露给潜在恶意的虚拟机监控程序。CounterSEVeillance基于此分析,通过APIC中断结合页错误单步执行目标虚拟机,记录指令级分辨率的性能计数器轨迹。我们将攻击轨迹与二进制文件匹配,精确恢复所有秘密相关条件分支的结果并推断操作数属性。
通过四项攻击案例研究,我们利用6个暴露的性能计数器展示了具体可被利用的泄漏:首先,从单次Mbed TLS签名过程中提取完整RSA-4096密钥(耗时不足8分钟);其次,首次对AMD SEV-SNP虚拟机内的TOTP验证实施侧信道攻击,平均仅需31.1次猜测即可破解6位数TOTP;第三,演示从底层base32解码器泄漏TOTP派生密钥;最后构建明文校验预言机实施分割征服式攻击。研究表明:将整个虚拟机置于存在特权敌手的环境中,由于大量代码未针对该安全设置进行审查,反而扩大了攻击面。
论文链接:https://www.ndss-symposium.org/ndss-paper/counterseveillance-performance-counter-attacks-on-amd-sev-snp/
40、Cross-Origin Web Attacks via HTTP/2 Server Push and Signed HTTP Exchange
本文研究了HTTP/2服务器推送(server push)与签名HTTP交换(SXG)对同源策略(SOP)的安全影响。同源策略作为防止跨域攻击的基础性Web安全机制,其基于URI的传统严格同源判定标准被基于TLS证书中SubjectAlternativeName(SAN)列表的宽松HTTP/2授权机制所削弱。这种同源约束的弱化与无关域名共享证书的普遍现状相结合,形成了重大安全风险,使得攻击者可绕过SOP防护。我们提出两种新型攻击向量CrossPUSH和CrossSXG,使非路径攻击者能对共享证书内所有域名实施跨域攻击,包括任意跨站脚本(XSS)、Cookie操纵及恶意文件下载。实测表明这些威胁具有现实可行性且广泛存在:我们在Chrome、Edge等主流浏览器及微软等重要网站中发现漏洞。研究结果已向相关厂商负贵披露,并获得华为、百度、微软等企业的确认。
论文链接:https://www.ndss-symposium.org/ndss-paper/cross-origin-web-attacks-via-http-2-server-push-and-signed-http-exchange/
41、Crosstalk-induced Side Channel Threats in Multi-Tenant NISQ Computers
随着量子计算的快速发展,其近期应用前景日益清晰。然而高昂的成本与量子资源利用率不足正推动访问模式从单用户向多用户转型。在多租户环境中,当多个用户共享同一台量子计算机时,保护用户机密性变得至关重要。量子计算机的多样化使用场景增加了敏感数据风险——某用户编码的信息可能被其他用户窃取,这使得数据完整性与机密性保护成为核心需求。
在快速演进的量子计算生态中,必须基于现实威胁模型假设来研究这些安全挑战:攻击者无需借助量子计算机物理接触权限或恶意云服务特权,即可发动实际攻击。
本文首次在噪声中等规模量子(NISQ)设备上证明了串扰作为攻击载体的潜力——攻击者可利用多租户量子计算模型实施攻击。该侧信道攻击仅需极低且符合现实的攻击权限,其核心目标是识别受害方正在运行的量子算法。我们通过串扰特征推测受害电路中CNOT门的存在,进而利用基于图结构的学习模型对这些信息进行编码分类以识别目标量子算法。在336个基准电路上的评估表明,本攻击框架最高能以85.7%的准确率揭示受害方的量子算法。
论文链接:https://www.ndss-symposium.org/ndss-paper/crosstalk-induced-side-channel-threats-in-multi-tenant-nisq-computers/
42、Ctrl+Alt+Deceive: Quantifying User Exposure to Online Scams
网络诈骗已成为互联网用户面临的首要威胁,仅2023年就在美国造成100亿美元损失。现有研究多聚焦特定诈骗类型,尚未有研究对不同诈骗类型进行系统比较。本研究首次对终端用户接触各类网络诈骗的情况展开分析,涵盖购物、金融、加密货币、博彩、交友、资金追回和招聘七种主流诈骗类型。为量化用户接触情况,我们通过某大型网络安全厂商的数百万台终端设备(含桌面端与移动端),对607K个诈骗域名进行了数月的访问监测。我们将诈骗域名按类型分类,分别统计各类诈骗的用户接触量、地域差异、域名存活周期及广告推广情况。
研究共检测到25.1M个IP地址访问了414K个诈骗域名。日均接触诈骗的设备达149K台,其中桌面设备101K台(占比0.8%),移动设备48K台(占比0.3%)。购物诈骗最为猖獗,累计接触IP达10.2M个;加密货币诈骗次之,接触IP为653K个。诈骗域名被系统捕获后的中位存活期为11天。在所有诈骗访问记录中,至少有9.2M次(13.3%)是通过广告链接跳转,这些广告主要(59%)发布于社交媒体平台,其中Facebook是最主要的推广渠道。
论文链接:https://www.ndss-symposium.org/ndss-paper/ctrlaltdeceive-quantifying-user-exposure-to-online-scams/
43、DLBox: New Model Training Framework for Protecting Training Data
深度学习训练数据的共享引发了关于数据泄露的重大担忧,因为第三方AI开发者一旦获得数据便拥有完全控制权。当基于该数据训练的模型需返还给第三方开发者时(例如医疗初创企业使用租借的医院数据训练自有模型),问题会进一步恶化——恶意开发者能轻易通过模型泄露训练数据,因其可在两者间构建任意数据流(例如将原始训练数据直接编码至模型中,或通过隐蔽偏置使模型特征与训练数据趋同)。然而现有模型训练框架均未提供防护机制,导致不可信的AI开发者可无限制地实施数据泄露。
本文提出新型模型训练框架DLBox,旨在最大限度消除不可信开发者引发的攻击途径。鉴于完全阻断通过模型的数据泄露不可行,DLBox的核心目标是仅允许良性模型训练,使非常规路径的数据泄露最小化。其关键洞见在于:模型训练本质是从数据集中学习共性模式的统计过程。基于此,DLBox制定了DGM-Rules规则集,用于判定开发者提交的模型训练代码是否良性。通过重构现有训练框架并引入机密计算技术,DLBox强制实施仅基于DGM-Rules的训练流程,从而严格限制不可信开发者仅能获取良性训练模型,彻底阻断其故意泄露数据的可能性。
我们在PyTorch框架与AMD SEV-SNP平台上实现了DLBox原型系统。实验表明,该方案能有效消除重大攻击途径(成功防御数据编码、梯度反演等已知攻击),且仅引入极小性能开销。
论文链接:https://www.ndss-symposium.org/ndss-paper/dlbox-new-model-training-framework-for-protecting-training-data/
44、DShield: Defending against Backdoor Attacks on Graph Neural Networks via Discrepancy Learning
图神经网络(GNN)易受后门攻击影响,攻击者通过向原始图数据植入触发器可操纵模型预测结果。现有针对GNN的后门攻击主要针对节点分类任务,分为脏标签攻击和干净标签攻击两类。由于正常节点与受污染节点相互关联的特性,这类攻击防御面临严峻挑战。当前防御方案常被复杂触发器绕过,且过度依赖从其他领域(如图像数据中毒时的损失值骤降)移植的强假设条件,导致无法同时有效抵御两类攻击,存在较高安全风险。为此,我们提出DShield——一个基于差异学习机制的综合防御框架。通过分析攻击过程,我们发现两个关键现象:脏标签攻击会引发受污染节点语义信息偏移(semantic drift),而干净标签攻击会过度强化特定属性以实现恶意预测(attribute over-emphasis)。基于这些发现,DShield首先采用自监督学习框架构建不依赖被篡改标签的模型;继而通过对比自监督模型与后门模型的语义信息及属性重要性差异,精准识别并过滤受污染节点;最终利用净化后的节点训练鲁棒模型。我们在7个数据集、2种目标模型上对比了6种前沿防御方案对21种后门攻击的防护效果。实验表明DShield在保持正常节点性能(如Cora数据集82.15%准确率)的同时,能将攻击成功率从次优方案Prune的54.47%降至1.33%。源代码已开源:https://github.com/csyuhao/DShield。
论文链接:https://www.ndss-symposium.org/ndss-paper/dshield-defending-against-backdoor-attacks-on-graph-neural-networks-via-discrepancy-learning/
45、DUMPLING: Fine-grained Differential JavaScript Engine Fuzzing
网络浏览器无处不在,它们执行不受信任的JavaScript(JS)代码。JS引擎通过即时(JIT)编译对频繁执行的代码进行优化。优化过程中微妙的假设冲突常导致JS引擎漏洞。攻击者可利用这些矛盾假设,结合JS的灵活性构造漏洞利用程序,引发计算错误、移除JIT编译代码中的边界检查,最终实现任意代码执行。传统JS引擎模糊测试方法仅在引擎崩溃或运行时断言失败时才能检测漏洞。差分模糊测试则通过对比解释执行代码与优化后的JIT编译代码来发现执行差异。近期研究采用临时JS函数探测程序执行状态,通过运行时读取变量值实现检测。但这些方法检测执行差异的能力有限,且会抑制JIT编译优化,导致JS引擎测试覆盖不足。
我们提出差分模糊测试工具DUMPLING,可对比任意JS程序在优化与非优化状态下的完整执行状态。不同于对JS输入插桩的传统方法,DUMPLING直接对JS引擎插桩,实现深度精准的内省。这些细粒度执行状态(称为帧转储)能以高频率提取,甚至在JIT编译函数执行过程中亦可获取。DUMPLING在久经测试的V8引擎中发现8个新漏洞,而现有差分测试方法难以发现新漏洞。我们因报告DUMPLING发现的漏洞获得谷歌漏洞奖励计划11,000美元奖金。
论文链接:https://www.ndss-symposium.org/ndss-paper/dumpling-fine-grained-differential-javascript-engine-fuzzing/
46、Deanonymizing Device Identities via Side-channel Attacks in Exclusive-use IoTs & Mitigation
诸如蓝牙低功耗(BLE)和Wi-Fi等无线技术是物联网(IoT)的核心,它们无需物理连接即可实现设备间的无缝通信。然而,这种便利性伴随着代价——暴露的数据交换易受攻击者窥探,从而引发设备跟踪等严重的安全与隐私威胁。尽管协议设计者传统上依赖地址与身份随机化等策略作为防御手段,但我们的研究表明,由于专有无线通信中存在一个长期被忽视的根本性缺陷,此类攻击仍构成重大威胁。我们将专有使用定义为设备设计为仅向关联或配对设备提供功能的场景。这种关系固有的独特通信模式会形成一个可观测的布尔型侧信道,攻击者可利用该信道推断两台设备是否彼此"信任"。此类信息泄露会导致设备去匿名化,即使存在现代防御措施仍可实现跟踪。我们将这类跟踪攻击命名为IDBleed,并证明支持机密性、完整性与认证的BLE和Wi-Fi协议,由于专有通信模式的这一根本缺陷,依然面临去匿名化风险。最后,我们提出了一种通用型隐私保护缓解方案匿名化层,通过定量评估表明其在测试智能手机与PC上仅产生约2%的可忽略性能与功耗开销。
论文链接:https://www.ndss-symposium.org/ndss-paper/deanonymizing-device-identities-via-side-channel-attacks-in-exclusive-use-iots-mitigation/
47、Defending Against Membership Inference Attacks on Iteratively Pruned Deep Neural Networks
模型剪枝是一种用于压缩深度学习模型的技术,采用迭代方式进行剪枝能以更低的效用损失实现更好的压缩效果。然而我们的分析表明,迭代剪枝会显著增强模型记忆能力,使得剪枝后的模型更容易遭受成员推理攻击(MIAs)。遗憾的是,现有绝大多数针对MIAs的防御方案都是为原始未剪枝模型设计的。本文提出新框架WeMem,用于在迭代剪枝过程中削弱模型记忆。具体而言,我们通过分析发现导致迭代剪枝中记忆增强的两个关键因素——数据复用和固有记忆性。我们分别考察这两个因素的独立及联合影响,形成导致迭代剪枝模型记忆增强的三种场景,并基于这些因素的特征设计了三种防御原语。通过组合这些原语,我们针对每种场景提出了有效削弱记忆的方法。在十种自适应MIAs下的综合实验验证了所提防御方案的有效性。此外,我们的防御方案在隐私-效用权衡和效率方面优于五种现有防御方案。我们还对防御方案进行了增强,使其能自动调整设置以获得最佳防御效果,从而提升其实用性。
论文链接:https://www.ndss-symposium.org/ndss-paper/defending-against-membership-inference-attacks-on-iteratively-pruned-deep-neural-networks/
48、Delay-allowed Differentially Private Data Stream Release
涉及差分隐私数据流发布任务的研究历来以实时场景为核心。然而,并非所有数据流本质上都需要实时发布,且实际环境中受网络延迟和处理能力限制,实现实时发布具有挑战性。我们深入探究了在流发布中引入延迟时间的优势。聚焦于事件级隐私设置,发现引入延迟能突破现有方法的局限性,从而为提升准确性释放巨大潜力。
基于这些发现,我们开发了支持延迟的数据流发布框架。利用数据相似性和相对顺序特征,设计出分组优化和顺序优化两种策略,有效降低噪声添加量并优化噪声数据的后处理。此外,我们提出创新的敏感度截断机制,进一步显著减少引入的噪声量。在长度为18,319的数据流上的全面实验表明:当允许10个时间戳的延迟时,所提方法相比基线方案可实现高达30倍的精度提升。
代码已开源。
论文链接:https://www.ndss-symposium.org/ndss-paper/delay-allowed-differentially-private-data-stream-release/
49、Density Boosts Everything: A One-stop Strategy for Improving Performance, Robustness, and Sustainability of Malware Detectors
在当今网络安全领域,AI驱动的检测器已成为恶意软件检测的关键工具。然而,现有AI检测器面临诸多挑战,包括投毒攻击、逃逸攻击和概念漂移,这些挑战源于AI方法固有的特性。尽管已有大量解决方案被提出以应对这些问题,但它们往往聚焦于孤立问题,忽视了其对恶意软件检测其他方面的广泛影响。
本文突破传统思路,不针对单一问题,而是识别出这些挑战的根本诱因之一——稀疏性。稀疏性指某些特征值出现频率极低,在整个数据集中仅呈现极少次数的现象。作者首次强调了稀疏性的重要性,并将其与恶意软件检测领域的核心挑战相关联,进而通过解决稀疏性问题,力求同步提升检测性能、鲁棒性和可持续性。为应对稀疏性问题,本研究设计了一种新型压缩技术以有效缓解稀疏状况,同时提出密度增强训练方法持续填充稀疏区域。实证结果表明,所提方案不仅成功增强了模型对抗多种攻击的韧性,还实现了性能与长期可持续性的双重提升。此外,这些方案与现有防御技术具有互补性,成功构建出兼具更高检测性能和抗攻击能力的实用分类器。
论文链接:https://www.ndss-symposium.org/ndss-paper/density-boosts-everything-a-one-stop-strategy-for-improving-performance-robustness-and-sustainability-of-malware-detectors/
50、Detecting IMSI-Catchers by Characterizing Identity Exposing Messages in Cellular Traffic
国际移动用户识别码(IMSI)捕捉器使得非蜂窝网络供应商的第三方能够秘密追踪移动设备用户。尽管研究界已开发出多种工具应对此问题,但现有解决方案主要依赖关联行为分析,因而存在大量误判。本文提出一种基于通信标准的方法论,聚焦于IMSI捕捉器必须使用的强制设备提供永久标识符的文本消息——即通过因果性特征而非相关性特征进行检测。我们系统性地分析了可能导致IMSI暴露的通信流程(其中大部分尚未被研究界关注),识别出53种可用于攻击的通信消息。随后在两大洲开展测量研究,量化正常通信中这些消息的使用比例。基于这些基准数据,我们对比开源IMSI捕捉器实现方案,并在一个备受媒体关注的大型活动中观测到异常通信行为。分析结果强烈表明该公开活动中存在IMSI捕捉器(p值<<0.005),成为首篇通过统计学显著性验证其发现的学术文献。
论文链接:https://www.ndss-symposium.org/ndss-paper/detecting-imsi-catchers-by-characterizing-identity-exposing-messages-in-cellular-traffic/
51、Detecting Ransomware Despite I/O Overhead: A Practical Multi-Staged Approach
勒索软件攻击已成为企业和家庭用户最为恐惧的网络攻击之一。由于攻击手段不断升级,采用高级钓鱼攻击和零日漏洞利用,从新手用户到专家均面临风险。因此,大量研究聚焦于预防和检测勒索软件攻击,其中实时监控I/O活动是最主流的检测方法。这些方法的共同点在于将代码注入操作系统I/O栈的执行过程中——而I/O栈本身是日益优化的系统。然而,这些方法似乎未考虑此类机制集成对系统性能的影响,或仅针对慢速存储介质(如机械硬盘)进行评估。
本文分析了Windows和Linux系统中监控不同I/O操作特征对性能的影响。研究发现,即便是缓冲区熵等简单特征,也可能使执行时间增加350%,并导致SSD性能下降高达75%。为缓解性能损耗,我们提出根据进程行为实时动态调整监控特征数量。为此,我们设计并实现了一个多阶段入侵检测系统(IDS),通过在不同监控特征的阶段间动态迁移进程来调整开销。将看似无害的进程迁移至特征较少、开销较低的阶段,同时将可疑进程迁移至特征更全面的阶段以验证威胁,可大幅降低系统执行I/O操作的平均时间。
我们通过结合公开数据集的真实I/O行为与实测操作数据评估方案有效性,发现多阶段设计能在保持传统单阶段方案检测精度的同时,将I/O操作开销降低一个数量级。这一成果使得勒索软件检测的实时行为监控技术,尽管存在固有开销,仍具备实际可行性。
论文链接:https://www.ndss-symposium.org/ndss-paper/detecting-ransomware-despite-i-o-overhead-a-practical-multi-staged-approach/
52、DiStefano: Decentralized Infrastructure for Sharing Trusted Encrypted Facts and Nothing More
我们设计了DiStefano:一种高效、具备恶意安全性的框架,用于在TLS加密网络流量上生成私有承诺,供指定第三方验证。相较于先前的TLS承诺系统,DiStefano实现了多项改进,包括:专为TLS 1.3设计的模块化协议、支持对加密数据的任意可验证声明、客户端在预授权TLS服务器间的浏览历史隐私保护,以及多种优化措施确保TLS 1.3会话的快速在线性能。我们基于BoringSSL密码学库(被Chromium系浏览器采用)构建了宽松开源的DiStefano实现。实验表明,DiStefano在局域网和广域网环境下均能高效处理任意TLS流量的事实承诺,完整在线协议阶段执行时间<1秒且传输量≤80 KiB。
论文链接:https://www.ndss-symposium.org/ndss-paper/distefano-decentralized-infrastructure-for-sharing-trusted-encrypted-facts-and-nothing-more/
53、Diffence: Fencing Membership Privacy With Diffusion Models
深度学习模型虽然在各类任务中表现卓越,却易受成员推断攻击(MIA)的影响——攻击者能据此判断特定数据点是否属于模型的训练集。这种脆弱性引发了严重的隐私担忧,尤其在模型使用敏感数据训练时。尽管已有多种防御方案,但隐私保护与模型效用的平衡仍有显著提升空间。本文提出一种基于生成模型的新型MIA防御框架。我们的核心思路是通过在输入样本进入目标模型前对其重新生成,消除成员数据与非成员数据间的差异(这正是MIA所利用的关键特征)。因此,这种名为Diffence的防御机制工作在推理前阶段,区别于现有方案(或修改模型结构,或调整模型输出)。Diffence的独特之处在于仅处理输入样本,无需改动目标模型的训练或推理流程,因而可与其他防御机制级联使用(实验已验证)。该方案专门设计用于保持模型对每个样本的预测标签不变,从而不影响准确率。实证研究表明,其亦不会降低置信度向量的实用性。大量实验证明,Diffence可作为强健的即插即用防御方案,在标准场景及已有防御方案中均能提升成员隐私保护效果,且不损害模型效用(包括准确率与置信度向量价值)。例如,在三个数据集上,Diffence平均使未防御模型的MIA攻击准确率降低15.8%,攻击AUC下降14.0%,且完全不影响模型效用。当与现有最佳防御方案SELENA结合时,攻击准确率进一步降低9.3%,攻击AUC下降10.0%,实现了隐私-效用权衡的新标杆。Diffence仅带来微不足道的计算开销,平均每样本处理时间仅增加57毫秒。
论文链接:https://www.ndss-symposium.org/ndss-paper/diffence-fencing-membership-privacy-with-diffusion-models/
54、Dissecting Payload-based Transaction Phishing on Ethereum
近年来,以太坊上出现了一种超越早期简单交易钓鱼的高级网络钓鱼形式。我们将这种新型威胁称为基于有效载荷的交易钓鱼(PTXPHISH),其通过执行恶意载荷操控智能合约交互来诱骗用户。根据2023年报告,PTXPHISH已快速演变为重大安全威胁,导致损失超过7000万美元。尽管影响巨大,此前尚未有研究系统性地探讨这一现象。
本文首次对以太坊PTXPHISH开展全面研究。首先通过长期数据收集构建了首个真实PTXPHISH数据集,包含5000笔钓鱼交易。基于该数据集,我们将钓鱼手法归纳为4大类11个子类。其次提出基于规则的多维度检测方法,实现F1值超99%,平均每区块处理耗时390毫秒。最终开展为期300天的大规模检测,共发现130,637笔钓鱼交易,造成损失超3.419亿美元。深入分析揭示了重要发现:诈骗者日均消耗13.4 ETH(占以太坊总gas费的12.5%)实施地址投毒;同时追踪到钓鱼资金变现规律,前五大钓鱼组织造成了总损失的40.7%。
本研究成果在实际威胁治理方面成效显著:向社区上报1726个钓鱼地址(占同期社区总举报量的42.7%),发送2539条链上预警消息协助1980名受害者。该研究为应对新兴PTXPHISH威胁、保障用户资产安全提供了重要参考。
论文链接:https://www.ndss-symposium.org/ndss-paper/dissecting-payload-based-transaction-phishing-on-ethereum/
55、Distributed Function Secret Sharing and Applications
函数秘密共享(FSS)已成为安全计算领域的关键密码学工具,能以恒定交互轮数实现卓越的在线效率。然而现有FSS方案依赖可信第三方生成密钥,既损害安全性又影响实际部署。本文针对基于FSS的分布式点函数和分布式比较函数,提出支持算术共享输入/输出的高效分布式密钥生成方案。我们进一步设计以在线效率为核心优化的关键FSS组件,作为高级协议的基础模块。最后针对科学计算中普遍存在的复杂三角函数,提出创新评估框架:利用三角函数的周期性特性,在FSS评估阶段缩减输入比特长度,从而缓解基于FSS协议的比特长度性能瓶颈。实际应用场景的大规模实验表明,相比最先进方案,我们的框架可实现高达14.73倍的延迟降低,通信开销减少幅度达27.67至184.42倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/distributed-function-secret-sharing-and-applications/
56、Do (Not) Follow the White Rabbit: Challenging the Myth of Harmless Open Redirection
开放重定向是Web应用程序面临的最古老威胁之一,攻击者可利用网站的重定向机制将用户引导至恶意网站。随着任务处理向客户端转移的趋势,原本由服务端处理的重定向逻辑逐渐被基于JavaScript的重定向所替代,这为开放重定向带来了新的安全风险。本文通过聚焦客户端重定向机制,重新评估开放重定向漏洞的重要性——尽管这类漏洞影响深远,但由于长期被视为低危威胁,学术界对其研究严重不足。为填补这一空白,我们设计了动静结合的分析系统STORK,用于提取开放重定向漏洞特征指标。通过对Tranco排名前1万的网站进行大规模测量,我们在623个站点中发现20,800个开放重定向漏洞,并整理出184项漏洞特征指标库。随后利用这些指标对实时网页快照、谷歌搜索及互联网档案馆数据进行挖掘,额外发现326个存在漏洞的站点(包括Google WebLight和DoubleClick)。进而我们量化了实际环境中客户端开放重定向可能引发的更严重威胁:研究表明38%受影响站点中超过11.5%的漏洞可升级为XSS、CSRF及信息泄露等高危攻击,涉及Adobe、WebNovel、TP-Link和UDN等知名网站,这一发现令人警醒。最后,我们对现有防护措施的采用情况进行了全面评估。
论文链接:https://www.ndss-symposium.org/ndss-paper/do-not-follow-the-white-rabbit-challenging-the-myth-of-harmless-open-redirection/
57、Do We Really Need to Design New Byzantine-robust Aggregation Rules?
联邦学习(FL)允许多个客户端通过服务器协作训练全局机器学习模型,而无需交换其私有训练数据。然而,FL的去中心化特性使其易受投毒攻击影响——恶意客户端可通过发送篡改的本地模型更新来操纵全局模型。为抵御此类攻击,学界已提出多种针对拜占庭故障设计的鲁棒聚合规则。但这些方法仍可能被复杂攻击攻破,或依赖于对服务器不切实际的假设。本文证明无需设计新的拜占庭鲁棒聚合规则,通过增强现有成熟规则的鲁棒性即可保障FL安全。为此,我们提出新型防御机制FoundationFL:服务器在接收客户端本地模型更新后生成合成更新,随后采用Trimmed-mean或Median等基础拜占庭鲁棒聚合规则将客户端更新与合成更新结合。我们从理论上证明了FoundationFL在拜占庭场景下的收敛性能。多个真实数据集的全面实验验证了该方法的有效性。
论文链接:https://www.ndss-symposium.org/ndss-paper/do-we-really-need-to-design-new-byzantine-robust-aggregation-rules/
58、Duumviri: Detecting Trackers and Mixed Trackers with a Breakage Detector
网络追踪行为危害用户隐私。为此,互联网用户普遍采用追踪器检测与拦截工具。然而这类工具无法做到完美,因此需要在避免功能破坏(由意外拦截必要功能组件导致)与遗漏追踪器拦截之间寻求平衡。现有最先进工具主要依赖用户报告和开发者人工排查故障,这些故障可归为两类:1) 将非追踪器误判为追踪器;2) 拦截混合型追踪器——即同时包含追踪与功能组件的资源。
我们提出在追踪检测流程中集成基于机器学习的故障检测器,以自动规避对功能资源的误判。针对追踪检测和故障检测,我们创新性地采用差分特征技术,通过捕捉请求被拦截前后的差异实现更精准的判别。基于该理念,我们设计实现了原型系统Duumviri,首先针对非混合型追踪器进行验证,随后扩展应用于混合型追踪器的自动识别,在部分请求粒度上提取差分特征。
针对非混合型追踪器的测试表明:在1.5万个网页的评估中,Duumviri能以97.44%的准确率复现人工维护的过滤列表EasyPrivacy的标注结果。经人工核验,该系统不仅能识别未报告的追踪器,其故障检测模块还能发现EasyPrivacy中导致功能破坏的过严规则。在混合型追踪器检测方面,Duumviri作为首个自动化解决方案,实现了74.19%的准确率下限。通过该系统,我们已发现并确认22个未报告独立追踪器和26个混合型追踪器。
论文链接:https://www.ndss-symposium.org/ndss-paper/duumviri-detecting-trackers-and-mixed-trackers-with-a-breakage-detector/
59、EAGLEYE: Exposing Hidden Web Interfaces in IoT Devices via Routing Analysis
隐藏式Web接口,即物联网设备中未公开的访问通道,会带来重大安全风险,近年来已引发多起严重攻击事件。然而对此类威胁的定义仍模糊不清,现有解决方案也鲜少能有效发现它们。由于其隐蔽特性,传统漏洞检测方案(如污点分析、模糊测试)难以对其进行检测。本文提出创新解决方案EAGLEYE,可自动暴露物联网设备中的隐藏Web接口。通过分析对公开接口的输入请求,我们首先识别请求中的路由令牌——即被固件代码(路由机制)引用并作为索引值(如操作指令或文件名)来查找关联处理函数的数据。随后利用现代大语言模型分析这些路由令牌的上下文语境,归纳其通用模式,进而推断这些令牌的其他候选值(如其他操作指令或文件名)。最后实施隐藏接口导向的黑盒模糊测试,将这些候选值作为高质量字典对输入请求中的路由令牌进行变异。我们实现了EAGLEYE原型系统,并在13款商用物联网设备上进行评估。EAGLEYE成功发现79个隐藏接口,数量达到当前最优方案IoTScope的25倍。其中进一步发现29个未知漏洞(包括后门、跨站脚本、命令注入及信息泄露),并已获得7个CVE编号。
论文链接:https://www.ndss-symposium.org/ndss-paper/eagleye-exposing-hidden-web-interfaces-in-iot-devices-via-routing-analysis/
60、EMIRIS: Eavesdropping on Iris Information via Electromagnetic Side Channel
虹膜识别因其纹理模式的独特性、稳定性及防伪性,成为目前最安全的生物特征识别技术之一,常被应用于高安全等级的身份认证场景。然而,采用近红外(NIR)传感器的系统可能泄露用户虹膜信息,造成重大隐私风险。本研究发现NIR传感器数据传输时产生的电磁(EM)辐射与虹膜数据存在强相关性,据此提出EMIRIS——一种基于电磁侧信道重构虹膜信息的方法。通过解构NIR传感器的数字信号传输格式与虹膜数据矩阵的映射机制,可从电磁信号中还原虹膜信息并转换为虹膜图像。为提升重建质量,我们将虹膜纹理细节的去噪复原建模为线性逆问题,并定制扩散模型进行求解。大量实验表明,EMIRIS能有效从商用虹膜设备中重构虹膜信息,平均结构相似性(SSIM)达0.511,平均Fréchet距离(FID)为7.25。更严峻的是,这些重建虹膜可成功欺骗经典识别模型,在50名用户的3000余份虹膜样本上平均攻击成功率达53.47%。
论文链接:https://www.ndss-symposium.org/ndss-paper/emiris-eavesdropping-on-iris-information-via-electromagnetic-side-channel/
61、ERW-Radar: An Adaptive Detection System against Evasive Ransomware by Contextual Behavior Detection and Fine-grained Content Analysis
为规避现有杀毒软件与检测系统,勒索软件作者常通过模仿良性程序或弱化加密阶段的恶意行为来掩盖行为差异。现有防御方案对规避型勒索软件的防护效果有限。通过大量观察,我们发现此类勒索软件在加密过程中会呈现独特的I/O行为重复性特征,而良性程序极少出现该现象。此外,卡方检验与字节流概率分布能有效区分加密文件与良性修改文件。基于此,我们首次提出ERW-Radar检测系统,实现高效精准的规避型勒索软件检测。其突破性体现在:1)基于上下文关联机制检测恶意行为;2)通过细粒度内容分析机制识别加密文件;3)采用自适应机制实现检测效率与准确性的最优平衡。实验表明ERW-Radar检测准确率达96.18%,误报率仅5.36%,平均资源开销为CPU利用率5.09%、内存利用率3.80%。
论文链接:https://www.ndss-symposium.org/ndss-paper/erw-radar-an-adaptive-detection-system-against-evasive-ransomware-by-contextual-behavior-detection-and-fine-grained-content-analysis/
62、Eclipse Attacks on Monero's Peer-to-Peer Network
日蚀攻击是区块链网络层面临的主要威胁,攻击者通过独占目标节点的所有连接将其隔离,使其与网络其余部分断开。尽管该攻击在比特币(Usenix'15、SP'20、Usenix'21、CCS'21、SP'23)和部分以太坊(NDSS'23、SP'23)系统中已被证实有效,但其在更广泛区块链系统中的适用性仍不明确。
本文研究了针对门罗币的日蚀攻击,该系统以强大的匿名性和率先采用Dandelion++(目前最先进的区块链交易隐私保护网络层协议)而闻名。通过对门罗币连接管理机制的分析,我们发现现有日蚀攻击对其效果甚微。为此,我们首次提出针对门罗币的实用日蚀攻击方案,通过设计连接重置方法强制目标节点丢弃所有良性连接并重连至恶意节点。具体而言,我们阐述两种实施方式:第一种利用私有交易机制,第二种则基于Dandelion++协议下茎干交易与蓬松交易的传播差异。该攻击不仅适用于门罗币,也可推广至所有采用Dandelion++及类似连接管理策略的区块链系统。
我们在门罗主网进行实验,评估结果证实了攻击可行性。与现有日蚀攻击不同,基于连接重置的方案无需重启目标节点,大幅加速攻击进程并提升可控性。同时,我们提出防御措施以缓解此类攻击,同时将对门罗币的影响降至最低。此外,我们已遵循道德准则将研究成果提交至门罗官方团队。
论文链接:https://www.ndss-symposium.org/ndss-paper/eclipse-attacks-on-moneros-peer-to-peer-network/
63、Enhancing Security in Third-Party Library Reuse – Comprehensive Detection of 1-day Vulnerability through Code Patch Analysis
当今软件开发日新月异,不断融入新功能。为促进这种发展并为开发者创建和更新软件提供便利,复用开源软件(即第三方库复用)已成为最有效的方法之一。然而,由于第三方库(TPL)维护不足,复用行为也可能引入已知漏洞(即1-day漏洞),导致许多存在漏洞的版本仍被使用。若软件未能检测这些引入的漏洞并延迟更新,将加剧安全风险。但复杂的代码依赖关系和TPL复用的灵活性,使得1-day漏洞检测成为一项挑战性任务。
为帮助开发者在软件开发过程中安全复用TPL,我们设计并实现了VULTURE——一种高效检测工具,旨在识别因复用存在漏洞的TPL而产生的1-day漏洞。该工具首先执行数据库创建方法TPLFILTER,利用大语言模型(LLM)自动构建目标平台的专属数据库。不同于依赖代码级相似性比对,VULTURE采用基于哈希的比较方式,探索所收集TPL间的依赖关系,并识别TPL与目标项目间的相似性。考虑到开发者可采用完整复用或自定义方式复用TPL,VULTURE分别执行基于版本的比较和基于代码块的分析,以在函数级别捕获细粒度语义特征。我们将VULTURE应用于10个真实项目,评估其检测1-day漏洞的有效性与效率。结果显示,VULTURE成功从178个复用TPL中识别出175个漏洞。
论文链接:https://www.ndss-symposium.org/ndss-paper/enhancing-security-in-third-party-library-reuse-comprehensive-detection-of-1-day-vulnerability-through-code-patch-analysis/
64、Evaluating Machine Learning-Based IoT Device Identification Models for Security Applications
随着物联网设备的激增,网络设备识别对于有效的网络管理和安全至关重要。尽管基于机器学习的物联网设备识别方案具有潜力,但许多方案在实际应用中存在性能下降问题。这种性能下降源于现有方案假设物联网环境是静态的,未能考虑真实物联网网络的多样性——设备往往运行于多种模式并随时间动态演变。本文通过精选数据集和代表性特征,在不同场景下评估了当前物联网设备识别方案。我们研究了影响实际设备识别的关键因素,包括运行模式、时空变化和流量采样,并将其归纳为一组评估属性。随后运用机器学习可解释性技术定位性能下降的核心原因。本次评估不仅揭示了持续设备识别的实证依据,更为网络运营商提供了提升物联网设备识别能力的实用建议与宝贵洞见,助力实际部署优化。
论文链接:https://www.ndss-symposium.org/ndss-paper/evaluating-machine-learning-based-iot-device-identification-models-for-security-applications/
65、EvoCrawl: Exploring Web Application Code and State using Evolutionary Search
随着越来越多的关键服务迁移至网络,检测并解决Web应用中的漏洞变得愈发重要。这些漏洞仅在特定条件下出现:1)当漏洞代码被执行时;2)当Web应用处于所需状态时。若应用未满足状态要求,即使执行漏洞代码也可能无法触发漏洞。现有研究通常采用简单方式探索应用状态——在提交HTML表单前填满所有字段并触发所有JavaScript事件。但这种粗放策略可能无法满足网页元素间的约束关系及输入格式限制。为此,我们提出EvoCrawl:一种利用进化搜索高效发现不同Web交互序列的爬虫工具。相比传统方法,EvoCrawl能发现成功提交输入至Web应用的交互序列,从而探索更多代码及服务器端状态。为验证优势,我们在十个Web应用上对比三种前沿漏洞扫描器进行评估。结果表明,EvoCrawl凭借在特定应用状态下执行代码的能力,实现了更优的代码覆盖率——平均提升59%,HTML表单提交成功率更是达到次优工具的5倍。通过集成IDOR与XSS漏洞扫描模块,我们使用EvoCrawl在WordPress、HotCRP、Kanboard、ImpressCMS和GitLab中发现了8个零日IDOR与XSS漏洞。
论文链接:https://www.ndss-symposium.org/ndss-paper/evocrawl-exploring-web-application-code-and-state-using-evolutionary-search/
66、Explanation as a Watermark: Towards Harmless and Multi-bit Model Ownership Verification via Watermarking Feature Attribution
所有权验证是目前保护模型版权最核心且广泛采用的事后方法。通常,模型所有者通过检测可疑第三方模型是否具有从已发布模型"继承"的特定属性,来判定其是否被盗用。当前,基于后门的模型水印技术是向发布模型中植入此类属性的主流前沿方法。然而,基于后门的方法存在两大致命缺陷:危害性和模糊性。前者指这类方法会给带水印的发布模型引入恶意可控的误分类行为(即后门);后者意味着恶意用户通过寻找其他误分类样本即可轻易通过验证,导致所有权归属模糊。本文指出,这两大缺陷均源于现有水印方案的"零比特"特性——即依赖预测结果(误分类状态)进行验证。基于此认知,我们设计了一种新型水印范式"解释即水印"(EaaW),将验证行为植入特征归因解释而非模型预测中。具体而言,EaaW在不改变原始预测的前提下,将"多比特"水印嵌入特定触发样本的特征归因解释中,并基于可解释人工智能技术设计了水印嵌入与提取算法。该方案可适用于图像分类、文本生成等不同任务。大量实验验证了EaaW的有效性、无害性及抗攻击能力。
论文链接:https://www.ndss-symposium.org/ndss-paper/explanation-as-a-watermark-towards-harmless-and-multi-bit-model-ownership-verification-via-watermarking-feature-attribution/
67、Exploring User Perceptions of Security Auditing in the Web3 Ecosystem
在快速发展的Web3生态系统中,透明审计已成为应用程序和用户的关键要素。然而,人们对用户如何理解这种新型审计形式及其对Web3安全的影响仍存在显著认知空白。本研究采用混合方法,结合案例研究、用户访谈和社交媒体数据分析,运用风险感知模型全面探究Web3用户对信息可访问性、审计角色及其对用户行为影响的认知。基于这些广泛发现,我们探讨了这种开放式审计如何塑造Web3生态系统的安全性,指出现有挑战,并提出设计启示。
论文链接:https://www.ndss-symposium.org/ndss-paper/exploring-user-perceptions-of-security-auditing-in-the-web3-ecosystem/
68、FUZZUER: Enabling Fuzzing of UEFI Interfaces on EDK-2
统一可扩展固件接口(UEFI)规范描述了一种与平台无关的操作系统(OS)预启动接口。EDK-2中UEFI接口函数的漏洞具有严重后果,可能导致启动工具包(Bootkits)等持久性恶意软件,即使重装操作系统仍能存活。然而目前尚不存在针对UEFI接口的漏洞检测技术。我们提出了FUZZUER——一种面向EDK-2(当前示范性且广泛使用的UEFI实现)接口的反馈引导模糊测试技术。我们设计了FIRNESS系统,通过静态分析技术自动生成接口函数的模糊测试驱动。在最新版EDK-2上的评估表明:针对150个接口函数的全面测试中,配备FIRNESS的FUZZUER显著优于现有基于人工编写驱动的测试工具HBFA,成为EDK-2 UEFI接口函数的有效测试方案。我们发现了20个新安全漏洞,其中大部分已获得开发者确认。
论文链接:https://www.ndss-symposium.org/ndss-paper/fuzzuer-enabling-fuzzing-of-uefi-interfaces-on-edk-2/
69、From Large to Mammoth: A Comparative Evaluation of Large Language Models in Vulnerability Detection
大型语言模型(LLM)在代码理解与生成等任务中展现出强大潜力。本研究评估了LLaMA-2、CodeLLaMA、LLaMA-3、Mistral、Mixtral、Gemma、CodeGemma、Phi-2、Phi-3及GPT-4等先进模型在漏洞检测(以Java为主,辅以C/C++测试泛化能力)中的表现。我们从基础的正样本检测转向更具挑战性的正负样本混合任务,并测试模型识别特定漏洞类型的能力。通过运行时分析和零样本/少样本设置下的检测准确率(采用定制与通用指标),发现Gemma和LLaMA-2等模型表现突出,但效果存在波动——部分配置的检测效果甚至不优于随机猜测。不同编程语言和学习模式(零样本vs少样本)下的性能也存在显著差异。我们进一步探究了模型参数量、量化方法、上下文窗口(CW)尺寸和架构选择对漏洞检测的影响:CW始终能提升性能,而量化等其他参数的增益则较有限。总体而言,研究结果既印证了LLM在自动化漏洞检测中的潜力,也揭示了模型参数间的复杂相互作用,以及在多样化场景和配置中存在的当前局限性。
论文链接:https://www.ndss-symposium.org/ndss-paper/from-large-to-mammoth-a-comparative-evaluation-of-large-language-models-in-vulnerability-detection/
70、GAP-Diff: Protecting JPEG-Compressed Images from Diffusion-based Facial Customization
文本到图像扩散模型的微调技术允许人们利用有限的身份图像轻松生成大量定制照片。尽管该技术易于使用,但其滥用可能导致侵犯个人肖像权与隐私,虚假信息和有害内容还可能对个体造成进一步伤害。已有研究提出通过向用户图像添加干扰微调模型的保护性噪声来防止人脸被定制。然而,现代社交网络常规的JPEG压缩等简单预处理技术,能轻易消除现有方法的保护效果。为抵御JPEG压缩及其他潜在预处理操作,我们提出GAP-Diff框架——基于无监督学习优化的文本到图像扩散模型对抗扰动数据生成系统,包含三大功能模块。具体而言,该框架通过预处理模拟模块反向传播梯度信息,同步学习对抗JPEG压缩的鲁棒表征与破坏文本到图像扩散模型微调的对抗特征。此外,我们通过设计针对微调方法和JPEG压缩的对抗损失函数,在毫秒级时间内实现从原始图像到受保护图像的对抗映射,生成更具保护效力的噪声。人脸基准实验表明,相较于最先进的保护方法,GAP-Diff显著提升了保护噪声对JPEG压缩的抵抗能力,从而在数字世界中更好地捍卫用户隐私与版权。
论文链接:https://www.ndss-symposium.org/ndss-paper/gap-diff-protecting-jpeg-compressed-images-from-diffusion-based-facial-customization/
71、GadgetMeter: Quantitatively and Accurately Gauging the Exploitability of Speculative Gadgets
自2018年出现以来,推测执行攻击已被证明难以在不造成显著性能开销的情况下彻底防范。这是因为大多数缓解措施会损害现代处理器的推测特性,而该特性对众多优化技术至关重要。为此,业界开发了大量扫描器来识别软件应用中的脆弱代码片段(推测型gadget),从而选择性实施缓解措施以最小化性能损耗。
本文指出,现有推测型gadget扫描器因对时序特性的建模不足而缺乏准确性,常导致误判。我们通过研究发现,所有推测攻击本质上还存在另一个关键条件——gadget内部作为竞态条件的时序要求。具体而言,攻击者必须优化推测授权与秘密泄露之间的竞态条件才能成功利用gadget。为此,我们提出GadgetMeter框架,基于时序特性定量评估推测型gadget的可利用性。我们系统化探索了攻击者优化gadget内部竞态条件(窗口化能力)的潜力,采用有向无环指令图建模时序条件,结合静态分析与运行时测试来优化攻击模式并量化gadget脆弱性。
我们运用GadgetMeter评估了包括六个真实应用和Linux内核在内的广泛软件中的gadget。结果表明,GadgetMeter能精准识别可被利用的推测型gadget并量化其脆弱等级,同时判定现有扫描器报告的471个gadget实际不可利用。
论文链接:https://www.ndss-symposium.org/ndss-paper/gadgetmeter-quantitatively-and-accurately-gauging-the-exploitability-of-speculative-gadgets/
72、Generating API Parameter Security Rules with LLM for API Misuse Detection
在使用库API时,开发者应遵循API安全规则以降低误用风险。API参数安全规则(APSR)作为常见的安全规则类型,规定了参数的安全使用方式并对其取值施加约束。违反APSR可能引发严重安全问题,包括空指针解引用和内存破坏。人工分析海量API及其参数来构建APSR不仅耗时费力,更需实现自动化。现有研究通过文档和代码生成APSR,但因信息缺失和启发式分析局限会导致规则遗漏。鉴于大语言模型(LLM)在无预设启发式规则的情况下展现出的卓越代码分析与文本生成能力,我们尝试利用其解决API误用检测中的挑战。但直接使用LLM会产生错误APSR(导致检测中误报缺陷)和过度泛化的APSR(无法生成有效检测代码而漏报安全缺陷)。
本文提出新型框架GPTAid,通过LLM分析API源码自动生成APSR,并检测参数误用引发的API违规行为。为验证LLM生成APSR的正确性,我们基于"关键API误用多源于违反APSR且通常引发运行时错误"的观察,提出执行反馈校验方法。具体而言,GPTAid首先用LLM生成原始APSR及正确调用代码,随后通过LLM修改正确代码生成每条原始APSR对应的违规代码。接着对每条违规代码实施动态执行,依据运行时错误筛除错误APSR。为进一步生成具体APSR,GPTAid采用代码差分分析精炼过滤后的规则:鉴于编程语言比自然语言更精确,框架通过差分分析定位违规代码中的关键操作,据此生成对应的具体APSR。这些具体规则可精准转换为有效检测代码,实证表明其在API误用检测中效果显著。
在包含8个流行库中随机选取的200个API数据集上,GPTAid实现92.3%的准确率。在已报告缺陷与APSR的对比数据集上,其生成规则数量达到现有最优检测器的6倍。我们对47个应用程序进一步测试,发现210个可能导致严重安全问题(如系统崩溃)的未知安全缺陷,其中150个在提交报告后已获开发者确认。
论文链接:https://www.ndss-symposium.org/ndss-paper/generating-api-parameter-security-rules-with-llm-for-api-misuse-detection/
73、GhostShot: Manipulating the Image of CCD Cameras with Electromagnetic Interference
CCD相机在需要高质量图像数据的专业与科学应用中至关重要,其成像可靠性是构建可信计算机视觉系统的基础。已有研究证明利用有意电磁干扰(IEMI)可向CCD相机注入难以察觉的图像篡改。本研究设计了一种能力增强型攻击手段GhostShot,能在正常光照条件下通过IEMI向CCD相机注入任意灰度或彩色图像。我们通过原理性分析揭示了IEMI对注入图像的形状、亮度和色彩的因果影响机制,并基于幅相调制实现了对注入图案的有效控制。设计端到端攻击流程后,我们在15款商用CCD相机上成功验证了攻击有效性。通过医疗诊断、火灾监测、二维码识别及目标检测等场景的潜在影响论证,发现伪造图像不仅能误导计算机视觉系统,甚至可欺骗人眼判断。
论文链接:https://www.ndss-symposium.org/ndss-paper/ghostshot-manipulating-the-image-of-ccd-cameras-with-electromagnetic-interference/
74、HADES Attack: Understanding and Evaluating Manipulation Risks of Email Blocklists
基于DNS的拦截列表(DNSBL)长期以来是防范恶意邮件的有效手段。尽管已有研究关注此类拦截列表的质量评估,但其实际采用情况、端到端运行机制及安全问题却鲜为人知。依托15个月内邮件未送达报告的工业级数据集,本文首先对DNSBL的采用情况展开大规模测量,发现繁忙邮件服务器普遍依赖该技术。通过对29家DNSBL提供商的端到端运行机制进行实证研究,我们发现其高度依赖捕获服务器(一种诱捕垃圾邮件发送者的隐蔽基础设施)来生成拦截列表。然而,此类捕获服务器存在被滥用的风险,我们据此披露HADES攻击——攻击者可恶意将正常邮件服务器注入主流DNSBL,导致受害者发出的合法邮件被广泛拒收。实地测试表明该攻击成本低廉且效果显著:我们成功将实验邮件服务器注入14个DNSBL,最快仅需3分钟,最长不超过24小时。实际评估还发现针对知名受害者的巨大攻击潜力,例如大型邮件服务商和热门网站。经负责任披露,已有5家DNSBL提供商确认该问题,我们同时提出可能的缓解方案。本文研究结果揭示了重新审视DNSBL安全机制及其运营规范的必要性。
论文链接:https://www.ndss-symposium.org/ndss-paper/hades-attack-understanding-and-evaluating-manipulation-risks-of-email-blocklists/
75、Heimdall: Towards Risk-Aware Network Management Outsourcing
企业正日益将网络管理(如路由故障排查)外包以降低成本并提升效率,方式包括雇佣第三方承包商或委托第三方供应商。然而近期事件表明,这种外包模式已成为客户网络事故的新源头。本研究提出需要采用风险感知的外包方法,使客户能够透明地衡量和评估风险,并通过知情决策将危害最小化。我们首先明确定义外包网络管理背景下的风险概念,继而提出端到端框架Heimdall,帮助企业评估、监控和应对风险。该框架自动构建依赖关系图以精准评估外包任务风险,并采用细粒度引用监控器在运行期间监测和缓解潜在风险。专家验证结果表明,Heimdall能有效控制网络运维外包风险,以最低风险级别解决92%的实际问题,仅产生约7%的边际时间开销。
论文链接:https://www.ndss-symposium.org/ndss-paper/heimdall-towards-risk-aware-network-management-outsourcing/
76、Hidden and Lost Control: on Security Design Risks in IoT User-Facing Matter Controller
Matter正逐渐成为物联网行业统一标准,旨在提升各类智能家居产品间的互操作性,使其能够安全无缝地协同工作。随着众多主流物联网厂商在消费级产品中加速支持Matter标准,我们开展系统性研究,探究厂商如何安全集成Matter至物联网系统、该标准对厂商安全集成的支持程度。
通过分析实际场景中的Matter开发模式,我们揭示了一种新型面向用户的控制能力与接口设计缺陷(UMCCI缺陷)。这类缺陷存在于设计空间中,属于可被利用的安全漏洞,会严重损害物联网用户对Matter设备必要的控制与监控能力。为此我们开发了自动化检测工具UMCCI Checker,结合大语言模型增强界面分析能力,可在不依赖实体设备的情况下自动识别UMCCI缺陷。借助该工具,我们对8家主流厂商的11款Matter设备进行了概念验证攻击研究,证实UMCCI缺陷具有普遍性和现实危害性。相关漏洞已获CSA(连接标准联盟)、苹果、涂鸦、Aqara等厂商确认。
为协助CSA及厂商在开发和集成Matter等物联网标准时规避安全缺陷,我们总结了两类根本成因并提出即时修复建议。
论文链接:https://www.ndss-symposium.org/ndss-paper/hidden-and-lost-control-on-security-design-risks-in-iot-user-facing-matter-controller/
77、Hitchhiking Vaccine: Enhancing Botnet Remediation With Remote Code Deployment Reuse
数十年来,执法机构与企业尝试通过接管僵尸网络来打击网络犯罪,但成效参差不齐。这些行动依赖DNS沉洞或夺取C&C基础设施,需耗时数月筹备,且常忽略清理受感染设备上的残留恶意程序,致使僵尸网络运营者能向僵尸节点推送更新并重获控制权。本文拓展了恶意软件清除的目标,提出应隐蔽及时地清除受感染设备上的前端僵尸程序。具体而言,我们主张利用恶意软件内置的更新机制分发定制修复载荷。研究旨在获得法律授权后,实现这一必要但极具挑战性的修复步骤。我们开发了ECHO自动化恶意软件取证流程,可提取载荷部署例程并生成修复载荷,从而禁用或清除受感染设备上的前端僵尸程序。通过对702个安卓恶意软件的研究表明,ECHO的清除方案可修复其中523个样本,修复方式涵盖从隐蔽警告用户感染到彻底卸载恶意软件。
论文链接:https://www.ndss-symposium.org/ndss-paper/hitchhiking-vaccine-enhancing-botnet-remediation-with-remote-code-deployment-reuse/
78、Horcrux: Synthesize, Split, Shift and Stay Alive; Preventing Channel Depletion via Universal and Enhanced Multi-hop Payments
支付通道网络(PCN)被公认为解决当前无许可区块链可扩展性问题的可行方案。它通过支持链下交易显著减轻区块链负载。然而,多跳路径在单一方向上的频繁复用会导致通道耗尽风险,致使相关通道变为单向甚至关闭,从而损害PCN的可持续性与可扩展性。更严峻的是,现有再平衡协议方案严重依赖信任假设和脚本语言,导致通用性与可靠性受损。
本文提出Horcrux——一种无需额外信任假设、脚本语言或持续在线要求的通用高效多方虚拟通道协议。该协议通过创新性"流量中性"机制从根本上解决通道耗尽问题,最小化多跳支付对通道余额分配的影响。我们在全局通用可组合框架下对Horcrux进行建模,形式化其安全属性并提供严格的安全证明。
基于真实闪电网络数据集(含10,529个节点和38,910条通道)的实验表明:(1) Horcrux全流程成本低于1美元,显著优于Shaduf[NDSS'22];(2) 支付成功率提升12-30倍,通道用户存款需求降低70-91%;(3) 长期运行下性能提升1.2-1.5倍;(4) 通道耗尽率近乎为零,而Revive[CCS'17]和Shaduf会导致数千条通道耗尽。
论文链接:https://www.ndss-symposium.org/ndss-paper/horcrux-synthesize-split-shift-and-stay-alive-preventing-channel-depletion-via-universal-and-enhanced-multi-hop-payments/
79、I Know What You Asked: Prompt Leakage via KV-Cache Sharing in Multi-Tenant LLM Serving
作为通用人工智能(AGI)基石的大语言模型(LLM),近年来因其颠覆性应用在学术界和工业界获得广泛关注。为实现可扩展应用与高效资源管理,业界提出了多种多租户LLM服务框架,使单个LLM能同时响应多用户需求。当前前沿技术(如SGLang和vLLM)采用的关键机制之一,是对多用户间相同令牌序列的键值(KV)缓存进行共享,从而节省内存与计算资源。本文首次揭示了多租户LLM服务存在的安全隐患:研究表明,最先进的KV缓存共享机制可能引发新型侧信道攻击,导致非授权用户重构他人输入提示词,进而泄露互不信任用户间的敏感信息。我们提出PROMPTPEEK攻击方法,并在三种不同先验知识水平的攻击场景中验证了其逆向推断其他用户提示词的能力。这项研究警示多租户LLM服务需审慎管理资源,并为未来安全强化提供了关键洞见。
论文链接:https://www.ndss-symposium.org/ndss-paper/i-know-what-you-asked-prompt-leakage-via-kv-cache-sharing-in-multi-tenant-llm-serving/
80、I know what you MEME! Understanding and Detecting Harmful Memes with Multimodal Large Language Models
社交媒体上的模因已成为一把双刃剑。一方面,它们促进了信息的快速传播并增强了沟通;另一方面,模因可能以幽默和病毒式传播为幌子扩散有害内容。这种双重性凸显了开发有效审核工具以识别有害模因的必要性。然而,当前检测方法因其固有复杂性,在识别有害模因时面临重大挑战——这种复杂性源于模因多样的表达形式、复杂的构图、精妙的宣传手法以及多元的文化背景,使得现有算法难以准确区分无害与有害内容。
为系统理解并应对这些挑战,我们首次从视觉艺术和宣传技术两个新颖视角对有害模因展开全面研究,旨在评估现有检测工具并解析其内在复杂性。研究发现,模因的构图技巧和宣传手法会显著削弱当前检测方法的有效性。基于这些洞察,我们提出新型检测框架HMGUARD,通过在多模态大语言模型中采用自适应提示和思维链推理技术,在公开有害模因数据集上取得0.92的准确率,较基线方法提升15%至79.17%。在实际场景测试中,HMGUARD更以0.88的准确率显著优于现有检测工具。
论文链接:https://www.ndss-symposium.org/ndss-paper/i-know-what-you-meme-understanding-and-detecting-harmful-memes-with-multimodal-large-language-models/
81、ICSQuartz: Scan Cycle-Aware and Vendor-Agnostic Fuzzing for Industrial Control Systems
工业控制系统(ICS)是保障关键工业、能源及商业流程自动化与安全运行的核心。尽管其重要性不言而喻,但由于现有代码评估工具难以与封闭的ICS生态系统对接,ICS代码往往无法像传统计算平台上的软件那样接受严格评估。此外,领域专用语言的使用、开源可扩展编译器的缺失、针对ICS特性开发的技术不足等诸多挑战,阻碍了专用工具的研发。本文通过推出ICSQuartz应对这些挑战——这是首个原生支持IEC 61131-3结构化文本(ST,一种标准化可编程逻辑控制器编程语言)的模糊测试工具。原生支持消除了对任何特定厂商或架构的依赖。ICSQuartz的执行速度较当前ICS领域最快的模糊测试工具快超过一个数量级。除原生支持ST代码模糊测试外,我们还为ICSQuartz设计了新型变异策略,可发现由ST程序扫描周期架构引发的漏洞——这一特性是传统模糊测试工具所未考虑的。通过ICSQuartz,我们首次对真实工业控制系统库展开大规模模糊测试,发现多个漏洞并推动修复。除漏洞外,ICSQuartz还在一款开源ST编译器中发现了缺陷。这些成果彰显了ICSQuartz在ICS领域的重大影响。
论文链接:https://www.ndss-symposium.org/ndss-paper/icsquartz-scan-cycle-aware-and-vendor-agnostic-fuzzing-for-industrial-control-systems/
82、Impact Tracing: Identifying the Culprit of Misinformation in Encrypted Messaging Systems
加密消息系统虽然提供了端到端的安全保障,却阻碍了内容审核。这导致错误信息在这些系统中大肆传播,加剧了网络仇恨与骚扰现象。"举报-追踪"范式在遏制错误信息扩散方面展现出巨大潜力。例如,《消息溯源》(CCS'19)可追踪消息的所有传播路径,而《源头追踪》(CCS'21)则能定位消息的初始发布者。
然而,消息溯源缺乏对非影响力用户(如仅接收消息一次的用户)的隐私保护,源头追踪虽能保护隐私但可追溯性有限。本文开创性地提出《影响力追踪》研究,其核心在于追踪错误信息传播中的关键扩散节点,同时为非影响力用户提供隐私保护。我们通过添加噪声来隐藏非影响力用户,并证明这些噪声不会阻碍关键传播者的识别。随后通过形式化验证,证实该方案能为非影响力用户提供差分隐私保护。
基于真实数据集,我们定义了三个评估指标来衡量其可追溯性、准确性和隐私性。实验结果表明:随着噪声量的变化,本方案识别关键传播者的准确率可达82%至99%。同时,每条消息仅需6字节的平台存储开销,且保持低于0.25毫秒的消息传输延迟。
论文链接:https://www.ndss-symposium.org/ndss-paper/impact-tracing-identifying-the-culprit-of-misinformation-in-encrypted-messaging-systems/
83、Incorporating Gradients to Rules: Towards Lightweight, Adaptive Provenance-based Intrusion Detection
随着网络攻击日益复杂和隐蔽,从正常行为中检测入侵变得愈发重要且更具挑战性。基于细粒度因果分析的溯源入侵检测系统(PIDS)展现出区分良性与恶意行为的卓越能力,受到工业界和学术界的广泛关注。在各类方法中,基于规则的PIDS因其轻量级开销、实时性和可解释性脱颖而出。然而,现有基于规则的系统由于缺乏细粒度规则和环境适配配置,检测准确率较低,尤其存在高误报问题。
本文提出CAPTAIN——一种能自动适应多样化环境的基于规则PIDS。具体而言,我们设计了三类自适应参数,分别用于调整节点、边和告警生成阈值的检测配置。通过构建可微分标签传播框架并利用梯度下降算法,基于训练数据优化这些自适应参数。我们使用DARPA Engagements和模拟环境数据进行系统评估。实验结果表明,与当前最优(SOTA)PIDS相比,CAPTAIN通过赋予规则系统学习能力,显著提升了检测准确率,降低了检测延迟与运行时开销,同时提供更具可解释性的检测流程与结果。
论文链接:https://www.ndss-symposium.org/ndss-paper/incorporating-gradients-to-rules-towards-lightweight-adaptive-provenance-based-intrusion-detection/
84、Interventional Root Cause Analysis of Failures in Multi-Sensor Fusion Perception Systems
自动驾驶系统(ADS)高度依赖多传感器融合(MSF)感知系统来处理传感器数据并提升环境感知的准确性。然而,MSF无法完全消除不确定性,多个模块的故障将导致感知失效。因此,定位这些感知失效的根本原因对确保MSF感知系统的可靠性至关重要。传统的感知失效识别方法(如异常检测和运行时监控)存在局限性,因为它们未考虑多模块故障与系统整体失效之间的因果关系。为突破这些限制,我们提出了一种称为干预式根因分析(IRCA)的新方法。IRCA利用MSF的有向无环图(DAG)结构构建分层结构因果模型(H-SCM),有效解决了因果关系的复杂性。我们的方法采用分治剪枝算法,在因果路径中涵盖多个因果模块并精确定位干预目标。我们实现了IRCA,并通过真实故障场景及在Autoware平台注入故障的合成场景评估其性能。IRCA在真实故障场景中的平均F1分数超过95。我们还在搭载Autoware的自动驾驶测试平台及基于Apollo的跨平台评估中验证了IRCA的有效性。结果表明,IRCA能高效识别导致失效的因果路径,显著提升ADS的安全性。
论文链接:https://www.ndss-symposium.org/ndss-paper/interventional-root-cause-analysis-of-failures-in-multi-sensor-fusion-perception-systems/
85、Iris: Dynamic Privacy Preserving Search in Authenticated Chord Peer-to-Peer Networks
在结构化对等网络(如Chord)中,用户通过向网络中的若干中间节点发起查询来定位数据。每个节点会返回其已知最接近目标数据地址的节点标识,直至最终抵达负责存储该数据的节点。这种机制意味着中间节点会获知被查询数据的地址信息。由于向其他节点暴露此类信息会导致Chord无法满足需要查询隐私的应用场景,本文提出名为Iris的方案,在保持与现有Chord协议兼容性的同时提供查询隐私保护。这意味着使用者可执行隐私保护查询,而无需强制网络中的其他节点支持(甚至知晓)该方案。
为了更好地刻画迭代式搜索特性所实现的隐私保护效果,我们受k-匿名化思想启发,提出名为(α,δ)-隐私的新隐私概念。该概念允许我们针对可能共谋并利用搜索全迭代过程中泄露信息总量的攻击者,构建形式化的隐私保障机制。
基于所提出的隐私概念,我们对算法进行了安全性分析,并在Matlab平台上开发原型系统进行性能评估。分析证明Iris方案在引入可控性能开销的同时实现了(α,δ)-隐私保护。值得注意的是,系统开销可动态调节且与所需隐私级别成正比——当无需隐私保护时,系统不会产生额外开销。
论文链接:https://www.ndss-symposium.org/ndss-paper/iris-dynamic-privacy-preserving-search-in-authenticated-chord-peer-to-peer-networks/
86、IsolateGPT: An Execution Isolation Architecture for LLM-Based Agentic Systems
诸如ChatGPT等扩展为系统的大型语言模型(LLM)已开始支持第三方应用程序。这些LLM应用依托LLM基于自然语言的自动化执行范式:即应用及其交互通过自然语言定义,可访问用户数据,并允许自由相互调用及与系统交互。这种LLM应用生态类似于早期计算平台的运行环境,存在应用与系统间隔离不足的问题。由于第三方应用可能不可信,加之自然语言接口的模糊性,当前设计会给用户带来安全和隐私风险。本文评估了能否通过执行隔离解决这些问题,并探讨了在基于LLM的系统中(系统组件间、LLM与应用间、应用间存在任意自然语言交互)实现隔离的可能形态。为此,我们提出IsolateGPT设计架构,验证了执行隔离的可行性,并为基于LLM的系统提供了隔离实现方案。通过对抗多种攻击的测试,我们证明IsolateGPT能有效防范非隔离LLM系统中存在的安全、隐私和安全性问题,且功能无损耗。在四分之三的测试查询中,IsolateGPT为提升安全性所产生的性能开销低于30%。
论文链接:https://www.ndss-symposium.org/ndss-paper/isolategpt-an-execution-isolation-architecture-for-llm-based-agentic-systems/
87、JBomAudit: Assessing the Landscape, Compliance, and Security Implications of Java SBOMs
摘要——软件物料清单(SBOM)是构成软件产品的依赖项的详细清单。准确、完整且最新的SBOM对于漏洞管理、降低许可证合规风险以及维护软件完整性至关重要。美国国家标准与技术研究院(NTIA)制定了SBOM需满足的最低要求,尤其是清单中依赖项的正确性和完整性。然而,这些要求在实践中的落实情况尚未得到验证。本文首次对SBOM的现状进行了系统研究,包括其在Java生态系统中的普及程度、发布趋势及特征。我们开发了一款端到端工具,用于评估SBOM中依赖项的完整性和准确性。该工具分析了25,882份SBOM及相关JAR文件,发现其中7,907份SBOM未披露直接依赖项,揭示了SBOM不合规问题的普遍性和严重性。此外,这些被遗漏的依赖项中有4.97%存在漏洞,导致软件面临潜在攻击风险。通过详尽的测量研究和根因分析,本研究揭示了不合规SBOM的重大安全隐患,尤其是在漏洞管理方面。这些对提升SBOM合规保障至关重要的发现,已负责任地向相关利益方报告。
论文链接:https://www.ndss-symposium.org/ndss-paper/jbomaudit-assessing-the-landscape-compliance-and-security-implications-of-java-sboms/
88、KernelSnitch: Side Channel-Attacks on Kernel Data Structures
硬件组件(如缓存)的共享已知会引发微架构侧信道泄露。消除此类泄露的一种方法是在不同安全域之间不共享硬件组件。然而,即便假设硬件不存在泄露,仍不清楚操作系统等其他关键系统组件是否会引入由软件导致的侧信道泄露。
本文提出一种新型通用软件侧信道攻击方法KernelSnitch,其针对哈希表、树形结构等内核数据结构。这些结构通常用于存储内核与用户信息(例如用户空间锁的元数据)。KernelSnitch利用这些数据结构规模可变的特性——从空状态到理论上任意数量的元素。访问这些结构所需时间随元素数量(即占用率)变化,这种差异形成了可从用户空间被无特权隔离攻击者观测到的时序侧信道。尽管其时序差异相比系统调用运行时间极为微小,我们仍论证并评估了可靠放大这些时序差异的方法。
通过三项案例研究,我们证明KernelSnitch可使无特权隔离攻击者从内核及其他进程活动中泄露敏感信息:首先构建传输速率达580kbit/s的隐蔽信道;其次利用Linux哈希表特定索引机制,在65秒内完成内核堆指针泄露;最后实施网站指纹识别攻击,取得超过89%的F1分数,表明可通过KernelSnitch观测其他用户程序活动。文末我们还讨论了针对这类与硬件无关攻击的缓解措施。
论文链接:https://www.ndss-symposium.org/ndss-paper/kernelsnitch-side-channel-attacks-on-kernel-data-structures/
89、Kronos: A Secure and Generic Sharding Blockchain Consensus with Optimized Overhead
分片技术通过将网络划分为多个分片来提升区块链的可扩展性,每个分片负责管理特定的未花费交易输出或账户。作为一种新引入的交易类型,跨分片交易对分片区块链的安全性和效率提出了严峻挑战。
目前业界缺乏一种兼顾安全性与低开销的通用分片区块链共识模式。本文提出Kronos——一种实现开销优化的安全分片区块链共识方案。我们创新性地提出基于分片成员共同管理的缓冲区的新型安全分片区块链共识模式,通过该缓冲区将有效交易转移至收款方,同时经由"成功路径"或"失败路径"拒绝无效交易。
理论证明表明,Kronos在抵御恶意客户端攻击时能实现具有原子性的安全性,同时保持最优的分片内开销。其高效拒绝机制在成功路径中甚至无需执行拜占庭容错(BFT)协议,而失败路径的开销也不高于两阶段提交。此外,我们还提出安全的跨分片认证方法。在处理b笔交易时,Kronos被证明能以O(nbλ)的跨分片开销实现通信(n为分片规模,λ为安全参数)。
值得注意的是,Kronos不对BFT协议施加限制,也不依赖时间假设,各模块均提供可选构造方案。它可作为通用框架来提升现有BFT协议的效能与可扩展性,支持包括异步网络在内的通用模型,能将吞吐量提升数个数量级。我们采用两种主流BFT协议实现Kronos:异步协议Speeding Dumbo(NDSS'22)和部分同步协议Hotstuff(PODC'19)。大规模实验(覆盖4个AWS区域的1000多个EC2节点)表明Kronos可将共识节点扩展至数千规模,实现32万笔/秒的高吞吐量与2.0秒延迟。相比既有方案,当跨分片交易成为主要负载时,Kronos的吞吐量最高提升12倍,延迟降低50%。
论文链接:https://www.ndss-symposium.org/ndss-paper/kronos-a-secure-and-generic-sharding-blockchain-consensus-with-optimized-overhead/
90、L-HAWK: A Controllable Physical Adversarial Patch Against a Long-Distance Target
自动驾驶汽车(AV)中基于视觉的感知模块易受物理对抗补丁攻击。然而,现有攻击大多无差别影响所有通行车辆。本文提出L-HAWK——一种通过远距离激光信号激活的新型可控物理对抗补丁。该补丁在激光触发时针对特定车辆发动攻击,常态下则保持无害。为实现这一目标并解决激光信号相关挑战,我们提出异步学习方法为L-HAWK确定最优激光参数及对应对抗补丁。为提升现实场景攻击鲁棒性,我们引入多角度多位置模拟机制、噪声近似方法和渐进式采样策略。通过数字与物理环境大量实验验证,L-HAWK在50米距离达到91.9%平均攻击成功率,相较TPatch(Usenix '23)在7米处59%的成功率,攻击成功率提升56%,攻击距离扩展超七倍。
论文链接:https://www.ndss-symposium.org/ndss-paper/l-hawk-a-controllable-physical-adversarial-patch-against-a-long-distance-target/
扫一扫
4833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
