网络安全顶会——S&P '24 论文清单、摘要（中）

IoT消息传输协议对连接用户和物联网设备至关重要。在所有协议中，消息队列传输和遥测传输（MQTT）可以说是最广泛使用的。主流物联网平台利用MQTT代理，即MQTT的服务器端实现，来实现和调解用户设备通信（例如控制命令的传输）。目前已有超过70个开源MQTT代理被广泛应用于生产中。这些开源MQTT代理中的任何安全缺陷都很容易传播到许多厂商的物联网部署中，并产生放大的影响，不可避免地危及物联网应用程序和数百万用户的安全。我们进行了对野外开源MQTT代理的首次系统安全分析。为了进行分析，我们设计并开发了MQTTactic，这是一种半自动化工具，可以基于生成的安全性质对MQTT代理实施进行正式验证。MQTTactic基于静态代码分析、形式建模和自动化模型检测（使用现成的模型检测器Spin）。在设计MQTTactic时，我们对关键技术挑战进行了特征化和解决。MQTTactic目前主要关注与授权有关的属性，并发现了7个新颖的、零日漏洞，从实践上实现了严重的未经授权访问。我们已向相关方报告了所有漏洞，他们已承认了这些问题，并开始采取措施进行修复。我们的彻底评估表明，MQTTactic是有效和实用的。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a013/1RjE9QUVQ76

作为一种先进的一对多公钥加密系统，基于属性的加密（ABE）被广泛认为是实现对不受信任的存储服务器（例如公共云服务器）上加密数据进行灵活和细粒度访问控制的一种有前途的技术。然而，在ABE中用户吊销是一个关键但具有挑战性的问题，设计高效可吊销的ABE已经成为过去十年中的一个活跃研究课题。几乎所有现有的可吊销ABE方案都在加密算法中引入了时间戳，以便吊销用户无法解密未来时间间隔中生成的密文。为了防止吊销用户解密过去的密文，存储服务器需要执行一种称为密文委托（Sahai等人，CRYPTO'12）的过程，定期更新所有密文的时间戳。由于存储系统中密文的数量可能非常庞大，密文委托可能给服务器带来巨大的计算开销。受大众化可信执行环境（TEE）技术的普及所驱使，本文发起了硬件为基础的可吊销ABE（HR-ABE）的研究，以消除（不可扩展的）密文委托并防止不受信任的存储服务器和被吊销用户之间的串通攻击。我们正式定义了这一新概念，并提出了一种高效的HR-ABE构造，同时支持为资源受限的数据用户提供外包解密。此外，HR-ABE还旨在解决TEE可能存在的秘密泄露问题（例如由于侧信道攻击导致的问题），以确保TEE所持有的秘密泄露不会导致用户数据泄露。我们正式证明了HR-ABE的安全性，并通过实验评估了其性能。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a100/1Ub237QXNgk

这篇论文评估了Stack Overflow代码片段演化对开源项目安全性的影响。Stack Overflow上的用户会积极修改发布的代码片段，有时会修复漏洞和缺陷。因此，从Stack Overflow重用代码的开发人员应当将其视为任何其他演进中的代码依赖，并对更新保持警惕。目前尚不清楚开发人员是否这样做，Stack Overflow过时的代码片段在GitHub项目中存在得有多严重，以及开发人员是否错过了重新使用代码片段的相关安全更新。为了回答这些问题，我们设计了一种方法来1) 在11,479个流行的GitHub项目中检测1.5百万个Stack Overflow代码片段的过时版本，以及2) 检测这些Stack Overflow代码片段的安全相关更新是否反映在这些GitHub项目中。我们的研究结果显示，开发人员在Stack Overflow上演化的代码片段发生变化时没有及时更新相关代码。我们发现有2,405个过时的代码片段版本被用于2,109个GitHub项目，并有43个项目错过了Stack Overflow上的漏洞和漏洞修复。这些包含过时、不安全代码片段的43个项目被分支平均1,085次(最多16,121次)，这表明我们的结果可能是受影响的代码基础数量的下限。我们研究的一个重要见解是，将Stack Overflow代码视为纯静态代码会阻碍从根本上解决从Stack Overflow复制不安全代码的问题。相反，我们的结果表明，开发人员需要工具来持续监控Stack Overflow，以获取关于重新使用代码片段的安全警告和代码修复，而不仅在复制粘贴时发出警告。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a022/1RjE9YN9TQ4

无线回传链路已经普遍存在，并随着5G等技术的发展正在进一步扩展，被用于许多关键功能，比如在华尔街的金融交易。在这项工作中，我们首次展示了这种链路极其容易受到一种新型空中元表面攻击的影响。特别是，我们展示了对手Eve如何设计并利用MetaFly来秘密操纵信号的电磁波前，并远程窃听高方向性的回传链路。我们探讨了攻击的基础，展示了Eve通过在空中元表面界面诱发预定义相位配置来生成窃听的衍射波束的策略。我们还展示了Eve的飞行导航方法如何通过一个针对波前的飞行精细化原则来动态塑造辐射模式，根据无人机的移动性。我们制作了MetaFly原型，并展示了Eve的轻便、低成本、透明、无需功率的空中元表面。我们实施了这种攻击，并在一个大型室内中庭以及城市大楼的室外屋顶进行了一系列无线实验。结果显示，凭借MetaFly，Eve几乎可以拦截回传传输，同时对合法通信的影响最小，比特误码率几乎为零。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a151/1Ub2491z20w

在线仇恨是一个不断升级的问题，对互联网用户的生活产生负面影响，也受到不断发展的事件快速变化的影响，导致新一波的在线仇恨威胁。检测和缓解这些新浪潮带来两个关键挑战：这需要基于推理的复杂决策来确定恶意内容的存在，以及受训练样本有限的影响，难以更新检测模型。为了解决这一关键问题，我们提出了一个名为HateGuard的新框架，用于有效地调节新一波的在线仇恨。HateGuard采用了一种基于推理的方法，利用最近引入的思维链（CoT）提示技术，利用大型语言模型（LLMs）的能力。HateGuard进一步通过自动生成和更新检测提示中包含新的贬义词和新一波样本中的目标，实现基于提示的零射检测，以有效应对新一波的在线仇恨。为了展示我们方法的有效性，我们编制了一个新数据集，包括与三场最近发生的新浪潮相关的推文：2022年俄罗斯入侵乌克兰、2021年美国国会起义和COVID-19大流行。我们的研究揭示了这些新浪潮中关键的纵向模式，涉及事件的演变和迫切需要迅速更新现有调节工具以对抗它们的技术。与现有工具的比较评估显示了我们框架的优势，展示了对在线仇恨三个新浪潮的检测提高了22.22%到83.33%。我们的工作突出了新一波在线仇恨的严重威胁，并代表了在实际中应对这一威胁的范式转变。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a177/1V5U7gBYIh2

持续集成（CI）平台广泛采用缓存以加速CI任务执行，通过存储和重复使用依赖包。不幸的是，当缓存对象跨信任边界共享时，CI缓存也会暴露新的攻击面。在本文中，我们系统地调查了七个主流CI平台（CPs）中CI缓存功能的潜在安全威胁。我们发现现有的CPs在缓存共享和继承策略方面存在隔离问题，可能引发缓存中毒和数据泄霏问题。通过利用这些易受攻击的机制，我们进一步发现了四种攻击向量，使攻击者可以悄悄将恶意代码注入到缓存中或窃取敏感数据。更糟糕的是，许多CPs提供易受攻击的官方缓存模板，这些模板会错误地默认存储和暴露敏感数据在缓存中。为了了解我们披露的威胁的潜在影响，我们开发了一个分析工具，并对开源存储库进行了大规模测量。我们的测量结果显示，许多热门存储库可能受到这些攻击的影响。我们还确定了78个存储库，在缓存对象中暴露他们的高价值秘密，并有泄密风险。我们已将发现的漏洞报告给相关利益相关者，并获得了积极的回应。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a138/1Ub23VSl4re

安全计算的长期研究已经确认，任何可以计算的东西都可以使用一组不串通的参与方进行安全计算。事实上，这种非串通的假设使得许多问题可以被解决，同时减少了开销并且绕过了计算难度的结果，这在不同的隐私增强技术中普遍存在。然而，这种非串通假设仍然极易受到计算参与方之间的秘密串通的影响。这项研究源于一个观察，即如果可用的计算参与方数量远远高于执行安全计算任务所需的参与方数量，隐私保护计算中的串通企图就可能被阻止。我们专注于具有多个服务器的1-私密信息检索（PIR）的突出隐私保护计算任务，该任务天然假设不存在任何两两串通。对于PIR应用场景，例如区块链轻客户端，其中可用的服务器可能会很多，单个服务器的偏离行为对其自身并没有太大的好处。我们可以通过小额奖励和惩罚使得偏离变得不受欢迎，从而显著提高串通抵抗力。我们设计并实施了一个在公共公告板上具有支付执行功能的串通缓解机制，仅考虑理性和恶意的参与方，没有诚实的非串通服务器。在查询执行后，隐私保护将持续一段时间。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a095/1Ub233fGVxu

恶意域名检测（MDD）是一个旨在检测互联网域名是否与网络攻击相关的开放安全挑战。许多技术已被应用于解决这个问题，其中图神经网络（GNN）被认为是最有效的方法之一。基于GNN的MDD利用域名系统（DNS）日志将互联网域名表示为图中的节点，被称为域恶意性图（DMG），并训练GNN模型通过利用已识别的恶意性来推断互联网域名的恶意性。由于这种方法严重依赖公开可访问的DNS日志来构建DMG，这为对手在这些图中操纵其域节点的特征和边缘创造了一个漏洞。目前的文献主要集中在涉及操纵单个对手（攻击者）节点的威胁模型上。然而，对手通常创建许多域来实现他们的攻击目标，以减少成本并规避检测。因此，他们的目标是尽可能在许多域中保持不被发现。在这项工作中，我们将同时操纵DMG中多个节点的攻击称为多实例逃避攻击。据我们所知，这种类型的攻击在先前的文献中尚未得到探讨。我们提供理论和实证证据显示，现有的基于GNN的MDD的单实例逃避技术不足以发动多实例逃避攻击。因此，我们提出了一种推理时间的多实例对抗攻击，称为MintA，针对基于GNN的MDD。MintA优化节点扰动以增强节点及其邻域的回避性。MintA只需要黑盒访问目标模型就可以成功发起攻击。换句话说，MintA不需要任何对MDD模型的参数、架构或非对手节点的信息。我们制定了一个满足MintA攻击目标的优化问题，并为其设计了一个近似解决方案。我们使用真实数据对一种最先进的基于GNN的MDD技术进行了MintA的评估，我们的实验表明攻击成功率超过80％。这项研究的发现作为对安全专家的警示，突出了GNN的MDD对实际攻击的脆弱性，这些攻击可能妨碍了这种方法的有效性和优势。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a006/1RjE9LaYR0c

像Zoom这样的视频会议应用每天有数亿用户，使它们成为监视和颠覆的高价值目标。虽然这些应用声称实现了某些形式的端到端加密，但它们通常假设一个不可腐败的服务器能够识别和验证会议中的所有参与方。具体来说，即使在使用端到端加密''设置时，恶意的Zoom服务器也可以窃听或冒充任意组。在这项工作中，我们展示了如何通过改变这些协议使用密码(Zoom中称为访问代码)的方式并集成基于密码的密钥交换(PAKE)协议来改进对恶意服务器的安全性。为了正式证明我们的方法实现了其目标，我们形式化了适用于这种环境的一类加密协议，并为它们定义了一个基本的安全概念，其中可以在服务器被信任正确授权组成员的情况下实现组安全性。我们证明了Zoom确实符合这个概念。然后我们提出了一个更强的安全概念，可以提供对恶意服务器进行安全性保障，并提出了可以实现这个概念的转换。我们展示了如何将我们的转换应用于Zoom，以便明确实现更强的针对恶意服务器的安全性，特别是不引入新的安全要素。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a037/1RjEacpCxO0

近场通信（NFC）已广泛用于在非常短的距离内快速交换电子设备之间的数据。在本文中，我们揭示了一个新的安全漏洞，即在NFC被动通信通道中，传输的数据可以实时修改。这种漏洞所带来的数据修改安全威胁被称为NFCEraser。利用电磁干扰（EMI），NFCEraser向晶体振荡器的电极注入信号，并调整NFC通信通道中载波信号的幅度。通过操纵EMI信号的参数，NFCEraser能够任意翻转从NFC对等设备发送的数据负载中的位，这可能导致严重的安全后果。为了评估NFCEraser的严重性，我们检查了六个NFC模块，分别在NFC-A/B通信模式下，并成功地在各种数据长度下进行读取操作。实验结果表明，NFCEraser能够以最高89%的准确率修改从NFC对等设备的响应帧中的数据位，延迟约为0.21微秒。我们的分析进一步表明，在典型电磁噪音水平的环境中，NFCEraser可以保持不低于85%的成功攻击率。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a165/1Ub24FNWXks

区块链具有复杂的架构，包括各种组件，如共识网络、智能合约、去中心化应用和辅助服务。尽管提供了许多优势，但这些组件暴露了各种攻击面，给区块链带来严重威胁。在本研究中，我们揭示了一个新的攻击面，即区块链中的状态存储。基于Merkle Patricia Trie的状态存储在维护区块链状态中起着至关重要的作用。此外，我们设计了NURGLE，这是第一个针对状态存储的拒绝服务攻击。通过在状态存储中扩散中间节点，NURGLE迫使区块链在状态维护和验证上消耗额外资源，损害其性能。我们对NURGLE进行了全面系统的评估，包括影响因素、对区块链的影响、财务成本以及实际演示对区块链造成的损害。NURGLE的影响不仅仅局限于区块链性能的降低，可能还会降低人们对其的信任和其加密货币的价值。此外，我们进一步讨论了三种可行的针对NURGLE的缓解措施。在撰写本文时，NURGLE利用的漏洞已被六个主流区块链确认，并且我们从中收到了数千美元的赏金。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a125/1Ub23FE54kw

想象一下能够部署一个小型、电池供电的设备几乎在地球上人类频繁出现的任何地方，并且能够将数据发送到云端，而无需进行网络配置——无需购买物理网关、设置WiFi凭据或获取蜂窝SIM卡。这种能力将解决在几乎任何环境中部署小型、嵌入式和受电约束的物联网设备时遇到的最大瓶颈之一。不幸的是，将设备部署与传输或返程传感器数据到云端所需的网络配置分离仍然是一个棘手的挑战，但Tile和AirTag的成功带来了希望。它们已经证明了手机可以通过全球本地网络覆盖来寻找丢失物品，然而将这些系统扩展到支持通用返程会让网络参与者对隐私问题感到担忧。在这项工作中，我们提出了Nebula，这是一个注重隐私的体系结构，用于全球、间歇性和低速率的数据返程，从而使几乎任何物体最终能够连接到云端，同时通过1）通过系统中分散数据流来保护移动网络参与者的隐私，并激励参与者通过微支付，以及防止系统滥用。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a092/1Ub230FSLja

NetShuffle是一个抗审查系统，提供“洗牌代理”，其中常规代理服务（例如HTTPS代理，Tor桥接）和地址通过持续的网络变化解耦。这使得洗牌代理与传统对应物相比更难被封锁，因为网络位置现在处于不断变化之中。NetShuffle还设计为吸引新的支持基础——边缘网络，这些网络在现有工作中未受到足够关注。NetShuffle利用新兴的可编程交换机提供洗牌服务，同时对服务和客户端保持透明，使其能够作为一个插入式网络设备来推动互联网自由。我们在测试环境中制作了NetShuffle的原型，并在校园网络的一部分上无缝运行了一个多月，显示它以透明且产生可忽略开销的方式提供网络洗牌服务。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a036/1RjEabCelaM

全球立法者和决策者正在就如何打击在线非法、有害和不良内容进行辩论。根据几个定量数据源，我们发现，即使通过几家科技公司的大力合作努力，停用一个活跃社群以打击在线仇恨和骚扰也是困难的。我们的案例研究是2022年底对最大、历史最悠久的骚扰社区Kiwi Farms进行破坏，这可能是迄今为止规模最大的行业努力。尽管有多家科技公司连续数月积极参与，但这次行动未能关闭该论坛并移除其令人反感的内容。虽然短暂引起了公众关注，但却导致了迅速的平台转移和流量分散。部分活动转移到了Telegram，而流量从主要域名转移到之前被放弃的替代方案。论坛在接下来的几周经历了间歇性的中断，之后领导此次运动的社群失去了兴趣，流量重新指向主要域名，用户迅速回归，论坛重新上线并变得更加连接。论坛成员本身很快停止讨论此事件，净效果是论坛活动、活跃用户、主题、帖子和流量都减少了约一半。这次破坏主要影响了偶发用户（大约87%离开），而一半核心成员仍在参与。这还吸引了许多新手，他们在参与的头几周内表现出越来越高的毒性。未经法庭命令将一个社区停用引发了有关审查与言论自由的哲学问题；有关行业在在线内容监管中角色的伦理和法律问题；以及相关的关于私营部门与政府行动有效性的实际问题。未经法庭命令通过对个别服务提供商发出一系列法庭命令来停用一个分散的社群似乎很难取得成效，如果审查者无法使关键维护者丧失作用，无论是通过逮捕、起诉还是其他方式。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a007/1RjE9LYWfTy

在设备上进行机器学习引入了新的安全挑战：深度神经网络模型变得对设备用户是开放的。根据白盒信息，对手可以对模型权重进行有效的模型窃取（MS）以及针对训练数据隐私的成员推断攻击（MIA）。利用可信执行环境（TEEs）来对设备上的深度神经网络模型进行屏蔽旨在将（简单的）白盒攻击降级为（更难的）黑盒攻击。然而，TEEs的一个主要缺点是显著增加的延迟（最高可达50倍）。为了加速使用GPU的TEE屏蔽式DNN计算，研究人员提出了几种模型分区技术。这些解决方案被称为TEE屏蔽式DNN分区（TSDP），将DNN模型分为两部分，将与隐私无关的部分卸载到GPU中，同时在TEE内部保护与隐私相关的部分。然而，社区对现有TSDP解决方案在DNN推断过程中提供的看似鼓舞人心的隐私保证缺乏深入了解。本文使用多种DNN模型、数据集和度量标准测试现有TSDP解决方案，显示现有TSDP解决方案容易受到隐私窃取攻击，不像通常认为的那样安全。我们还揭示了在目前TSDP解决方案中决定最佳DNN分区配置（即具有最高安全性且具有最小功用成本）的固有困难。实验显示这种“最佳配置”在不同数据集和模型上变化。根据实验中获得的经验教训，我们提出了TEESlice，一种新颖的TSDP方法，在DNN推断过程中防御MS和MIA。与现有方法不同，TEESlice采用在训练之前进行分区的策略，从而实现对隐私相关权重和公开权重的准确分离。TEESlice提供与将整个DNN模型放在TEE内（“上限”安全保证）相同的安全保护，并且比先前的TSDP解决方案少了超过10倍的开销（无论在实验室还是实际环境中），而且没有精度损失。我们将代码和相关资料公开在互联网上。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a052/1RjEarlPFew

智能合约容易受到抢先攻击的影响，恶意用户利用对即将到来的交易的先前了解，提前执行攻击交易并从中获益。现有的合约分析技术在处理数据竞争时产生了许多误报和漏报，因为它们简单地将合约中的数据竞争视为抢先漏洞，并且只能对合约进行独立分析。在这项工作中，我们根据以往对历史攻击的经验研究，形式化定义了可利用的抢先漏洞，并提出了一种新颖的静态分析器Nyx来检测它们。Nyx具有基于Datalog的预处理过程，可以高效而准确地修剪搜索空间的一大部分，然后使用符号验证引擎和SMT求解器精确地定位漏洞。我们使用了一个包含513个实际智能合约抢先攻击的大型数据集来评估Nyx。与六种最先进的技术相比，Nyx在召回率方面超过它们32.64%-90.19%，在精度方面超过它们2.89%-70.89%。Nyx还在实际智能合约中发现了四个零日漏洞。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a146/1Ub2446HQje

基于深度学习的目标检测在许多重要的实际应用中起着重要作用。与其他深度学习模型一样，目标检测模型容易受到后门攻击。目标检测的独特特征，如返回带标签的一组物体边界框，给后门扫描带来了新挑战。旨在反向工程触发器以确定模型是否被木马化的触发器反转技术必须考虑哪些边界框可能受到攻击，如果攻击导致边界框重新定位，甚至如果攻击可能导致"幽灵"对象的出现，这些都使得触发器反转变得非常具有挑战性。我们提出了一种新的触发器反转技术，利用一些关键观察结果将搜索空间缩减到一个可以接受的水平。我们在334个良性模型和360个带木马的模型上进行了实验，涉及4种结构和6种攻击，结果表明我们的技术可以稳定地实现超过0.9的ROC-AUC。在最新的TrojAI目标检测竞赛中，我们的解决方案获得了0.926的ROC-AUC，比第二名解决方案高出21.4%（0.763的ROC-AUC）。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a119/1Ub23se6M5q

在2022年，反网络钓鱼工作组报告声称短信和语音网络钓鱼攻击增长了70%。关于短信网络钓鱼的硬性数据很难获得，而了解短信网络钓鱼者的操作方式也一直丈量。缺乏可见性让执法部门、监管机构、服务提供商和研究人员无法理解和应对这个不断增长的问题。在这篇论文中，我们呈现了从互联网上11个公共短信网关上发布的2亿多条短信中提取网络钓鱼消息的结果。从这个数据集中，我们识别出了67991条网络钓鱼消息，并根据共享相似内容将它们归并为35128个活动，然后识别出共享基础设施的相关活动，以此确定了超过600个独立的短信网络钓鱼活动。这种广阔的视角使我们能够确定，短信网络钓鱼者使用了通用的云和网络基础设施，另外还有自托管的网址缩短服务，他们的基础设施往往在其消息之前几天或数周就出现在证书透明度日志中，并且他们会重复使用其他网络钓鱼模式中现有的网络钓鱼工具包。我们也是首次考察了现存的网络防御措施，并确定了滥用助长者公开宣传的公共论坛。这些方法和结果为工业界和研究人员提供了新的探索方向，以应对短信网络钓鱼不断增长的问题。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a169/1Ub24K6cHkY

经典的BFT共识协议在少于三分之一的副本有故障的情况下，可以为所有客户端提供安全性和活性性。然而，在高价值支付等应用中，一些客户端可能希望将安全性置于活性性之上。灵活的共识允许每个客户端选择更高的安全性弹性，尽管会降低活性性弹性。我们提出了第一个允许每个客户端同时实现最佳安全性和活性性权衡的构造。这种构造是模块化的，可以作为现有共识协议的附加组件实现。该附加组件包括由副本执行的额外投票和永久锁定的回合，以绕过先前解决方案中存在的基于次优拱形交集的约束。我们将我们的构造调整为现有的以太坊协议，以推导出客户端可以单方面采用的最佳灵活确认规则，而无需进行系统范围的更改。这是可能的，因为现有的以太坊协议功能可以充当额外的投票和锁定。我们使用以太坊的共识API展示了一个实现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a135/1Ub23SzoGwE

两方安全计算（2PC）允许两个参与方在不向对方透露他们的输入的情况下计算任何函数。在2PC的离线/在线模型中，与计算的所有输入无关的相关随机性是在预处理（离线）阶段生成的，然后在在线阶段利用，一旦参与方的输入变得可用。大多数2PC工作侧重于优化在线时间，因为这种开销位于关键路径上。获取具有低在线成本的高效2PC协议的最新范式基于函数秘密共享（FSS）的加密技术。我们构建了一个名为ORCA的端到端系统，用于加速基于FSS的2PC协议的计算，使用GPU。接下来，我们观察到这种加速协议中的主要性能瓶颈在于存储（由于大量相关随机性），因此我们为机器学习中的几个关键功能设计了新的基于FSS的2PC协议，可以将存储减少高达5倍。与在同一计算模型中使用GPU加速的安全训练的先前最新技术（PIRANHA，Usenix Security 2022）相比，我们展示了ORCA具有4%更高的准确性，98倍更少的通信，并且在CIFAR-10上快22倍。对于安全的ImageNet推断，ORCA实现了VGG-16和ResNet-50的次秒延迟，并且在性能上胜过最新的技术8 - 103倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a063/1RjEaAAmAAE

现代定向攻击，如高级持续性威胁，利用多个主机作为跳板，通过它们之间的横向移动来深入访问网络。然而，现有的防御缺乏跨主机攻击流量的端到端信息流可见性，并且无法实时阻止跨主机攻击流量。在本文中，我们提出了P4Control，一个网络防御系统，精确限制网络中的端到端信息流，并以线速防止跨主机攻击。P4Control引入了一种新颖的网络中心化信息流控制（DIFC）机制，是第一个在网络线速上实施DIFC的工作。这是通过以下方式实现的：(1)基于可编程交换机的网络原语，用于跟踪主机间信息流并强制执行线速DIFC策略；(2)部署在主机上的基于轻量级eBPF的原语，用于追踪主机内信息流。P4Control还提供了一个表达丰富的策略框架，用于指定不同攻击场景下的DIFC策略。我们进行了广泛的评估，以展示P4Control能够在实时防止跨主机攻击的同时，保持线速网络性能，并对网络和主机机器施加最小的开销。值得注意的是，P4Control可以通过其细粒度的最小权限网络访问控制促进零信任架构的实现。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a147/1Ub244TOrOo

我们构建了一个次线性时间的单服务器预处理私人信息检索（PIR）方案，实现了客户端存储和服务器计算之间的最佳权衡（多项对数因子）。我们的方案实现了分摊的tilde{O}(sqrt{n})服务器和客户端计算，每次查询需要O(sqrt{n})的在线通信，并且需要widetilde{O}_lambda(sqrt{n})的客户端存储空间。与先前依赖于诸如同态加密之类的复杂密码设备的单服务器PIR方案不同，我们的方案只依赖于伪随机函数（PRF）。据我们所知，Piano是第一个实用的单服务器次线性时间PIR方案，我们的表现超过了目前最先进的单服务器PIR方案10倍至300倍。与目前最佳的两服务器PIR方案相比，Piano具有相当的性能，但我们的构建方法更简单。实验结果显示，对于一个100GB的数据库和60毫秒的往返延迟，Piano实现了93毫秒的响应时间，而最优先的方案需要11秒或更多。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a055/1RjEaufvKzm

私人信息检索（PIR）是一种密码协议，可以实现广泛的隐私保护应用。尽管经过几十年的广泛研究，但它仍然不够高效，无法实际应用。在本文中，我们提出了一种基于最新常权编码技术的新颖PIR协议，名为PIRANA。与原始的常权PIR（在Usenix SEC '22中介绍）相比，PIRANA的速度提高了最多188.6倍。最重要的是，PIRANA自然地支持多次查询。它允许客户端从服务器检索一批元素，与检索单个元素相比，额外成本非常小，从而实现了比最先进的多次查询PIR（在Oakland '23中介绍）高达14.4倍的加速度。我们还讨论了如何将PIRANA扩展到带标签的私有集合交集（LPSI）。与现有的LPSI协议相比，PIRANA更适合数据库频繁更新的情况。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a039/1RjEae1OWIM

近年来，英特尔SGX技术的流行使得各种遮蔽运行时应运而生，以透明地保护安全区域应用免受敌对操作系统的侵害。然而，对关键和众多的遮蔽运行时进行充分验证是一个多方面且快速变化的挑战，因为针对SGX区域的新攻击技术经常被发现，通常需要在整个SGX生态系统中进行大量软件补丁。本文提出了Pandora，这是一个实用的、区域感知的符号执行工具，旨在应对这一挑战。与现有工具不同，Pandora对确切证明的区域二进制文件进行真实且运行时无关的符号执行，首次允许验证关键的区域遮蔽运行时本身。此外，Pandora通过实施对攻击者输入的准确污点跟踪、精确的符号区域内存模型以及可插入式漏洞检测器，为处理区域软件安全的移动目标特性提供了基本的基础。我们在11种不同的SGX遮蔽运行时上广泛评估了Pandora，并使用4个检测插件来检测各种漏洞类型。我们的实验表明，Pandora可以自主发现200个新的和69个已知的易受攻击代码位置。值得注意的是，Pandora是第一个允许对最近在实际SGX区域运行时中的指针对齐软件缓解进行广泛生态系统调查的工具。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a090/1Ub22X8beDe

网站依赖服务器端的HTML清理来防御跨站脚本攻击这一经常出现的威胁。解析任意的标记片段以评估其是否包含攻击荷载远非易事。这种复杂性导致清理器解析结果与用户浏览器不一致。这些所谓的解析差异为基于突变的攻击打开了大门。在这种攻击中，攻击者利用清理器不正确的HTML解析器直接规避其或迫使其将良性标记转换为危险的攻击荷载。在这项研究中，我们研究了这种解析差异及其安全影响的普遍性。为此，我们构建了一个HTML片段生成器，难以解析，并评估了跨五种编程语言的11个清理器如何处理此类输入。我们发现解析差异是司空见惯的，因为每个受评估的清理器至少存在一些功能缺陷，导致对良性输入的过于激进的移除。更糟糕的是，我们能够自动规避除两个之外的所有11个清理器，说明服务器端HTML清理的状况堪忧。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a173/1V5U7dA4gak

凭据填充的普遍存在给倾向于在不同网站间重复使用密码的在线用户造成了毁灭性的损害。作为回应，研究人员已经努力检测设置相同密码或恶意登录的用户。然而，现有的检测方法牺牲了密码的可用性，通过抑制密码创建或网站访问。此外，共享账户信息的复杂机制阻碍了它们在实践中的部署。在这项工作中，我们提出了一个风险预测框架，以在干扰用户行为之前防止凭据填充攻击，而不是依靠检测。为此，我们新定义了用户极有可能重复使用密码的网站间关系，并使用图神经网络在网站图上表示它作为一条边。然后，我们执行一个链接预测任务，以识别网站间凭据填充的风险。我们的框架适用于大量任意的网站，通过利用公共网站信息，将新观察到的网站节点链接到图中。对包含来自22,378个网站的3.6亿个账户泄露的真实凭据数据集的评估显示，我们的模型成功地通过在两种不同的图学习设置中分别实现0.9559和0.9100的F1分数，预测了网站间的凭据填充风险。此外，我们展示了每个设计策略的有效性，并验证了预测结果可以用来量化密码重用的预期率作为风险评分。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a020/1RjE9X1AJDa

物联网安全方面的持久问题已经将研究人员和政府的注意力转移到了供应商的角色上。安全社区并不陌生于有关供应商在安全和隐私方面失职的重复指责，许多论文都强调了物联网产品中存在的许多漏洞。物联网中心的供应商是否比其他行业的供应商表现更差？为了回答这个问题，我们需要做的不仅仅是统计每个供应商披露的漏洞数量。在我们的研究中，我们分析了影响每个供应商漏洞数量的因素，比如其规模、位置和漏洞披露政策的存在。然后，我们在控制这些其他因素的情况下统计估计物联网中心的供应商是否会产生更多漏洞。答案是肯定的。通过观察供应商的补丁行为，我们可以更直接地评估其安全性能。我们收集了关于104家主要供应商的2,741个物联网和非物联网漏洞的补丁可用性和及时性的独特数据集。我们还收集了关于供应商补丁性能的一组潜在因果因素的数据。这使我们能够估计一个解释为什么一些供应商表现更好的因素的统计模型。我们发现，物联网中心的供应商在发布漏洞补丁方面并没有更差，事实上，他们往往比非物联网中心的供应商更及时地发布补丁。我们的研究增加了我们对影响物联网安全的因素的了解，并为旨在提高物联网供应商安全性能的监管干预提供了实证依据。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a154/1Ub24cd7Qxq

在过去的十年中，区块链出现了各种金融和技术创新，加密货币的市值已经达到了1万亿美元以上。然而，可扩展性是阻碍区块链在许多应用中部署的关键问题之一。为了提高交易吞吐量，人们提出了使用零知识证明（ZKP）的zkRollups和zkEVM技术，并许多公司正在在第二层解决方案中采用这些技术。然而，在这些技术中，ZKP的生成是瓶颈，公司不得不部署具有TB内存的强大机器，以批量生成大量交易的ZKP。在这项工作中，我们通过提出新的完全分布式ZKP方案来改进这些技术的可扩展性。我们的方案可以利用多台机器提高ZKP的效率和可扩展性，而机器之间的通信是最少的。通过我们的方案，ZKP的生成可以分布到类似于挖矿池的多个参与者。我们的协议基于Plonk，这是一种具有通用可信设置的高效零知识证明系统。第一个协议是用于数据并行电路。对于使用M台机器计算大小为T的M子电路的计算，证明者的时间是O（T log T + M log M），而原始Plonk在单台机器上的证明者时间为O（MT log（MT））。我们的协议每台机器只产生O（1）的通信，证明大小和验证时间都是O（1），与原始Plonk相同。此外，我们表明通过细微修改，我们的第二个协议可以支持具有任意连接的一般电路，同时保持相同的证明、验证和通信复杂度。这种技术是通用的，可能对ZKP的其他应用具有独立的兴趣。我们实现了Pianist（Plonk VIA Unlimited Distribution），这是一个完全分布式的ZKP系统，使用我们的协议。Pianist可以在64台机器上在313秒内为8192笔交易生成证明。这比Plonk方案的可扩展性提高了64倍。每台机器的通信量仅为2.1 KB，无论机器数量和电路大小如何。证明大小为2.2 KB，验证时间为3.5毫秒。我们进一步展示，Pianist对一般电路也具有类似的改进。对于随机生成的具有2^{25}个门的电路，使用32台机器生成证明只需要5秒，比单台机器上的Plonk快24.2倍。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a035/1RjEaaM09eU

可解释性越来越被认可为机器学习（ML）更广泛应用的一项关键技术，尤其是对于安全关键应用来说。这催生了可解释的ML，旨在通过使用解释器增强神经网络的可解释性。然而，对更好可解释性的追求无意中增加了安全性和隐私风险。虽然已经有相当多的研究关注于可解释ML的安全风险，但其潜在的隐私风险仍未被充分探讨。为了弥补这一空缺，我们通过成员推断的视角对可解释ML中的隐私风险进行了系统研究。基于这样一个观察：除了模型的准确性外，健壮性在成员样本和非成员样本之间也表现出可观的差异，我们开发了一种新的成员推断攻击。该攻击从模型在不同扰动水平下置信度的变化中提取出额外的成员特征，这些扰动是通过解释器中的归因图示重要性来引导的。直觉上，扰动重要特征通常会导致成员样本的置信度损失更大。利用模型性能和健壮性中成员和非成员之间的差异，训练一个攻击模型来区分成员身份。我们使用了七种流行的解释器对各种基准模型和数据集进行了评估。我们的攻击表明目前的可解释ML方法存在非常重要的隐私泄漏。此外，即使攻击者缺乏对训练数据集或目标模型结构的了解，这种泄漏问题仍会持续存在。最后，我们还发现现有的基于模型和输出的防御机制对于缓解这种新攻击并不有效。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a120/1Ub23teQ7PG

由人工智能驱动的编码助手工具（例如ChatGPT、Copilot和IntelliCode）已经彻底改变了软件工程生态系统。然而，先前的研究表明这些工具容易受到毒化攻击。在毒化攻击中，攻击者会故意向训练数据集中注入恶意制作的不安全代码片段，以操纵这些工具。被毒害的工具可能会向开发人员建议不安全的代码，导致他们的产品中存在攻击者可以利用的漏洞。然而，目前对于这些工具是否会在现实世界中受到毒化攻击，并开发人员如何在软件开发过程中应对毒化攻击仍知之甚少。为了更好地了解毒化攻击对人工智能驱动的编码助手工具的可行性，我们设计了两项用户研究：在线调查和实验室研究。在线调查共有241名软件开发人员参与。调查结果显示开发人员广泛采用这些工具来提高编码速度、消除重复工作和获取样板代码。然而，调查也发现开发人员可能会对这些工具信任有所偏误，因为他们忽视了毒化攻击的风险。实验室研究共有30名专业开发人员参与。开发人员被要求使用类似ChatGPT或IntelliCode在Visual Studio Code上运行的代表性类型的人工智能驱动的编码助手工具完成三个编程任务。实验室研究结果显示使用被毒化的ChatGPT-like工具的开发人员更容易包含不安全代码，而使用IntelliCode-like工具或不使用工具的开发人员则不太容易出现此情况。这表明这些工具对生成代码的安全性有很强的影响力。我们的研究结果强调了对教育和改进编码实践的需求，以解决人工智能驱动的编码助手工具引入的新安全问题。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a178/1V28Z2MBROU

深度学习模型通常是在从互联网上爬取的分布式、网页规模的数据集上进行训练的。在本文中，我们介绍了两种新的数据集污染攻击，这些攻击故意引入恶意样本来影响模型的性能。我们的攻击方案立即可行，今天就有可能对10个流行数据集进行污染。我们的第一种攻击方式是分隔视图污染，利用互联网内容的可变性确保数据集标注员的初始视图与后续客户端下载的视图不同。通过利用特定的无效信任假设，我们展示了如何仅以60美元的成本，就能够对LAION-400M或COYO-700M数据集中的0.01%进行污染。我们的第二种攻击方式是前沿污染，针对定期对众包内容进行快照的网页规模数据集，比如维基百科，攻击者只需要一个限时窗口来注入恶意样本。针对这两种攻击，我们已通知每个受影响数据集的维护者，并推荐了几种低开销的防御方法。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a175/1V5U7f5aGPu

Mix网络是一种用来隐藏通信元数据的众所周知的技术，但在群组通信设置中会产生很高的开销。这阻碍了它们在现实世界中的应用，因为群组通信在现代通信模式中占据很大一部分。在本文中，我们介绍了“PolySphinx”，这是一种朝着高效匿名多播的混合格式，并允许混合节点将消息负载复制到多个接收者。我们证明PolySphinx并不会牺牲向用户提供的匿名性，同时大大减少了群组消息的延迟：在一个有25名成员的群组中，使用最先进的Rollercoaster方法的平均延迟从6.1秒降至使用PolySphinx的4.1秒。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a044/1RjEaiu0Ehy

移动设备不断地发射蓝牙低功耗（BLE）广告包。这导致攻击者可能通过窃听其BLE信号来识别和跟踪设备。为了减轻这种威胁，大多数BLE发射器在链路层部署了MAC地址随机化。然而，攻击者可以利用来自收音机制造缺陷的更低层物理层指纹来绕过MAC地址随机化。在这项工作中，我们展示了一种实用和有效的方法来模糊物理层硬件缺陷指纹。通过理论分析、模拟和现场评估，我们设计和评估了我们的硬件缺陷模糊化方法。通过分析数千个BLE设备的数据，我们展示了模糊化显著降低了识别目标设备的准确性。这使得攻击变得不切实际，即使目标设备持续被观察24小时。此外，我们通过对普通BLE芯片组件进行固件更改来实现这种防御的实用性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a073/1RjEaJ6C5EI

定向灰盒模糊测试（DGF）是一种以目标为导向的模糊测试技术，可以重现或发现软件漏洞。通常通过两个阶段实现目标，即静态分析事先获取程序结构信息，动态执行引导模糊测试至目标位置。然而，现有的DGF方法仍存在繁重和不完整的问题。前者来自于额外的工作用于识别和接近目标位置，而后者是指由于最近的DGF覆盖不到间接调用或不足路径而导致对目标位置的测试不完整。在本文中，我们提出了一种Predecessor-aware Directed Greybox Fuzzing (PDGF)方法，并将DGF视为一种路径搜索问题。PDGF将给定程序划分为前驱区域和非前驱区域，并通过轻量级程序分析最初维护一组前驱，随后在动态执行过程中进行增补。与此同时，PDGF引入了一种称为区域成熟度的新型适应度度量，用于指示前驱覆盖率，并结合了基于模拟退火的功率调度技术、种子选择和变异，以高效广泛地覆盖前驱区域。我们在包含30个真实世界程序目标位置的基准测试上评估了提出的PDGF，并与最先进的DGF工具进行了广泛比较。实验结果表明，PDGF在曝光时间、路径多样性和漏洞发现方面优于竞争对手。此外，PDGF发现了九个新漏洞，其中六个已被指定CVE编号。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a040/1RjEaeMELbq

匿名Zether是由Bünz等人（FC, 2020）提出，并由Diamond（IEEE S&P, 2021）随后改进的基于账户的保密支付机制，通过使用智能合约实现隐私（即隐藏接收者的身份和交易负载）。在这项工作中，我们致力于简化现有协议的同时实现多个接收者的交易批处理，同时确保共识和前向保密性。据我们所知，这项工作是第一个正式研究区块链环境中前向保密性概念，并从安全消息领域引用一个非常流行和有用的概念。具体而言，我们引入了：FUL-Zether，Zether的前向安全版本（Bünz等人，FC, 2020），PRIvate DEcentralized Confidential Transactions（PriDe CT），一个更简化的版本的匿名Zether，实现了竞争性的性能并允许多个接收者的交易批处理，以及PRIvate DEcentralized Forward-secure Until Last update Confidential Transactions（PriDeFUL CT），PriDe CT的前向安全版本。我们还提供了基于以太坊的开源实现。PriDe CT使用线性同态加密作为匿名Zether，但使用更简单的零知识证明。PriDeFUL CT使用可更新的公钥加密方案通过在标准模型中引入一个基于DDH的新构建来实现前向保密性。在交易大小方面，Quisquis（Asiacrypt，2019）是唯一支持批处理的加密货币（尽管是在UTXO模型中），比PriDe CT拥有15倍更多的群元素。同时，对于N个接收者的环，即使不考虑PriDe CT的批处理能力，匿名Zether也需要额外6logN项。此外，我们的实现表明，对于N=32，即使有7个预期的接收者，PriDe CT在证明时间和燃气消耗方面仍优于匿名Zether。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a179/1V28Z3Eg3p6

联邦学习（FL）是一种流行的分布式机器学习（ML）框架，在这种框架中，多方共享他们的模型参数，而不是原始训练数据集，以隐私保护的方式构建全局模型。然而，现有的FL解决方案主要侧重于通过整合差分隐私（DP）来保护个体训练记录的隐私，而忽视了训练数据集的分布信息的保护，尽管数据分布在高风险应用中也被视为高度敏感的信息。在本文中，我们提出了第一个保护FL中标签分布的隐私保护随机梯度下降（SGD）算法。为了建立正式的隐私保证，我们形式化了一个隐私概念，命名为Z_(m,γ,ξ)(m,γ,ξ)_Z标签分布隐私，以量化标签分布隐私泄露。随后，我们设计了标签分布扰动机制（LDPM），该机制将随机性谨慎地整合到SGD算法中，以实现所有一对全部分类模型的Z_(m,γ,ξ)(m,γ,ξ)_Z标签分布隐私。LDPM易于实现，并提供非平凡的隐私保证，使其成为现有FL本地模型训练算法的合适替代品。值得注意的是，我们证明LDPM还确保差分隐私（DP），表明LDPM提供了个体和标签分布隐私的双重保证。对六个基准数据集的广泛实验验证了LDPM的有效性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a113/1Ub23mqt0hG

寻找大部分缓存的驱逐集是基于Prime+Probe的缓存侧信道攻击的一个基本预处理步骤。先前关于这个问题的工作将其简化为独立地为每个缓存集寻找一个驱逐集。在一个w路、组相联缓存中，具有s个缓存集，这种方法需要Omega(s^2w)的时间。本研究引入了Prune+PlumTree算法，可以在时间复杂度O(sw log s)内找到任意比例的缓存的驱逐集，假设采用LRU缓存替换策略。我们在当前的Intel处理器上进行了测试，LLC中有16k个集合和4KB的内存页面，可以在40-63毫秒内找到超过98%的LLC的驱逐集，比之前的工作提高了两个数量级。在标准的{em 随机}缓存上模拟Prune+PlumTree，将地址映射到随机缓存集，可以在少于Z_7.47.4_Z秒的时间内找到12路缓存的超过98%的驱逐集，该缓存有2^{14}个集合。我们进一步将Prune+PlumTree适应到基于随机替换策略的缓存中，基于一种新颖的方法来修剪一大堆随机内存行，将其缩减为该设置中最小的驱逐集的并集。这种变体的Prune+PlumTree在时间复杂度为O(sw^2 log s)。最后，我们证明了Prune+PlumTree对于LRU替换策略具有渐近最优的运行时间，证明了任何映射常数比例缓存的算法都需要Omega(sw log s)的时间。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a169/1V5U6Z37rjy

有状态的防火墙（SFW）在保护我们的网络基础设施方面发挥着关键作用。即使防火墙规则配置正确，对所期望的有状态语义的错误实施也可能导致规避机会。由于防火墙的黑盒和专有性质、各种部署方式以及复杂的有状态语义，揭示这些机会是具有挑战性的。为了应对这些挑战，我们提出了Pryde。Pryde使用一个模块化的模型引导工作流程，可以概括出黑盒防火墙实现和特定部署设置之间的差异，以生成规避攻击。Pryde在可能不符合TCP标准的数据包序列存在的情况下推断出有状态防火墙的行为模型。它结合攻击者的能力和受害者的行为来合成定制的规避攻击。使用Pryde，我们识别出了针对4个流行防火墙和4个主机网络堆栈的6,000多种独特攻击，其中许多攻击是以前关于规避审查和黑盒模糊测试的研究无法发现的。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a144/1Ub242nYFoY

匿名网络允许在元数据隐私下进行消息传递，提供比流行的加密消息应用更好的隐私保护。然而，在匿名网络上联系用户目前需要知道他们的公钥或类似的高熵信息，因为这些系统缺乏通过一个简短、易读的用户名联系用户的保护机制。先前的研究表明，这是普遍采用的一个障碍。在本文中，我们提出了一种新颖的私人用户发现协议Pudding，允许用户仅知道其电子邮件地址就可以在匿名网络上联系到他们。我们的协议隐藏了用户之间的联系关系，防止了冒充，以及隐藏了哪些用户名在网络上注册。Pudding具有拜占庭容错性，只要不到三分之一的服务器发生崩溃、不可用或恶意，它就能保持可用和安全。它可以在Loopix和Nym上部署而无需更改基础匿名网络协议，并且支持间断网络连接的移动设备。我们通过使用Nym匿名网络的原型演示了Pudding的实用性。我们还正式定义了我们协议的安全和隐私目标，并进行了彻底分析来评估其与这些定义的符合程度。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a167/1Ub24I5jc6A

由于芯片设计日益复杂和建造先进制造设施的成本极高，将集成电路（ICs）的制造外包给第三方厂商在现代半导体产业中非常普遍。然而，由于不可信任的晶圆厂可能在没有密切监督的情况下进行阴险的攻击，因此可能出现重大安全风险。由于先前的研究表明实现实用晶圆厂级特洛伊木马攻击的可行性，绕过后制造检测，IC设计者应在将IC布局发送给第三方晶圆厂之前保护它们，这样的保护措施被称为设计时防御。为此，对布局易受攻击性进行评估的安全指标对于测试所提出的防御措施的有效性至关重要。然而，现有的指标仅考虑几何因素，且无视特洛伊木马，未能捕捉到晶圆级特洛伊木马插入及其相关副作用的基本方面。为了填补真实攻击和威胁预测之间的差距，我们提出了一个名为SiliconCritic的基于模拟的、可扩展框架，利用设计时技术来模拟黑盒晶圆级特洛伊木马攻击和后制造分析。SiliconCritic通过测量模拟特洛伊木马插入后的副通道参数（时序、功耗）的变化，来编码将特定特洛伊木马插入最终物理布局的难度，其中较大的偏差表示更好的可检测性，从而提高了安全性。SiliconCritic允许IC设计者通过副通道分析的反馈，交互地完善针对目标特洛伊木马的防御策略。通过对实际ASIC设计和已知硬件特洛伊木马的评估，SiliconCritic展示了现有布局级防御的局限性，以及特洛伊性质对防御效力的影响。我们的工作更新了对特洛伊木马预防的理解，并提出了未来防御不可信任晶圆厂的方向。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a160/1Ub24jI4NB6

随着现代汽车在外部攻击面和内部车载网络（IVN）拓扑方面变得越来越复杂，确保它们的网络安全性仍然是一个挑战。现有的标准和法规，如WP29 R155e和ISO 21434，试图建立汽车网络安全的基线，但它们在应对不断演变的威胁方面是否足够仍不清楚。为了填补这一空白，我们首先对15位汽车网络安全专家进行了深入的访谈研究，揭示了在安全活动中遇到的特定挑战以及当前法规的局限性。我们从访谈数据中确定了20个关键洞见，涵盖了现有汽车安全行业的挑战和缺口，以及对当前法规的限制和建议。值得注意的是，我们发现现有法规提供的威胁案例质量不尽人意，而威胁分析和风险评估（TARA）过程经常由于缺乏自动工具而效率低下。针对以上限制，我们首先使用收集的访谈数据构建了一个改进的汽车系统威胁数据库，从数量和质量上增强了现有数据库。此外，我们提出了CarVal，这是一种基于数据日志的方法，旨在推断IVN中的多阶段攻击路径并计算风险值，从而使TARA在汽车系统中更加高效。通过将CarVal应用于五辆真实车辆，我们基于生成的攻击路径进行了广泛的安全分析，并成功利用在新的网关分段IVN中的相应攻击链，揭示了先前研究未能覆盖的新汽车攻击面，包括车载浏览器、官方移动应用程序、后端服务器和车载恶意软件。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a080/1RjEaOV6EQE

深度学习中的后门攻击在模型中插入隐藏的后门，以在特定输入模式下触发恶意行为。现有的检测方法假设存在一个度量空间（用于原始输入或它们的潜在表示），在这个度量空间中正常样本和恶意样本是可分离的。我们展示了这种假设存在严重的局限性，引入了一种新颖的SSDT（源特定和动态触发）后门，它模糊了正常样本和恶意样本之间的差异。为了克服这一局限性，我们超越寻找适用于不同深度学习模型的完美度量空间的方法，而是诉诸于更健壮的拓扑结构。我们提出TED（拓扑演化动态）作为一个不依赖于模型的基础，用于强大的后门检测。TED的主要思想是将深度学习模型视为一个将输入演变为输出的动态系统。在这样一个动态系统中，良性输入会按照与其他良性输入相似的自然演化轨迹进行演化。相反，恶意样本显示出不同的轨迹，因为它开始时接近良性样本，但最终转向攻击者指定的目标样本邻域以激活后门。在不同网络架构的视觉和自然语言数据集上进行了广泛的评估。结果表明，TED不仅实现了高检测率，而且在处理复杂的SSDT攻击方面明显优于现有的领先检测方法。用于重现结果的代码已在GitHub上公开。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a170/1V5U7batECk

通用串行总线（USB）是现代操作系统中的一个关键组成部分，允许各种外围设备方便地连接到计算机上。操作系统中的USB堆栈通常包括以下两个组件：主机端驱动程序和设备端设备驱动程序，这两者都是安全关键的。如果特权模式驱动程序中存在任何漏洞被利用，那么恶意或格式错误的设备可能会导致整个系统崩溃。Fuzzing是一种流行的自动漏洞检测技术，已被应用于对内核组件（如驱动程序）的测试，取得了不同程度的成功。然而，现有工作主要集中在一个方面，并通过模拟来自用户空间或外围设备的恶意输入来测试驱动程序，而忽略了只通过两个边界之间的交互触发的复杂内部状态，暴露了大量的错误。在本文中，我们提出了SATURN，这是一种主机-设备协同USB驱动程序模糊测试方法，旨在覆盖整个USB通信过程中的整个处理链。为了实现这一目标，SATURN首先利用提取的驱动程序信息系统地连接设备，并触发更多驱动程序类型，促进与交互逻辑的过渡。然后，SATURN通过在两侧进行规范操作注入执行持续的协同模糊过程，以发挥它们各自的重要作用，显著扩大了所探索的状态并暴露了这种逻辑中的错误。与现有的USB模糊测试工具（如Syzkaller、USBFuzz和FUZZUSB）相比，SATURN分别将对应堆栈的分支覆盖率统计数据提高了1.53倍、3.69倍和2.3倍。此外，SATURN发现了26个先前未知的漏洞，其中包括每一侧的驱动程序。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a051/1RjEaqzRsfC

智能合约是一种使区块链上的各种业务活动得以实现的软件程序。最近的研究发现了一类新的“机器难以审计”的错误，这些错误源于源代码未满足基础交易语境。现有的检测方法需要人类理解基础交易逻辑，并在不同来源的上下文（即模态）之间进行手动推理，例如代码和自然语言规定的预期交易行为。为了自动化检测“机器难以审计”的错误，我们提出了SMARTINV，一个准确且快速的智能合约不变推断框架。我们的关键洞察力在于，智能合约的预期行为，如不变量所规定的那样，依赖于对多模态信息（如源代码和自然语言）的理解和推理。我们提出了一种新的微调和提示策略，基于ToT（Tier of Thought）的基础模型，以便跨越智能合约的多个模态进行推理，并生成不变量。然后，SMARTINV通过检查这些生成的不变量的违反来定位潜在的漏洞。我们在过去2.5年中（从2021年1月1日至2023年5月31日）导致财务损失的实际智能合约漏洞上对SMARTINV进行了评估。广泛的评估表明，SMARTINV可以生成有用的不变量，有效地定位“机器难以审计”的错误，从中SMARTINV发现了119个零日漏洞。我们对八个漏洞进行了抽样，并向各个开发者报告。其中六个漏洞很快得到了解决，其中五个被确认为“高严重性”。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a126/1Ub23GNTAeQ

神经网络（NNs）在包括交通运输、医学、通信基础设施等关键领域的应用是不可逆转的。然而，NNs 仍然极易受到敌对干扰，即看似微小或难以察觉的输入变化会导致严重的错误分类，这对它们的实际应用提出了质疑。尽管越来越多的研究致力于防御这种攻击，但对敌对干扰的鲁棒性仍然是一个未解之谜，尤其是现有解决方案的有效性对越来越复杂的输入操纵的抵抗能力会以降低识别良性样本的代价，正如我们揭示的。在这项工作中，我们介绍了SABRE，这是一个敌对防御框架，可以在NN分类任务中在良性和稳健的准确性之间缩小差距，同时不损害对良性样本的识别性能。具体来说，通过对输入进行谱分解和选择性基于能量的过滤，SABRE提取出稳健特征，这些特征在输入重建之前提供给现有的NN架构。我们通过在图像分类、网络入侵检测和语音命令识别任务中对其进行评估，展示了我们方法的性能，表明SABRE不仅优于现有的防御机制，而且在不同的神经架构、数据类型、已知和未知攻击以及敌对扰动强度下表现一致。通过这些广泛实验，我们展示了SABRE在部署强大可靠的神经分类器方面的价值。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a076/1RjEaLx3uAU

支持混合模式计算的安全多方计算（MPC）协议近年来在许多应用中得到了广泛应用，这是由于它们在表示待评估函数时具有灵活性。然而，现有的混合模式MPC协议只适用于少数几个参与方：它们要么专门针对两三个参与方的情况，要么在大量参与方时效率较低。在本文中，我们设计并实现了一种新的系统，用于高效且可扩展的、容忍任意数量半诚实损坏的混合模式MPC。我们的协议允许将秘密数据表示为加密、布尔、算术或Yao形式，并支持这些表示之间的高效转换。1）我们设计了一个多方查找表协议，其中索引和表都可以保持私密。该协议即使在数百个参与方的情况下也是可扩展的；2）利用上述协议，我们设计了适用于大量参与方的加法算术秘密共享和布尔秘密共享之间的高效转换。对于32个参与方，我们的转换协议与MOTION和MP-SPDZ相比，通信需求降低了1184x至8141x，这在1 Gbps网络下可以提高最多1275倍的运行时间。随着参与方数量的增加，这些改进效果更加明显；3）我们还使用新协议设计了一个高效的多方分布混淆协议。该协议可实现每个参与方的渐进常数通信。我们的实现将会公开发布。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a106/1Ub23erqzra

零知识证明（ZK）的应用在行业中迅速增长，并已成为实现隐私和增强公共分布账本可扩展性的关键要素。在大多数实际的ZK系统中，要被证明的陈述通过在素数域中描述算术电路的一组多项式方程来表达。使用这种约束描述一般陈述是一个复杂且容易出错的任务。可以通过使用高级编程语言来部分缓解这种情况，但代价是失去对添加约束的控制，并且因此获得过于复杂的系统以证明复杂的陈述。在这种情况下，拥有工具自动验证约束系统的属性对于保证协议的安全至关重要。然而，由于需要在有限域上进行非线性多项式推理以检查具有挑战性的属性，现有的自动工具要么不具备可扩展性，要么无法检测非平凡的错误。在本文中，我们提出了一种基于转换和演绎规则的新的可扩展模块化技术，该技术已被证明在验证以大素数域中描述的一组多项式方程的电路信号上的属性时非常有效。我们的技术已经在一个名为CIVER的工具中实现，并应用于验证在circom中实施的电路的安全性质，circom是定义ZK协议的最流行语言之一。我们已经能够分析大型工业电路，并发现由专业程序员设计的电路中的微妙漏洞。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a133/1Ub23QzVaWA

面部识别系统（FRSs）通常存储从每个注册用户的面部图像中提取的具有区分性的实值模板向量的数据库。这种模板数据库必须得到仔细保护，以确保用户隐私---事实上，在文献中广泛报道了模板泄漏的危险。相比之下，查询图像和注册用户之间的相似性分数通常是不受保护的，并且可以通过典型的FRS API轻松查询。这些分数为对FRSs的对抗攻击提供了一种潜在途径，但最近提出的基于分数的攻击仍然在很大程度上不切实际，因为它们基本上依赖于使用大量的自适应查询（> 50K）进行面部重建的试错策略。我们针对三个商业FRS API（AWS CompareFaces，FACE++和KAIROS）以及五个常用的预训练开源FRSs提出了第一个实际的基于分数的面部重建和模拟攻击。我们的攻击是在黑盒FRS模型中进行的，即对手没有关于FRS的任何知识（包括底层模型、参数、模板数据库等），只能进行有限数量的相似性分数查询。值得注意的是，这种攻击很容易实现，不需要试错猜测，并且可以使用少量的非自适应分数查询。我们通过分析相似性分数的拓扑含义来激发这种攻击，然后使用正交面集提出我们的新方法：人类面部图像的预计算近似基础组，使我们能够从少量的非自适应查询中获得有意义的相似性分数。我们的方法成功地使用只有100次查询的攻击手段---比以前的方法少了两个数量级---在直接攻击AWS CompareFaces API（或开源CosFace FRS）时，在三个测试数据集中以超过20%（分别超过96%）的成功率重建出类似人类的模拟图像。通过评估我们的方法在类似迁移的攻击设置中以及通过其他图像相似度指标，我们提供了证据表明我们的重建图像捕捉到了个人可辨识的生物特征。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a161/1Ub24A2RzHi

近年来，在设计安全通信协议方面取得了许多进展，旨在在理论上具有可证明的强安全性属性，或者在实际部署中具有高效率。然而，在这些元素之间的设计空间中重要的权衡领域尚未被探索。在这项工作中，我们设计了第一个在理论上具有可证明安全性的协议，同时实现了(i)对精细牺牲的强韧性，(ii)时间隐私和(iii)具有恒定大小开销的即时解密，特别是在后量子（PQ）环境中。除了这些主要设计目标，我们引入了一个适用于我们情境的新颖离线否认性的定义，并证明我们的协议在结合了PQ离线可否认的初始密钥交换时满足这一定义。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a038/1RjEadbAKMU

将基于图神经网络（GNNs）的部署在机器学习即服务（MLaaS）中，打开了新的攻击面，并在模型为中心的攻击方面引发了安全担忧。这些攻击可以直接在服务过程中操纵GNN模型参数，导致错误的预测，并对重要的GNN应用程序构成重大威胁。传统的完整性验证方法在这种情况下无法胜任，因为受限于MLaaS以及GNN模型的独特特征。在这项研究中，我们引入了一种具有突破性的方法来保护MLaaS中的GNN模型免受模型为中心的攻击。我们的方法包括一个针对GNN完整性的全面验证模式，考虑到传递式和感知式GNN，并适应了模型在部署前的不同知识。我们提出一种基于查询的验证技术，使用创新的节点指纹生成算法加固。为了应对提前了解我们机制的高级攻击者，我们在设计中引入了随机生成指纹节点。实验评估表明，我们的方法可以检测出五种代表性的对模型为中心的攻击，相比于基准线显示出2到4倍的效率提升。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a110/1Ub23i7VF96

搬到一个新的国家通常意味着人们离开他们熟悉的环境，与新的实体互动，并经常共享敏感和个人信息。这使他们面临各种风险。在这项研究中，我们调查了最近搬到美国的人们与安全、隐私和数据共享相关的挑战和关注。通过半结构化访谈（n = 25），我们发现大多数参与者对共享包含个人和敏感信息的文件（例如签证过程中的财务信息和关系证明）感到不舒服。共享这些信息使参与者担心他们的安全和隐私，并有时违反他们的文化信息共享规范。搬到一个新的环境，特别是搬到美国，也使人们容易受到欺诈的侵害，特别是在线租房欺诈帖和诈骗电话。那些搬迁的人还要应对加剧他们认知到的安全和隐私问题的官僚、行政和技术挑战。我们进一步发现了一个权力失衡，迫使签证申请人共享所有所需信息，以避免签证被拒绝，而不感知要求和措施的详细信息。我们的研究强调了大使馆需要更多的指导、透明度和尊重个人隐私，同时需要技术设计师更好地支持和保护那些搬迁到其他国家的人们。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a004/1RjE9JsOSm4

我们介绍Serberus，这是第一个针对现有硬件的Spectre攻击（涉及PHT/BTB/RSB/STL/PSF推测原语）进行固化恒定时间（CT）代码的全面缓解措施。Serberus基于三个见解。 首先，一些硬件控制流完整性（CFI）保护限制了瞬时控制流，以至于软件分析可以全面考虑。 第二，符合被接受的CT代码纪律允许两种在后Spectre时代是不安全的代码模式。第三，一旦解决了这些代码模式，CT程序中所有Spectre泄露的秘密可以归因于四类污点原语之一 - 可以瞬时将秘密值分配给公开类型寄存器的指令。我们在OpenSSL，Libsodium和HACL*库中的密码原语上评估了Serberus。与下一个最接近的最新软件缓解措施相比，Serberus平均增加了21.3%的运行时开销，而后者的增加为24.9%，而且安全性较低。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a048/1RjEalQDOSY

常见弱点评分系统（CVSS）是一种评估弱点管理中漏洞严重程度的流行方法。在评估过程中，计算出一个0到10之间的数字分数，10表示最严重（危急）的值。CVSS的目标是提供不同评估者之间可比较的评分。然而，先前的研究表明CVSS可能无法实现这一目标：如果一个漏洞由几个分析师评估，他们的评分通常不同。这带来了以下问题：CVSS评估是否一致？哪些因素影响CVSS评估？我们在一项涉及196名CVSS用户的在线调查中系统地研究了这些问题。我们发现特定的CVSS指标在广泛的弱点类型中的评估是不一致的，包括“2022年CWE安全漏洞最危险软件弱点Top 25”列表中的前三个漏洞。在59名参与者的后续调查中，我们发现对于主要研究中的相同漏洞，68%的用户给出了不同的严重程度评级。我们的研究表明，大多数评估者意识到CVSS存在问题，但他们仍然认为CVSS是一种有用的弱点评估工具。最后，我们讨论了评估不一致的可能原因，并提出了改进评分一致性的建议。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a058/1RjEawCxXWM

深度神经网络（DNNs）以其无与伦比的性能彻底改变了许多应用领域。随着模型变得越来越庞大和复杂，硬件DNN加速器变得越来越受欢迎。基于现场可编程门阵列（FPGA）的DNN加速器提供接近特定应用集成电路（ASIC）的效率和出色的灵活性，使它们成为快速发展的深度学习实现的主要硬件平台之一，特别是在边缘设备上。这种突出地位使它们成为攻击者的利润丰厚的目标。针对在FPGA DNN加速器上部署的DNN模型的机密性进行攻击的现有攻击通常假定对加速器有完全的了解。然而，这种假设对于真实世界的专有高性能FPGA DNN加速器并不成立。在本研究中，我们介绍了一种全面有效的反向工程方法，用于揭示FPGA DNN加速器软知识产权（IP）核心的秘密。我们展示了该方法在尖端的AMD-Xilinx深度学习处理单元（DPU）上的应用。我们的方法依赖于原理图分析，创新地利用电磁（EM）侧信道分析来揭示DNN加速器的数据流和调度。据我们所知，这项研究是第一个成功地对商业加密的DNN加速器IP进行反向工程的尝试。此外，我们研究了反向工程结果所暴露的攻击面，包括成功恢复DNN模型架构和提取模型参数。这些结果对真实世界的商业FPGA-DNN加速系统构成重大威胁。我们讨论了潜在的对策，并提出了关于基于FPGA的IP保护的建议。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a001/1RjE9FWOWsw

文本到图像生成模型，如稳定扩散和DALL*E，由于生成有害图像，如不适宜在工作场所查看（NSFW）的图像，引发了许多伦理关注。为了解决这些伦理关切，通常采用安全过滤器来防止生成NSFW图像。在这项工作中，我们提出了SneakyPrompt，第一个自动化攻击框架，以越狱文本到图像生成模型，使其生成NSFW图像，即使采用了安全过滤器。给定一个受安全过滤器阻止的提示，SneakyPrompt重复查询文本到图像生成模型，并根据查询结果有策略地扰动提示中的标记，以绕过安全过滤器。具体来说，SneakyPrompt利用强化学习来引导标记的扰动。我们的评估表明，SneakyPrompt成功越狱了DALL⋅E 2，并利用封闭箱安全过滤器生成NSFW图像。此外，我们还在稳定扩散模型上部署了几个最先进的开源安全过滤器。我们的评估显示，SneakyPrompt不仅成功生成NSFW图像，而且在延伸到越狱文本到图像生成模型时，无论是查询数量还是生成的NSFW图像质量方面，都优于现有的文本对抗攻击。SneakyPrompt是开源的，可在此存储库中获得：https://github.com/Yuchen413/text2image_safety。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a123/1Ub23wEASRO

私有集合交集协议允许具有私有数据集的两方计算它们之间的交集，而不泄露有关其集合的其他信息。这些协议已经被研究了近20年，并随着时间的推移得到了显着改进，减少了它们的计算和通信成本。然而，当超过两方想要计算私有集合交集时，这些协议不再适用。虽然存在于多方情况的扩展，但这些协议远不及两方情况那么高效。设计抗串通的多方私有集合交集(MPSI)协议，以接近两方协议的效率，仍然是一个悬而未决的问题。由于提出方案的巨大变化以及缺乏系统化，这项工作变得更加困难。此外，每一项新作品只考虑了以前提出的协议的一小部分，忽略了来自旧作品的重要发展。最后，MPSI协议依赖于许多可能的构造和构建模块，这些尚未总结。本工作旨在为协议设计者指出研究中的差距和有前途的方向，指出常见的安全漏洞，并勾勒出一个参考框架。为此，我们将重点放在诚实模型上。我们得出结论，当前的MPSI协议并非一劳永逸的解决方案，相反，存在许多协议，每个在自己的应用设置中都占优势。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a079/1RjEaO9q2ZO

Poly1305 是一种广泛部署的多项式哈希函数。其设计背后的理念由伯恩斯坦在一系列论文中阐述，其中最后一篇可以追溯到2005年。随着计算机体系结构的发展，其中一些设计特性变得不太相关，但实施者发现了利用这些特性提升性能的新方法。然而，如果我们从今天的计算机体系结构和应用重新开始，我们是否仍会收敛到同样的设计？为了回答这个问题，我们汇集和系统化了关于多项式哈希设计和实现的知识体系，这些知识散布在研究论文、密码库和开发者博客中。我们开发了一个框架来自动化收集的想法的验证和基准测试。这种方法使我们得到了五种新的多项式哈希函数候选设计。使用我们的框架，我们生成和评估了每个候选实现和优化策略。我们在安全性和性能方面获得了相对 Poly1305 的显著改进。除了阐明我们新设计背后的理念外，我们的论文还可作为高效实现多项式哈希函数（包括 Poly1305）的参考。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a132/1Ub23PQMXgk

现代深度学习方法长期以来被认为是黑盒子，因为人们缺乏了解其决策过程的见解。然而，最近可解释机器学习的进步已经改变了情况。事后解释方法使得可以对诸如深度神经网络等通常不透明模型的输入特征进行精准相关性归因。这一进展引起了人们的期望，认为这些技术可以揭示针对基于学习的系统的攻击，如对抗性示例或神经后门。不幸的是，目前的方法本身对操纵并不具有强大的鲁棒性。在本文中，我们旨在系统化针对事后解释方法的攻击，为开发更加强大的可解释机器学习打下基础。如果解释方法无法被对手误导，它们可以作为一种有效的工具对抗攻击，标志着对抗性机器学习的一个转折点。我们提出了一个解释意识鲁棒性概念的层次结构，并将现有的防御方法与之相关联。通过这样做，我们揭示了协同作用、研究空白和未来方向，以实现针对操纵更可靠的解释鲁棒性。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a021/1RjE9XVNjnW

随着数据分析的普及，保护数据隐私已经成为一个首要关注的问题。因此，隐私保护数据分析机制的发展出现了激增。然而，这些方法是面向特定任务的；为新任务设计算法是一个繁琐的过程。作为替代方案，可以创建理论上不包含私人信息的合成数据。本文重点关注隐私保护数据合成（PPDS），通过提供对该领域的全面概述、分析和讨论。具体来说，我们提出了一个统一两个突出研究领域在PPDS中的掌握配方：统计方法和基于深度学习（DL）的方法。在这一主要配方下，我们进一步将统计方法分解为建模和表示选择，并通过不同的生成建模原则对基于DL的方法进行研究。为了巩固我们的研究成果，我们提供全面的参考表格，提炼关键要点，并确定现有文献中存在的问题。通过这样做，我们旨在回答以下问题：不同PPDS方法背后的设计原则是什么？我们如何对这些方法进行分类，每个类别都有什么优缺点？我们能否为不同实际场景中的方法选择提供指导？我们继续在私密图像合成任务上对几种突出的基于DL的方法进行基准测试，并得出DP-MERF是一种多功能方法的结论。

最后，通过系统化过去十年的工作，我们确定了未来的发展方向，并呼吁研究人员采取行动。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a002/1RjE9GWpTGw

在过去的十年中，Fuzzing已被证明是发现软件漏洞的一种高效方法。自从AFL推广了轻量级覆盖反馈的开创性概念以来，Fuzzing领域已经见证了大量的科学研究，提出了新技术、改进了现有策略的方法论方面，或者将现有方法移植到新领域。所有这些工作都必须通过展示其适用性、衡量其性能，通常通过彻底的实证评估展示其优越性来证明其价值。然而，Fuzzing对其目标、环境和情况非常敏感，例如在测试过程中的随机性。毕竟，依赖随机性是Fuzzing的核心原则之一，它控制着Fuzzer行为的许多方面。结合往往非常难以控制的环境，实验的可重复性是一个重要的问题，需要慎重的评估设置。为了解决这些对有效性的威胁，一些工作，尤其是Klees等人的《评估模糊测试》一文，已经概述了如何实施一个精心设计的评估设置，但目前尚不清楚他们的建议在实践中到底得到了多大程度的采纳。在这项工作中，我们系统分析了2018年至2023年间发表在顶级会议上的150篇Fuzzing论文的评估。我们研究了现有指导方针的实施情况，并观察到潜在的缺陷和陷阱。我们发现在Fuzzing评估中对于统计测试和系统误差的现有指导方针被惊人地忽视了。例如，在调查已报告的漏洞时，我们发现寻找真实软件漏洞的过程导致了作者请求和获得了质量存疑的CVE。通过将文献分析扩展到实际领域，我们尝试复现八篇Fuzzing论文的声明。这些案例研究使我们能够评估Fuzzing研究的实际可重复性，并识别评估设计中的典型陷阱。不幸的是，我们复现的结果显示出研究论文中存在若干缺陷，我们无法完全支持和复现相应的声明。为了帮助Fuzzing领域朝着科学可重复的评估策略迈进，我们提出了更新的指导方针，供未来的工作遵循。

论文链接：https://www.computer.org/csdl/proceedings-article/sp/2024/313000a137/1Ub23V26Svm