【InForSec学术论坛预告】2024年InForSec@BCS网络空间安全国际学术研究交流会即将召开，欢迎报名参会

邹德清 华中科技大学网络空间安全学院常务副院长

演讲主题：开源社区中克隆代码管理与安全漏洞检测

内容摘要：

近年来，我国涌现了诸如开源中国、码云等众多开源社区，为开发者提供了广泛的交流和合作平台，极大地促进了技术创新和共享。在开源社区中，克隆代码是指在软件开发过程中，通过复制粘贴等方式产生的相似或完全相同的代码片段。克隆代码的存在既能提高开发效率，又可能导致代码维护困难和降低代码质量。克隆漏洞是由于克隆代码引入的潜在安全漏洞，可能会被恶意攻击者利用，造成严重的安全问题。在开源社区可维护性方面，有效地管理和减少克隆代码至关重要。随着开源代码的规模不断扩大且开源代码的语义不断丰富，面向开源社区的代码克隆检测技术的核心需求在于大规模克隆检测和语义克隆检测，报告分别从大规模克隆检测和语义克隆检测展开介绍团队代表性成果；在开源代码安全性方面，针对克隆漏洞引发的安全问题，报告对本团队大规模克隆漏洞检测的代表性成果展开介绍。

嘉宾介绍：

邹德清，博士，华中科技大学二级教授、博士生导师，网络空间安全学院常务副院长，武汉金银湖实验室法人兼常务副主任，武汉市网安基地校企联合会会长，教育部网络空间安全教育指导委员会委员，全国网络安全标准化技术委员会委员。长江学者特聘教授，国家网络安全优秀教师，教育部新世纪优秀人才。湖北省五四奖章集体“华中科技大学系统与软件安全团队”负责人，长期在云计算安全、软件安全等网络空间安全方向开展研究，获教育部技术发明一等奖1项、湖北省科技进步一等奖2项、中国电子学会科技进步二等奖1项。

李冰雨 北京航空航天大学副教授

演讲主题：重新审视证书透明化：公众对第三方Monitor的监督

内容摘要： 

证书透明化（CT）已经被广泛应用在Web PKI，用于及时发现虚假证书，提高对CA机构的问责能力。然而，我们的前期分析表明，在互联网上提供证书检索、虚假证书监视服务的CT Monitor缺少有效措施来保障正确结果、存在受攻击隐患，这从根本上削弱了CT所要提供的安全保障。本报告将介绍团队如何重新审视CT设计，引入CT框架新组件—CT Watcher，任何利益相关方均可充当，协同参与检查多个第三方Monitor的证书检索服务，检测返回结果一致性，从而发现不当行为。CT Watcher致力于实现轻量化、半自动的Monitor证书监视服务质量评估与行为故障定位分析。团队部署运行CT Watcher原型系统近2个月，实验涉及约6千个域名的826万个证书，从6个第三方Monitor返回的结果中检测出14个潜在设计或实施缺陷，证明其有效性，能够提高CT框架整体可靠性，提升Web PKI可信性。

嘉宾介绍： 

李冰雨，博士，北京航空航天大学副教授，博士生导师。2020年于中国科学院大学获得信息安全博士学位。2022年入选北航青年拔尖人才支持计划。长期从事信任管理、网络认证、软件供应链安全、公钥基础设施等密码应用相关研究。主持国家和省部级等课题7项，参与国内外多个大型科研项目；在网络与信息安全顶级会议和期刊上发表学术论文20余篇，包括CCS、NDSS、TDSC、TIFS和IEEE/ACM ToN等；牵头PKI透明化相关密码行业标准研究1项；申请发明专利10余项，已授权5项（包括2项美国专利），实现成果转化；参与研制4款密码设备获得国密局商用密码产品型号证书，实现国密产品出口海外。

刘明烜 中关村实验室助理研究员

演讲主题：数据驱动的域名基础设施新型滥用行为研究

内容摘要：

域名基础设施是互联网的核心组成部分，但也常被用于各种网络攻击，造成了重大影响。因此，识别和管理域名滥用对于保障网络稳定和保护用户利益至关重要。随着网络技术的不断进步，犯罪分子也在不断开发新的对抗技术，这使得识别域名滥用行为变得日益复杂和困难。本报告将从数据驱动的角度出发，结合主动探测和被动数据分析，介绍基于域名威胁情报的防护型域名解析服务相关安全研究，以及基于海量域名解析日志的新型域名滥用形式的大规模识别和分析成果。我们希望通过这些研究成果能够促进对域名滥用治理的深入讨论。相关研究成果发表于 NDSS 2024，USENIX Security 2024，DSN 2024 等顶级学术会议。

嘉宾介绍：

刘明烜，中关村实验室助理研究员，2023于清华大学获得博士学位。主要研究方向为数据驱动的互联网基础设施分析与网络犯罪治理，致力于通过面向数据的安全分析发现并理解互联网系统中的关键安全问题，设计创新方法解决这些问题。近期侧重于域名基础设施的滥用行为研究。目前在ACM CCS、NDSS、USENIX Security、IEEE TDSC等知名国际网络安全安全学术和期刊上发表论文14篇，获得2022年度 EthiCS 最佳学生论文奖，累计获得10余项 CNVD 高危漏洞编号。学术研究成果取得一定现实影响，获得多家安全厂商的奖金致谢，研究成果部署应用于百度、腾讯、华为、奇安信等知名厂商。

闫琛  浙江大学副研究员

演讲主题：传感器电磁安全与隐私问题研究

内容摘要：

传感器不仅是电子信息系统与物理世界交互的入口，还是收集用户位置信息、行为模式、健康数据等敏感数据的重要来源，广泛应用于工业生产、基础设施、智慧医疗、自动驾驶等领域。然而，随着人工智能技术与电子信息技术的高速发展，由传感器电磁漏洞引发的信息安全与隐私问题愈发凸显，攻击者不仅可以通过构造发射电磁信号来篡改甚至定向控制传感器的测量值，导致传感器“数据被篡改”，进而欺骗人工智能模型的识别结果；还可以通过采集分析传感器工作时向外辐射的电磁信号，在人工智能技术支持下恢复传感器的测量数据，导致用户“隐私被窃取”。本报告将从传感器电磁漏洞机理分析、电磁攻击技术、防护方案等方面介绍团队的研究成果，分享在后续传感器安全与隐私设计方面的思考。

嘉宾介绍：

闫琛，博士，浙江大学副研究员，2021年于浙江大学获得控制理论与控制工程博士学位。主要研究方向为物联网安全和嵌入式系统安全，发表论文30余篇，包括“四大” 国际安全顶会论文17篇，担任USENIX Security 2024联合副主席，ACM CCS、ACM SenSys等会议TPC成员和IEEE TIFS、IEEE TDSC等多个期刊审稿人。曾获得2021年ACM中国优博奖、ACM CCS 2017最佳论文奖，入选特斯拉汽车安全研究人员名人堂。

吴豪奇  蚂蚁集团隐语算法专家

演讲主题：基于隐语SPU框架实现高效大模型密态推理

内容摘要：

大模型研究如火如荼，在对话领域取得了显著进展，然而其实际落地，如提供推理服务和对话接口（如ChatGPT），存在潜在的数据泄露风险。针对此问题，蚂蚁集团隐语SPU团队基于安全多方计算（MPC）实现了SPU密态计算引擎，为保护数据、实现隐私保护的大模型安全推理提供了可行解决方案。本次演讲将分享如何基于SPU实现大模型安全推理，无缝地由明文推理切换为密态推理，并介绍了结合量化的性能优化方法。

嘉宾介绍：

吴豪奇，蚂蚁集团隐语算法专家，隐语开源SPU Maintainer，专注AI算法安全，主要负责隐语密态引擎SPU研发，提交隐私计算相关发明专利十余项，近年在USENIX ATC、ICML、USENIX Security、ACM CCS等知名国际学术会议上发表相关论文。复旦大学软件工程硕士。

周满 华中科技大学副研究员

演讲题目：基于手指摩擦声感知的指纹推断研究

内容摘要：

由于性能优秀和使用方便，指纹识别已被广泛应用在当代身份验证系统中。指纹识别的普适性也使得指纹泄露可能导致用户敏感信息被盗，造成巨大的经济损失和个人隐私泄露。作为一种可以巧合匹配特定比例用户指纹的指纹样本，万能指纹为指纹认证的安全性敲响了警钟。本报告将介绍一种针对指纹识别的新型侧信道攻击，称为PrintListener。它利用用户在屏幕上的指尖滑动产生的细微摩擦声，经过背景噪声隔离、信号补偿、摩擦事件检测、数据增强等预处理，提取可解释的音频特征，通过加权联合预测推断一级指纹特征，然后利用随机重启爬坡算法合成更具有针对性的万能指纹。PrintListener的攻击场景广泛而且隐蔽，可以通过大量社交媒体平台记录用户的指尖摩擦声。在三个指纹数据集上的测试结果表明PrintListener 可以进一步提高万能指纹的攻击力，在指纹认证错误接受率为0.01%的高安全性设置下，5次尝试中针对完整指纹的攻击成功率为9.3%，针对部分指纹的攻击成功率为27.9%，相较于万能指纹，攻击成功率大约提高了2倍。

嘉宾介绍：

周满，华中科技大学副研究员，硕士生导师，分别于2016年和2021年在武汉大学取得学士和博士学位。以移动智能终端安全为核心，长期关注以智能终端为载体的各种新颖身份认证和感知通信系统，并研究其中的安全问题，近期侧重于研究面向智能全场景下的终端设备身份认证安全、自动驾驶环境感知安全等方向。近年在ACM CCS、NDSS、ACM MobiCom、IEEE INFOCOM、IEEE TDSC、IEEE TMC、IEEE TIFS、IEEE TWC、IEEE TCSVT等知名国际学术会议和期刊上发表论文20余篇。