网络安全顶刊——TIFS 2024 论文清单与摘要（5）

私密集合交集（PSI）用于计算两方私密集合的交集, 并确保不会透露交集本身之外的任何其他信息。然而，目前最先进的方法大多局限于静态PSI，对可更新PSI则未作处理。现有的PSI协议在更新集合上计算交集会耗费大量的计算资源。更严重的是，现有的可更新PSI方法中，没有哪一种能够在一次更新中同时实现安全的添加和删除操作。为了解决这些挑战，我们提出了针对两方场景的前向私密可更新PSI（FUPSI）。FUPSI设计支持同时添加和删除，同时确保对半诚实对手的前向隐私。在这项工作中，我们通过展示可能导致隐私泄漏的实际攻击，分析了现有可更新PSI方法中安全同步添加和删除操作的不可行性。在进行删除功能时，该攻击将导致隐私泄漏。然后，为了抵御针对半诚实对手的此类攻击，我们展示了FUPSI如何通过利用关键字私有信息检索（PIR）的一种变体来隐藏敏感的中间参数以保护用户集合的前向隐私。具体来说，在FUPSI中，两方执行关键字PIR，以检索一个标志来指示当前元素是被添加还是删除，以确定它是否存在于参与者的数据集中。最后，我们为提出的FUPSI提供了正式的安全性证明，并通过广泛的实验结果证明了我们方案的效率和实用性。例如，我们方案的通信复杂度仅与更新集合的大小呈对数关系，计算开销主要由对数次PIR计算组成。由于使用了关键字PIR的变体，我们的工作即使针对庞大的数据集，也仅带来最小的通信开销，这在可更新的设置和缓慢的网络中表现良好。

论文链接：https://doi.org/10.1109/TIFS.2024.3461475

Deepfake检测在防止人工智能在视频编辑中的误用方面起着关键作用。当前基于深度学习的deepfake检测方法在同一数据集测试中通常表现良好，但在跨数据集测试中可能会失去良好的性能。换句话说，泛化能力仍然是一个亟待解决的重要问题。在本文中，我们通过将图像视为非欧几里得数据并将其表示为图，以推断图像块/节点之间的信息连接，从而提高检测器的泛化能力，来解决deepfake检测问题。具体来说，我们提出了一种基于图神经网络的范式，将deepfake检测视为图的二元分类问题。首先，我们提出了一种双分支网络，通过基于Transformer的可训练节点编码模块（TNEM）从RGB图像及其色差图（CDIs）中提取节点特征。其次，我们采用邻接矩阵来建立节点的连接，并通过对邻接矩阵应用自适应阈值来进一步优化图表示。第三，执行多头图卷积神经网络以提取节点特征。RGB节点特征和CDI节点特征被拼接并分别输入到图分类器和节点分类器中，以进行伪造检测和伪造定位。实验结果表明，我们的方法在7个流行的基准数据集上整体上优于其他最新方法。值得注意的是，当在FF++（C23）上训练时，我们的模型在Celeb-DF-V2、DFDC和DFDCP上的AUC值分别达到96.19%、80.99%和87.68%的最高值。节点分类结果的可视化还为我们提出的方法提供了良好的可解释性。

论文链接：https://doi.org/10.1109/TIFS.2024.3451356

我们研究了在具有单个主节点和多个工作节点的分布式计算系统中，对多个大规模数据集上的不同多元多项式进行评估的问题。我们专注于每个多元多项式在其对应的数据集上进行评估的一般情况，并提出了拉格朗日编码计算框架（Yu等，2019）的推广，以便在提供对未及时响应的滞后者、提供错误计算的对抗性工作节点的鲁棒性以及针对串通工作节点的数据集的信息理论安全性的同时，同时执行所有计算。我们的方案引入了一个小的计算开销，结果是在下载成本上有所减少，并且在对滞后者的抵抗力方面与现有解决方案相当。除此之外，我们还提出了两个验证方案用于检测导致错误结果的对抗者的存在，而不需要涉及额外的节点。

论文链接：https://doi.org/10.1109/TIFS.2024.3450288

去中心化的联邦学习（FL）范式基于区块链架构，利用分布式节点集群替代单一服务器来执行FL模型聚合。此范式解决了传统联邦学习中集中式恶意服务器的脆弱性，并继承了区块链所提供的信任性和鲁棒性。然而，现有的区块链支持的方案面临关于模型保密性不足和区块链计算资源有限的挑战。在本文中，我们提出了Voltran，一个创新的混合平台，旨在利用可信执行环境（TEE）和区块链技术的结合来实现对FL的信任、保密性和鲁棒性。我们将FL聚合计算卸载到TEE中，以提供一个隔离、可信且可定制的链下执行环境，然后在区块链上保证聚合结果的真实性和可验证性。此外，我们通过引入多SGX并行执行策略来分摊大规模FL工作负载，从而在多个FL场景中提供强大的可扩展性。我们实现了Voltran的一个原型，并进行了全面的性能评估。广泛的实验结果表明，Voltran在保证信任、保密性和真实性的同时，仅引入了极少的额外开销，并且相比于最先进的密文聚合方案显著加速。

论文链接：https://doi.org/10.1109/TIFS.2024.3472531

本文重点研究在错误数据注入（FDI）攻击下分布式状态估计器的脆弱性和严格脆弱性。攻击者通过向传感器节点、通信链路或两者注入恶意数据，试图对估计误差动态施加无限制的影响。具体来说，如果存在一个无限制的FDI攻击，导致剩余项发生有限变化（或不发生变化），则分布式系统被称为脆弱（或严格脆弱）。通过利用可逆性理论和精心设计的攻击序列，我们确立了系统在不同攻击场景下成为（严格）脆弱的条件。此外，我们提供了对不同攻击对系统安全性影响的比较分析。最后，展示了一个三区域电网系统模型以说明理论结果的有效性。

论文链接：https://doi.org/10.1109/TIFS.2024.3396634

程序漏洞的检测在软件安全领域仍然是一项具有挑战性的任务。现有的漏洞检测方法很少考虑程序图结构的多维特征空间互补性，这容易忽视上下文环境特征和语法结构特征。这一缺点导致在捕捉复杂结构特征方面表现不足，从而妨碍了检测准确性的提高。为了解决这个问题，本文介绍了一种新颖的漏洞检测方法EnGS2F，该方法采用增强图结构的表示学习来提高捕捉漏洞信息的效率。在图结构的维度上，通过在程序依赖图（PDG）的基础上集成上下文关系图（CRG），丰富了全局结构上下文表示。在图节点的维度上，集成了抽象语法树（AST）嵌入和段落嵌入，解决特征空间互补性不足的问题。此外，门控图神经网络（GGNN）与图注意力机制的结合，进一步提高了增强图结构的学习性能。EnGS2F已在开源漏洞数据集的程序切片上经过严格评估，在检测程序漏洞方面显著优于当前先进的方法。具体而言，EnGS2F的F1得分大幅提高，比现有技术高出6%。

论文链接：https://doi.org/10.1109/TIFS.2024.3392536

机器学习分类器容易受到对抗样本的攻击，对抗样本是经过精心设计的输入，旨在破坏分类器的性能。最近，有人提出了一种新的机器学习分类器，该分类器由决策树森林组成，灵感来自于深度神经网络的体系结构。然而，深度神经网络易受对抗性攻击。因此，在这项工作中，我们首次对深度森林发起了一系列对抗性攻击，包括黑盒和白盒攻击，以评估其对对抗性攻击的脆弱性。先前的研究表明，在一个模型上设计的对抗样本可以转移到使用不同学习技术的各种模型上。我们通过实验证明，深度森林易受基于跨技术的可迁移性攻击的影响。另一方面，为了提高深度森林在对抗环境下的表现，我们的研究包括一些实验，证明在随机或对抗扰动输入上训练不可微模型（如深度森林）可以增强其对这种攻击的对抗鲁棒性。此外，我们通过实现一种更快、更高效的决策树攻击算法，提出了一种启发式白盒方法来攻击深度森林。通过攻击深度森林的两个组成部分，即级联森林和多粒度层，我们表明深度森林易受所提议的白盒对抗性攻击的影响。

论文链接：https://doi.org/10.1109/TIFS.2024.3402309

为了在BFT共识协议中实现数据处理的并行化，DAG（有向无环图）结构被集成到共识设计中，从而形成了基于DAG的BFT协议领域。现有的基于DAG的协议依赖于可靠广播（RBC）协议及其变种来传播区块，这确保了数据传递的一致性和全面性。然而，RBC天生的通信开销为$O(n^{2})$（其中n是副本总数），导致当前基于DAG解决方案中出现难以管理的$O(n^{3})$开销，因为每个副本都通过RBC并行传播区块。为了解决这一问题，我们提出了两种新的广播协议：可验证广播（PBC）和增强可验证广播（EPBC）。PBC和EPBC都与RBC类似，维持数据传递的一致性特性，同时提供线性通信开销，但是不保证全面性。利用这些广播协议，我们设计了Wahoo，一种新型的基于DAG的BFT协议，显著降低通信开销到$O(n^{2})$。为了应对缺乏全面性的问题，我们引入了一个区块检索机制，以帮助副本获取缺失的区块。另外，在有利的条件下，Wahoo实现了低至$4delta$的延迟（其中$delta$表示实际的网络延迟），可媲美现有基于DAG协议的最佳性能。各种实验显示出Wahoo的高性能，这归功于其大幅减少的通信开销。

论文链接：https://doi.org/10.1109/TIFS.2024.3409082

成功率（SR）是最受欢迎的侧信道安全指标之一，用于衡量密钥恢复的效率。成功率的理论表达揭示了相关参数之间的函数依赖关系，如测量次数和信噪比（SNR），帮助研究人员快速了解给定实现的抵抗力。然而，到目前为止，现有工作中暴露出了一些基本问题：（1）评估仅限于非常有限的区分器和专业方法；（2）评估假设了一个与现实脱节的完美泄漏模型。普遍观察到，一个不准确的泄漏模型将导致成功率下降甚至扭曲。本文通过引入一个新颖的框架来解决上述问题，该框架能够用统一的表达式评估七个侧信道区分器。其中，我们探索了四个现有文献中未研究的新区分器。在该框架内，DPA区分器被直观地理解为线性最大似然攻击，用一些易于理解的几何度量测试向量之间的接近性。我们的评估能够处理任何质量的分析模型，并且对模型分析技术没有依赖性。它独特地实现了在不准确泄漏模型下评估成功率，同时通过量化成功率的下降为解决“由于模型偏差损失了多少信息”这一开放问题提供了（间接）答案。最后，我们制定了一套准则值用于偏差模型的定量分析。它提供了一些理论证据，可以更彻底地解释DPA攻击的各种行为。实验结果与理论一致，证实了其实用性。

论文链接：https://doi.org/10.1109/TIFS.2024.3459636

随着人脸生成生成模型的不断发展，如何区分真实和伪造的人脸已成为安全领域的重要问题。由于通过面部生理信号提高检测精度的不断进步，基于面部生理信号分析的视频人脸伪造检测受到了越来越多的关注，成为人脸伪造检测领域的重要研究分支。目前，基于生理信号分析的伪造检测研究大多使用眨眼模式、头部摆动、心率信号和唇部动作等生物特征。然而，在人脸伪造检测中使用凝视特征的探索还不多。通过对人脸视频中凝视方向的分析，我们观察到真实视频和伪造视频中凝视方向模式的分布存在差异。具体而言，真实视频在短时间内的凝视分布往往更集中，而伪造视频的凝视分布则更加分散。本文提出了一种新颖的Deepfake凝视分析方法，称为DFGaze，用于探索空间-时间凝视不一致性以检测视频人脸伪造。我们的方法使用凝视分析模型（GAM）来分析人脸视频帧的凝视特征，然后应用时空特征聚合器实现基于凝视特征的真实性分类。为了更好地挖掘视频中的真实性线索，我们还使用纹理分析模型（TAM）和属性分析模型（AAM）来提高真实和伪造人脸之间时空特征差异的表示能力。大量实验表明，在凝视分析的帮助下，我们的方法可以达到最先进的性能。源代码可在以下网址获取：https://github.com/ziminMIAO/DFGaze。

论文链接：https://doi.org/10.1109/TIFS.2024.3381823

随着非同质化代币（NFT）的流行，NFT 的高价值使其成为网络钓鱼诈骗者的目标，这损害了 Web3 NFT 生态系统的安全性和可靠性。尽管这个问题十分重要，但在新兴的 NFT 网络钓鱼骗局领域缺乏系统的研究。为了解决这一空白，我们首次对以太坊上的真实历史 NFT 网络钓鱼骗局进行案例回顾分析和实证测量研究。我们收集并公开发布了首个 NFT 网络钓鱼数据集，其中包括截至2023年8月的1,625个 NFT 钓鱼账户和交易记录。我们进一步将现有骗局分类为四种网络钓鱼模式，并调查其可区分的行为特征。然后，我们揭示作案手法偏好和经济影响，以表征 NFT 网络钓鱼骗局。我们发现，NFT 钓鱼者窃取了67,188个NFT，总直接销售利润为2092万美元。我们还观察到，诈骗者偏好某些类别和系列的NFT，并有团伙作案的迹象。此外，我们基于实证结论设计了多种账户特征，用于 NFT 钓鱼者的分类任务。在真实世界的 NFT 交易数据上进行的实验结果表明，这些特征在检测 NFT 网络钓鱼账户方面的有效性，且平均精确率为41%，平均召回率为44%，优于传统的网络钓鱼检测方法。

论文链接：https://doi.org/10.1109/TIFS.2024.3463541

我们提出了一种新颖的多比特无边框水印方法，用于保护生成对抗网络（GANs）的知识产权（IPR），并提高其对抗白盒模型级攻击（如微调、剪枝、量化和替代模型攻击）的鲁棒性。水印通过在GAN训练期间添加一个额外的水印损失项嵌入，确保GAN生成的图像包含一个隐形水印，可以通过预训练的水印解码器检索。为了提高对抗白盒模型级攻击的鲁棒性，我们确保模型收敛到水印损失项的宽平稳极小值，这样任何模型参数的修改都不会擦除水印。为此，我们在生成器的参数中添加随机噪声向量，并要求水印损失项在噪声存在的情况下尽可能不变。这个过程迫使生成器收敛到水印损失的宽平稳极小值。该方法与架构和数据集无关，因此适用于许多不同的生成任务和模型，以及基于CNN的图像处理架构。我们展示了大量实验的结果，表明水印的存在对生成图像质量的影响可以忽略不计，并证明了该水印在模型修改和替代模型攻击方面的卓越鲁棒性。

论文链接：https://doi.org/10.1109/TIFS.2024.3443650

内存-磁盘同步是一项关键技术，用于确保数据的正确性、完整性和安全性，尤其是在处理诸如金融交易和医疗记录等敏感信息的系统中。我们提出了Write+Sync，这是一组利用内存-磁盘同步原语的攻击。Write+Sync通过微妙地改变软件缓存（即写缓冲区）上的同步时机来运作，并提供两个优点：1）完全在软件中实现，能够在任何硬件设备上部署；2）对现有的应对措施具有抵抗力。我们通过实现两种写入隐蔽信道协议（使用单个文件或页面）来展示Write+Sync的原理，并介绍了三种利用多个文件和页面的增强策略。在不同操作系统（OS）上的跨进程和跨沙箱场景中，我们展示了这些信道的可行性。实验结果表明，在Linux上，平均速率可以达到2.036 Kb/s（峰值速率为14.762 Kb/s），错误率为0%；在macOS上运行时，平均速率达到10.211 Kb/s（峰值速率为253.022 Kb/s），错误率为0.004%。为了展示其安全性影响，我们通过两个案例研究——网站指纹识别和性能降级攻击——进行评估。据我们所知，Write+Sync是首个针对软件缓存的高速写入隐蔽信道。

论文链接：https://doi.org/10.1109/TIFS.2024.3414255

众多缓存侧信道攻击技术使攻击者能够通过与目标受害者共享代码页来执行跨虚拟机（VM）缓存侧信道攻击。然而，大多数先前的防御解决方案在效率和易于部署方面都存在不足，从而限制了它们在现实世界中的实用性。本文介绍了ZeroShield，这是一种在虚拟机监控器（hypervisor）层实现的自适应和透明的方法，旨在对抗代码页共享攻击，这是一种在单个虚拟机内或跨多个虚拟机发生的缓存侧信道攻击的子集。通过仔细分析代码页共享攻击产生的“副产品”，我们可以详细追踪攻击者对安全敏感代码页的访问。这是通过利用硬件虚拟化功能实现的，例如结合使用Intel扩展页表和CR3寄存器。利用这些信息，ZeroShield持续监控安全敏感代码页，巧妙地导航复杂的操作系统和虚拟机监控器行为。ZeroShield的架构表现出一种对攻击敏感的设计，使其能够按需部署保护措施。因此，在没有攻击者的情况下，系统理论上几乎没有开销。实验证据证实了ZeroShield在防止代码页共享攻击方面的有效性。它在没有攻击者的情况下不会造成任何性能损失，而在有攻击者活动时的开销也仅为不到3.8%。值得注意的是，ZeroShield拥有成本为零的待机状态，并且不需要对应用程序、客户操作系统或硬件配置进行调整。这个特点使ZeroShield在现实世界的云环境中，成为应对代码页共享攻击的最佳默认解决方案。

论文链接：https://doi.org/10.1109/TIFS.2024.3435062

企业/组织将图分析服务外包到云端变得越来越普遍。例如，企业可能利用云来存储和查询大型属性图。在各种应用中，基于大型属性图的子图匹配是一种常见且基本的图分析查询功能。其目的是为一个小的查询图检索所有同构子图，并极大地惠及如化学信息学、社交网络分析和反洗钱等应用领域。然而，在云端部署子图匹配服务，会对信息丰富的图数据隐私构成威胁，因为云可以访问属性图、查询图和查询结果。有鉴于此，已经有若干研究提出了支持隐私感知的子图匹配。然而，以往的研究仅考虑了弱的半诚实威胁模型，无法在遭遇恶意攻击者时提供子图匹配结果的完整性保证。为此，我们设计、实现并评估了eGrass，这是一种新的系统，能够在云端实现恶意安全的属性子图匹配服务外包。除了保护图数据的机密性之外，eGrass还被设计用于隐藏搜索访问模式，以及抵御尝试破坏结果完整性的恶意云服务器。我们在一个真实世界的数据集上进行了广泛的实验。结果表明，与具有半诚实安全性的最先进协议相比，eGrass的查询延迟仅慢3倍至4.7倍，通信量多3倍至3.5倍，并且不需要额外的云端存储。

论文链接：https://doi.org/10.1109/TIFS.2024.3409089

深度神经网络（DNNs）在3D点云处理中的广泛部署与其在安全漏洞，特别是后门攻击方面的脆弱性形成了鲜明对比。研究这些攻击对于提高安全意识和减轻潜在风险至关重要。然而，3D数据的不规则性和3D DNNs的异质性带来了独特的挑战。现有的方法常常在基本的点云预处理中失效或需要复杂的人工设计。在3D点云中探索简单、难以察觉、有效且难以防御的触发器仍然具有挑战性。为了解决这个问题，我们提出了iBA，这是一种利用基于折叠的自编码器（AE）的新颖解决方案。通过利用统一的重建损失，iBA提高了效果和不可察觉性。它的数据驱动特性消除了对复杂人工设计的需求，而AE的核心赋予了触发器显著的非线性和样本特异性，使传统的预处理技术无效。此外，基于球面谐波变换（SHT）的触发器平滑模块允许控制强度。我们还讨论了潜在的对策和iBA物理部署的可能性，作为一个广泛的参考。定量和定性结果均表明我们方法的有效性，在各种有防御措施的受害模型中，实现了最先进的攻击成功率（ASR）。iBA的不可察觉性也通过多种指标得到了验证。

论文链接：https://doi.org/10.1109/TIFS.2024.3452630

随着无线通信技术的快速发展，干扰管理（IM）和数据传输中的安全性/隐私性已变得至关重要。一方面，由于无线媒介的广播特性，叠加在期望信号上的干扰会破坏数据传输的完整性。另一方面，恶意接收器（Rxs）可能会窃听合法用户的传输，从而破坏通信的保密性。为了应对这些威胁，我们提出了一种新颖的编码方法，称为免疫编码（iCoding），能够同时处理IM和物理层安全。通过利用信道状态信息（CSI）和干扰中携带的数据， iCoded信号由合法发射器（Tx）生成并发送。iCoded信号在期望/合法接收器（Rx）处与干扰相互作用，使得期望数据可以在无干扰的情况下恢复，即对干扰具有免疫力。此外，由于iCoded信号中携带的数据是通过合作对期望数据和干扰进行编码获得的，与原始期望数据不同，因此窃听者无法通过窃听期望信号获得未经授权的信息，从而实现对窃听的免疫。我们的理论分析、实验和数值评估表明，iCoding能够有效管理干扰，同时防止潜在的窃听，从而增强合法用户的传输及其保密性。

论文链接：https://doi.org/10.1109/TIFS.2024.3468902

物联网设备供应是在物联网通信中一个关键的阶段，此阶段会交换一些安全参数，这些参数不仅在此阶段使用，还会在后续使用。由于物联网设备是无头设备，这些参数的交换在安全性和便利性之间面临挑战。一些专有标准（例如，德州仪器的“SmartConfig”）和开放的事实标准（例如，涂鸦公司的AP模式和EZ模式）被提出以解决这些挑战，同时也允许某些供应商特定的设置。由于商业物联网设备在Wi-Fi AP模式和EZ模式下缺乏统一的物联网供应模型，对脆弱性和威胁的分析因此成为一项具有挑战性的任务。在本文中，我们提出了一个使用序列图进行此类供应的模型，并结合七个研究问题（RQ）来发现不依赖于供应商的漏洞。我们开发了一个系统，称为iTieProbe，以解决这些研究问题。我们发现了六个非平凡的潜在漏洞，标识为V1到V6。我们通过在九种商业物联网设备上应用iTieProbe来评估这六个漏洞的测试效果，这些设备包括智能插头、物联网门铃、间谍灯泡、智能音箱、间谍时钟、智能相机和空气质量监测器等七种类型。我们展示了使用iTieProbe，攻击者可以在其中五台设备中发现漏洞V1（导致访问邻居的Wi-Fi AP），V3和V4在三台设备中，而V5和V6（都导致使用过期的身份验证令牌或属于攻击者的有效令牌成功进行供应）在三台设备中。我们已通过电子邮件将所有这些漏洞报告给相关供应商，并收到一些供应商的确认，并注册了三个漏洞（CVE-2024-7408、CVE-2024-46040、CVE-2024-46041）。iTieProbe测试任何单个物联网供应漏洞的平均运行时间约为48.95秒，这远低于供应本身的时间（通常在几分钟范围内）。我们相信，我们的发现可以帮助这些物联网设备的供应商或开发人员修复其供应实现中的安全漏洞。

论文链接：https://doi.org/10.1109/TIFS.2024.3471080

流表是软件定义网络（SDN）的关键组件。然而，流表容量有限，使其极易受到流表溢出攻击（FTOA）的影响。由于攻击成本低且攻击形式高度灵活，很难根除FTOA。本文解决了流表安全的三个未解决问题，并据此提出了一种强大的防御措施。首先，我们揭示了现有具有固定防御速度的防御措施在处理不同流量时会导致严重的数据包丢失。我们证明了删除多个规则可以有效解决这一问题，并通过严格推导，根据环境计算出合适的删除数量。其次，我们说明了无论攻击形式如何，异常表占用挤压是FTOA的一个恒定特征，可用于在不同场景中准确识别受攻击的端口。第三，我们通过数学证明，随机删除在确认受攻击的端口后可以保证恶意流规则的持续减少。它在不同环境中实现了快速速度和强大的有效性。基于这些发现，我们设计了rDefender，一个强大且轻量的防御原型。我们通过设计多种强力攻击并使用真实世界数据集和拓扑来评估其效果。结果表明，与现有六种主流防御措施相比，它在整体性能上达到最佳，并为交换机流表提供稳定的安全性。

论文链接：https://doi.org/10.1109/TIFS.2024.3472477