20199327 2019-2020-2 《网络攻防实践》综合实践

USENIX Security

USENIX简介

官网

https://www.usenix.org/conference/usenixsecurity17/technical-sessions

介绍

USENIX最开始其实是UNIX，USENIX 其实是一个计算机类会议的总称，详细会议列表可以看这里，而USENIX Security只是USENIX中的安全会议，并且USENIX Security会议涵盖的安全领域也非常多，包含：二进制安全、固件安全、取证分析、Web安全、隐私保护、恶意分析等。今年录用率19.4%。USENIX是systems research方面的重要组织，主办了systems方面的若干重要会议，如OSDI（操作系统的第二会议）等。USENIX Security Symposium则是systems security的著名会议，文章基本陷于hardcore systems类型。

下载

官网提供多种格式(PDF、EPUB、MOBI)免费下载

研究方向

该博客以2017年论文为例，将论文按大方向划分为BUG寻找、测通道攻击与对策、系统安全、网络安全、加密、隐私、软硬件安全与其他

BUG寻找

1. 双提取情况如何转化为双重提取漏洞：Linux 内核中双提取的研究

   开发了基于 Coccinelle 匹配引擎的静态分析，可检测可能导致内核漏洞的双重提取情况，提供实用的解决方案，以预测双重提取错误和漏洞，自动修补检测到的双提取错误。

2. 带硬件增强型崩溃后工件的验尸程序（事后程序）分析

   提出了自动化的工具庞普，以方便分析崩溃后的项目。POMP 引入了一种新的反向执行机制，以构造程序崩溃前遵循的数据流。通过使用数据流，POMP 然后执行向后污染分析，并突出显示那些实际导致崩溃的程序语句。

3. 忍者：在ARM上实现透明的跟踪和调试

   在ARM平台上的低工件——透明的恶意软件分析框架NINJA，利用硬件辅助的隔离执行环境 Trust-Zone 在性能监视器单元和嵌入式跟踪宏单元的帮助下以透明方式跟踪和调试目标应用程序。NINJA不修改系统软件，与 ARM 平台上的操作系统无关，NINJA在恶意软件分析方面高效透明。

4. Digtool：用于检测内核漏洞的基于虚拟化的框架

   有效的、只使用二进制代码的内核漏洞检测框架Digtool，它在设计虚拟监视器之上，成功捕获内核执行的各种动态行为，如内核对象分配、内核内存访问、线程调度和函数调用。

5. kAFL：操作系统内核的硬件辅助反馈模糊测试

   利用虚拟机管理程序和英特尔处理器跟踪（PT） 技术，以独立于操作系统和硬件辅助的方式处理覆盖引导内核模糊问题。该方法不引入性能开销，开发了一个名为内核AFL（kAFL）的框架来评估Linux、macOS和Windows内核组件的安全性

6. 古老的可变参数漏洞被消除

   基于编译器的消毒剂HexVASAN，用于有效地进行类型检查，从而防止通过 variadic 函数（当直接或间接调用时）的任何攻击。关键思想是记录调用站点的元数据，并在运行时使用参数及其类型时在被调用方验证参数及其类型。它是实际可部署的和有效的

测通道攻击与对策

测通道攻击

1. IPrime + Abort：使用Intel TSX的无计时器高精度L3缓存攻击

   PRIME+ ABORT利用服务器级和消费级处理器中广泛使用的英特尔 TSX 硬件,它绕过这些防御，不依赖于计时器的功能,是一种新的缓存攻击。在准确性和效率方面优于最先进的 LLC PRIME+PROBE攻击，同时产生较少的误报。

2. 关于针对浮点定时通道的缓解措施的有效性

   浮点太易变而无法在对时序安全性敏感的上下文中使用。

3. 具有可变时间调用器的恒定时间调用方

   针对错误模块化反转代码路径，具有缓存定时和改进的性能降级攻击，恢复反转状态序列，提出从这些序列中提取可变数 nonce 位的新方法，并改进了在晶格攻击中恢复私钥的最佳理论结果，这些键数只有 50 个签名和相应的跟踪，并将攻击扩展到 TLS 和 SSH 协议，这两个协议都链接到用于 P-256 ECDSA 签名的 OpenSSL

4. 告诉您的秘密，没有页面错误：隐身页面表的攻击，对安全区执行

   基于页面表的威胁超出了页面错误。不受信任的操作系统可以通过利用地址转换过程的其他副作用来观察安全区页面访问，而无需求助于页面错误。我们提供了两种新的攻击媒介，它们从页面表属性以及未受保护的页面表内存的缓存行为推断出飞地内存访问。我们通过从流行的Libgcrypt加密软件套件中恢复 EdDSA 会话密钥来演示攻击的有效性。

5. CLKSCREW：暴露安全-遗忘能源管理的危险

   CLKSCREW 攻击利用能源管理机制的安全性破坏安全性，是一种新的故障攻击。攻击者的一个新好处是，这些故障攻击变得更加容易访问，因为现在可以进行这些攻击，而无需物理访问设备或故障注入设备。我们在商品ARM/安卓设备上演示 CLK 螺丝。我们显示恶意内核驱动程序 （1） 可以从 Trustzone 中提取机密加密密钥，并且 （2） 可以通过将自签名代码加载到 Trustzone 来提升其权限。作为首次展示能源管理机制安全影响的工作，我们敦促社区重新审视这些安全问题设计

6. 自动锁定：为什么缓存攻击 ARM 比你想象的要难

   推出AutoLock：内部性能增强发现在包容性缓存级别的ARM处理器，负面影响驱逐+时间，总理+探测，Evict+重新加载攻击。AutoLock 在芯片上系统 （SoC） 上的存在没有公开记录，但知道已实现它对于正确评估缓存攻击风险至关重要。提供了该功能的详细描述，并提供了三种检测其在实际 SoC 上是否存在的方法。说明了 AutoLock 如何阻止跨核心缓存逐出，但表明其效果也可以在实际攻击中得到补偿。该发现突出了对 ARM 的缓存攻击的复杂性，并表明公平和全面的漏洞评估需要深入了解 ARM 的缓存体系结构，并在各种基于 ARM 的设备上进行严格测试。

测通道对策

1.面向侧通道感知软件工程的实用工具：用于指令泄漏的"灰色盒子"建模

无需对处理器进行详细的硬件描述，能够生成高质量的指令级功率（和/或 EM）模型，因为相邻指令的顺序不同，有效的捕获差异数据相关的影响。

2. 使用硬件事务内存提供强大高效的缓存侧通道保护

   用 Cloak 来解决基于缓存的侧通道攻击，它是一种使用硬件事务内存防止对敏感代码和数据上的缓存缺失进行对抗性观察的新技术。 Cloak 提供了强大的保护，可抵御所有已知基于缓存的侧通道攻击，并具有较低的性能开销。Cloak 应用于在英特尔 SGX 飞地内运行的代码，可有效地阻止从缓存端通道泄露信息，从而解决 SGX 的主要弱点之一。

3. CacheD：在生产软件中识别基于缓存的计时通道

   CacheD帮助软件开发人员识别可能导致基于缓存的计时攻击的潜在漏洞。利用符号执行和约束求解来检测每个程序点的潜在缓存差异。采用的缓存模型非常通用，足以捕获实际时序攻击中使用的各种威胁模型。

系统安全

1. 神经网络可以从二进制文件学习函数类型签名

   EKLAVYA训练一个循环的神经网络，从拆解的二进制代码中恢复函数类型签名。EKLAVYA假定对目标指令集语义一切不知情来进行这样的推理。它的结果是"可解释的"：通过分析其模型，我们发现它自动学习指令、编译器约定、堆栈帧设置指令、使用前写入模式以及直接从二进制文件识别类型相关的操作之间的关系。

2. C 请勿触摸：只有软件缓解Rowhammer攻击的内核内存

   Rowhammer，可用于实现权限升级和远程代码执行攻击的硬件错误。针对划锤攻击的实用高效的软件防御的设计和实现CATT，防止攻击者利用行锤从用户模式损坏内核内存，扩展操作系统的物理内存分配器，以物理隔离内核和用户空间的内存。

3. 有效保护路径敏感控制安全性

   CFI 变体利用运行时路径敏感点到分析来计算合法的控制传输目标。提出PITTYPAT，它通过将商品、低开销硬件监控和新颖的运行时点到分析相结合，有效地实施对路径敏感的 CFI。与基于静态分析的 CFI 相比，PITTYPAT可确保应用程序满足更强的安全保证，并满足安全关键上下文的可接受开销。

4. BootTomp：关于移动设备中启动加载程序的安全性

   本文探讨了移动引导加载器的设计和实现中的漏洞。我们检查来自四个热门制造商的引导加载器，并讨论他们努力实现的标准和设计原则。提出 BOOTSTOMP，一种由静态分析和动态符号执行相结合的多标签污染分析，旨在查找有问题的区域，其中来自控制操作系统的攻击者的输入可能会危及引导加载器的执行或其安全功能。发现六个以前未知的漏洞（其中五个已经得到相关供应商的确认），识别了两个引导加载程序漏洞，攻击者可以利用这些漏洞在操作系统上具有根权限来解锁设备并破坏 COT。提出了简单的缓解步骤，制造商可以使用已经部署的硬件功能，保护引导加载程序和操作系统免受所有发现的攻击。

5. 通过同一镜头查看：以本机速度进行内省客户地址空间

   文中提出了沉浸式执行环境 （ImEE），该环境以本机速度访问来宾内存，无需任何仿真。同时，确保在整个自省会话期间 ImEE 中使用的地址映射与来宾保持一致。在LinuxKVM上实现了一个 ImEE 的原型。实验结果表明，基于 ImEE 的自省速度显著加快，性能比传统方法快几百倍。此设计对于实时监控、事件响应和高强度反省特别有用。

6. Oscar：一个实用的基于页面权限的悬垂指针方案

   通过设计、实施和评估基于页面权限的新保护方案" Oscar "来实验性地验证这种洞察力。与之前的尝试不同，Oscar 不需要源代码，与标准和自定义内存分配器兼容，并且与分叉的程序正确工作。此外，与最近的提议相比，Oscar 的性能还比较有利（通常超过一个数量级：总体而言，其运行时开销相似或更低，内存开销也低于竞争系统。

网络安全

1. 软件定义网络中的标识符绑定攻击和防御

   角色劫持打破了网络堆栈所有层的绑定，并愚弄了网络基础结构，使他们相信攻击者是受害者标识符的合法所有者，这大大增加了持久性；SECUREBINDER通过利用SDN的数据和控制平面分离、全局网络视图和网络编程控制，防止在网络的所有层进行标识符绑定攻击，同时以 IEEE 802.1x 作为信任的根源

2. HELP：支持帮助器的带内设备配对可抵抗信号取消

   HELP，一个帮助器辅助消息完整性验证基元，用于检测无线信道上的消息操作和信号取消（而不是阻止它）。通过利用来自已与其中一个设备（例如集线器）建立信任的帮助器设备的传输，实现高概率的信号篡改检测。使用 HELP 构建设备配对协议，该协议可安全地将新设备引入网络，而无需它们事先与现有设备共享任何密钥。

3. 攻击大脑：SDN 控制平面中的竞赛

   该攻击通过利用 SDN 控制器中的有害竞争条件来造成严重的安全和可靠性风险，在精神上类似于对文件系统的经典 TOCTTOU（检查时间到使用时间）攻击。在此攻击中，即使是弱对手，无需控制/危及任何 SDN 控制器/交换机/应用程序/协议，但只有受恶意软件感染的常规主机才能生成外部网络事件，使 SDN 控制器崩溃、中断核心服务或窃取隐私信息。文中开发一种新的动态框架，CONGUARD，可以有效地检测和利用有害的种族条件

4. 扩展分解：浏览器扩展资源控制策略的安全分析

   所有主流 Web 浏览器都支持浏览器扩展，以添加新功能并扩展其功能。在论文中，介绍了两个在所有主流浏览器系列中绕过这些控制技术的攻击，从而对已安装的扩展列表进行枚举攻击。特别是，我们针对访问控制设置进行计时侧通道攻击，并利用糟糕的编程实践，影响大量 Safari 扩展的攻击。

5. CCSP：通过运行时策略组成控制放宽内容安全策略

   本文介绍了组合 CSP （CCSP），这是基于运行时策略组合的 CSP 的扩展。CCSP 旨在克服使用静态白名单所产生的限制，同时避免对 CSP 和策略编写逻辑进行重大修改。我们通过关注 CCSP 提供的一般安全保证、其向后兼容性和部署成本，对 CCSP 的设计进行了广泛的评估。

6. 同源策略：现代浏览器中的评估

   术语"同源策略 "（SOP）用于表示一组复杂的规则，这些规则控制 Web 应用程序中不同 Web 源的交互。这些 SOP 规则的子集控制主机文档和嵌入文档之间的交互，此子集是我们研究的目标 （SOP-DOM）。与其他重要概念（如 Web 源 （RFC 6454） 或文档对象模型 （DOM））不同，SOP-DOM 没有正式规范。除了 Web 源之外，SOPDOM 授予的访问权限还依赖于至少三个属性：嵌入元素 （EE）、沙盒和 CORS 属性的类型。讨论在不同的访问控制模型中读取、写入和执行权限方面的发现。

7. PDF 幻图：内容屏蔽攻击基于信息的在线服务

   我们提出了一类新的内容屏蔽对 Adobe PDF 标准的攻击，使文档在人类看来与基于信息的服务提取的基础内容不同。展示三个攻击变种，对真实世界系统有显著影响。第一个攻击允许学术论文作者和评论者通过颠覆当前学术会议（包括我们转载的 INFOCOM）使用的自动审阅者分配系统来串通。第二次攻击使剽窃检测软件无效，尤其是 Turnitin，针对特定的小剽窃相似性分数，使其显得自然并逃避检测。在最后的攻击中，我们将屏蔽内容放入必应、雅虎和 DuckDuckGo 的索引中，这些索引将呈现为与用于定位它使用的关键字完全不同的信息，从而使垃圾邮件、亵渎或可能是非法的内容被这些搜索引擎所不为，但仍在不相关的搜索结果中返回。最后，由于这些系统避免光学字符识别 （OCR） 的开销，我们提供了一个全面和轻量级的替代缓解方法。

8. 漏洞：Chrome 中共享事件循环的计时攻击

   在该论文中，演示了共享事件循环容易受到侧通道攻击，其中间谍进程通过设置事件并测量调度事件所用的时间来监视其他进程的循环使用模式。展示对 Google Chrome Web 浏览器中的两个中心事件循环的攻击：主机进程的 I/O 线程（该线程）将所有网络事件和用户操作进行多路复用，以及处理渲染和 Javascript 任务的渲染器进程主线程的攻击。
   对于每个循环，演示如何用高分辨率和低开销来监视使用模式，以及如何出于恶意目的（如网页标识、用户行为检测和秘密通信）滥用这些模式。

9. 注册商的游戏：过期后域名收购的实证分析

   该文对两种到期后域所有权变化进行了实证分析。在删除旧域名的同一天，10% 的域重新注册。就组织而言，删除日超过 50% 的重新注册只发生在 30 年代。此外，丢弃捕获服务控制超过 75% 的认证域注册商，并导致超过 80% 的域创建尝试，但最多占成功域创建的 9.5%。这些发现突出了对过期域的重大需求，并暗示了高度竞争的重新注册。揭示了不透明生态系统中各种可疑的做法。其影响超出了网站变成"互联网涂鸦"的烦恼，因为域名所有权的变化有可能绕过既定的安全机制。

10. 探索用户对在线定向广告中歧视的看法

    试验研究和多步骤的主要调查（共为2，086个），向用户展示了不同的歧视性广告场景，由此发现，总体而言，44% 的受访者对我们提供的情景表示适度或非常关注。受访者发现，当歧视由于明确的人口定位而不是针对在线行为而发生歧视时，这些情景的问题就明显更多了。然而，我们的受访者的意见并没有因人或算法是造成歧视而有所不同的。这些发现表明，无论其来源如何，未来的政策文件应明确将目标广告中的歧视问题，作为重要的用户关注点，而指责广告生态系统算法性质的公司响应可能无助于解决公众关注的问题。

11. 测量 Android 移动深层链接的不安全

    本文对不同应用和网站的各种移动深度链接进行了首次实证测量。分析基于从 Google Play （2014 和 2016） 中提取的 160，000 多个顶级 Android 应用的两个快照以及从 Alexa 顶级域名中提取的 100 万个网页的深度链接。由此发现，新的链接方法（尤其是应用程序链接）不仅未能如设计那样提供安全优势，而且使情况明显恶化。首先，应用链接应用链接验证以防止劫持。其次，我们识别应用链接的首选项设置中的新漏洞，它允许恶意应用拦截浏览器中的任意 HTTPS URL，而不会引发任何警报。第三，我们在应用链接上识别的劫持案例比应用程序和网站之间的现有方案 URL 多。最后，由于 Web 上的采用率较低，意向 URL 在降低劫持风险方面影响很小。

12. Web 如何纠结自己：揭开客户端 Web（在）安全性的历史

    随着千年早期 JavaScript 驱动应用程序的开始，客户端注入漏洞的可能性已经上升。此外，易于部署的安全标头与更多涉及的措施（如 CSP）之间在采用速度上存在明显差距。但也没有证据表明易于部署的技术的使用反映了其他安全领域。最后，安全意识的提高和专用安全技术的引入对客户端 Web 的整体安全性没有直接影响。

加密

加密部署

1. DNSSEC 生态系统的纵向端到端视图

   域名系统的安全扩展 （DNSSEC） 允许客户端和解析程序验证 DNS 响应是否未在飞行途中伪造或修改。DNSSEC 使用公钥基础结构 （PKI） 来实现这种完整性，没有它，用户可能会受到广泛的攻击。但是，DNSSEC 只能在其 PKI 中的每个主体正确执行其管理任务时才能运行：权威名称服务器必须正确生成和发布其密钥和签名，支持 DNSSEC 的子区域必须正确使用其父密钥进行签名，解析器必须实际验证签名链。
   本文对DNSSECPKI的管理如何进行首次大规模纵向测量研究。

2. 测量 Web 上的 HTTPS 采用率

   HTTPS 确保 Web 具有基本的隐私和完整性级别。我们收集指标，以基准测试 2017 年 Web 上 HTTPS 采用的状态和进度。为了从用户的角度评估 HTTPS 的采用，我们从两个主要浏览器（Google Chrome 浏览器和 Firefox 浏览器）收集大规模聚合用户指标。为了从 Web 开发人员的角度衡量 HTTPS 的采用率，我们调查了顶级和长尾网站对 HTTPS 的服务器支持。我们利用这些指标来深入了解 HTTPS 生态系统的当前状态。

3. "我不知道我在做什么" - 关于部署 Https 的可用性

   大规模保护通信内容是一项艰巨的任务，TLS 是最常用于此任务的协议。该文旨在了解正确部署 TLS 的原因，并研究 HTTPS 部署过程的可用性

应用密码学

1. 使用不可避免的攻击条件加快发现 SHA-1 碰撞攻击

   本文基于不可避免的条件的新概念，对碰撞检测提出了显著的性能改进。基于目前最先进的可靠支持的猜测，我们展示如何确定SHA-1的不可避免条件。使用这种不可避免的条件实施了改进的 SHA-1 碰撞检测，其速度比没有不可避免的条件改善的速度快 20 倍以上。

2. PHOENIX：加密密码强化服务的重生

   在本文中，我们表明施耐德等人的方案在单个验证查询之后容易受到离线攻击。它违背了使用外部加密服务的目的摆在首位，它不应该在实践中使用。因此，我们建议建立更强有力的安全定义，涵盖这些真实世界的攻击，以及更有效的构建，PHOENIX，以实现它们。我们的综合评价证实了PHOENIX的实用性：它处理的请求比施耐德等人多50%，比PYTHIA多3倍。

3. Vale：验证高性能加密程序集代码

   高性能加密代码通常依赖于针对单个硬件平台自定义的复杂手动调整的程序集语言。此类代码很难理解或分析。我们引入了一种新的编程语言和工具，称为 Vale，支持对高性能程序集代码进行灵活、自动验证。Vale 工具将带注释的程序集语言转换为抽象语法树 （AST），同时生成有关 AST 的校样，这些证明通过 SMT 解算器进行验证。

隐私安全

隐私

1. 用于频率估计的局部差分专用协议

   本文介绍了一个框架，概括了文献中提出的几种 LDP协议。该框架产生了一种简单而快速的聚合算法，其准确性可以精确分析。深入分析使我们能够选择最佳参数，从而产生两个新协议（即优化的一元编码和优化的本地哈希），提供比之前提议的协议更好的实用程序。提出了何时应使用每个建议的协议的精确条件，并进行了实验，以证明我们协议的优点。

2. BLENDER：使用混合差异隐私模型启用本地搜索

   我们提出了一种差异隐私的混合模型，可以设计一种新型的混合算法，用于私下计算 Web 搜索日志中最流行的记录。与相关工作相比，这种混合方法在获取数据的效用方面提供了显著的改进，同时为用户提供了所需的隐私保障。

3. 计算机安全、隐私和 DNA 测序：通过合成 DNA、隐私泄露等功能对计算机进行危害

   本文评估了如果（或当）对抗攻击出现时这些工具的稳健性。我们首次演示了 DNA 的合成，当排序和处理时，DNA 可为攻击者提供任意远程代码执行。为了研究创建和合成基于 DNA 的漏洞的可行性，利用故意引入的漏洞对经过修改的下游测序实用程序进行了攻击。根据该实验和结果，制定了广泛的框架和准则，以保障DNA合成、测序和加工过程中的安全性和隐私性。

隐私和匿名系统

1. 循环 Loopix匿名系统

   Loopix，一个低延迟匿名通信系统，提供双向的"第三方"发送方和接收方匿名性和不可访问性。Loopix 利用流量和泊松混合（简短的独立消息延迟）来提供匿名性，并实现流量分析阻力，包括但不限于全球网络对手。混合和客户端通过自注入的流量循环进行自监视和防止活动攻击。流量环路还用作覆盖流量，以提供更强的匿名性和发送方和接收方不可观测的度量。Loopix 被实例化为 Poisson 混合节点网络，其分层拓扑中的链接数量较低，有助于进一步集中覆盖流量。服务提供商调解网络的接入，以方便会计和网外消息接收。

2. MCMix：通过安全多方计算匿名消息

   MCMix，一个匿名邮件系统，它完全隐藏通信元数据，可以按数十万用户的顺序进行扩展。隔离两个合适的功能，称为拨号和对话，当连续使用时，实现匿名消息传递。以此为起点，应用安全的多方计算（"MC"或 MPC），并继续实现它们。然后，我们使用 Sharemind（一种流行的 MPC 系统）来呈现一个实现。

3. ORide： 隐私保护， 但负责任的骑行服务

   该文提出了ORide（Oblivious Ride），一种基于某种同质加密的隐私保护的RHS，其优化包括密文包装和转换处理。使用 ORide，服务提供商可以匹配车手和司机，而无需了解他们的身份或位置信息。ORide 为骑手提供相当大的匿名设置（例如，数千个），即使在人口稀少的地区。此外，ORide 还支持关键 RHS 功能，如轻松付款、信誉评分、责任和丢失物品的检索。

隐私攻击与防御

1. 美丽与爆发：加密视频流的远程识别

   MPEG-DASH 流视频标准包含信息泄漏：即使流已加密，标准规定的分段也会导致与内容相关的数据包突发。多视频流具有独特的突发模式特征，基于卷积神经网络的分类器可以精确识别这些模式，给定非常粗糙的网络测量。不直接观察流的 Web 攻击者（例如，限制在附近计算机上的 Web 浏览器中的 JavaScript 广告）也可以执行此攻击。

2. 对讲机：有效防御被动网站指纹攻击

   网站指纹 （WF） 是一种流量分析攻击，它允许窃听者确定客户端的 Web 活动，即使客户端正在使用隐私技术（如代理、VPN 或 Tor）。对讲机，一个有效和高效的WF防御。对讲机修改浏览器以半双工模式进行通信，而不是通常的全双工模式;半双工模式可生成易于成型的突发序列，从而在很少的额外开销下向对手泄漏更少的信息。Walkie-Talkie 模具专为开放世界场景而设计，可生成突发序列，使敏感和非敏感页面看起来相同。

3. 跨设备跟踪的隐私分析

   探索跨设备跟踪技术及其隐私影响。演示了一种检测跨设备跟踪发生的方法，并根据从 126 个 Internet 用户收集的跨设备跟踪数据集，探讨了跨设备跟踪器在移动和桌面设备上的流行程度。结果表明，用户设备的 IP 地址和 Internet 历史记录的相似性导致将移动设备连接到数据集中的桌面设备的匹配率为 F-1 = 0.91。鉴于跨设备公司通过利用来自多个设备的用户数据可能实现的学习能力增加，这一发现尤其值得注意。

软硬件安全

软件安全

1. 实现高效的堆溢出发现

   堆溢出是一个流行的内存损坏漏洞，在最近的攻击中起着重要作用。提出了一种新的解决方案，即发现潜在的堆漏洞。将堆溢出建模为堆分配和堆访问操作之间的空间不一致，并执行对代表性程序执行跟踪的深入脱机分析，以识别堆溢出。结合多种优化，它可以有效地找到在二进制程序中难以触发的堆溢出。

2. DR.CHECKER：Linux 内核驱动程序的稳健分析

   介绍DR.CHECKER，一个基于众所周知的程序分析技术，用于Linux内核驱动程序的健全（即，大部分是声音）的错误查找工具。我们能够克服静态分析的许多固有局限性，将分析范围仅对内核中最易出错的部分（即驱动程序）进行扩展，并且仅牺牲声音在极少数情况下，以确保我们的技术既可扩展又精确。DR.CHECKER是一个全自动静态分析工具，能够使用对流敏感、上下文敏感和对内核驱动程序具有现场敏感性指针和污染分析来执行常规错误查找。

3. 死角消除（仍然）被视为有害

   死存储消除是一种广泛使用的编译器优化，可减少代码大小并提高性能。但是，它还可以删除程序员在上次使用后打算清除敏感数据时看似无用的内存写入，设计了防止编译器消除这些数据清理操作的方法。这些技术旨在防止在清除死存期间删除数据清理操作。我们评估了每种技术的有效性和可用性，发现有些技术无法保护数据清理写入。通过向基于 LLVM 的编译器添加新选项（保留清理操作）来解决死存储消除消除使用基于编译器的方法删除清理操作的问题。我们还综合了现有技术，以开发一个最好的洗涤功能，并提供给开发人员。

4. 自适应 Android 内核实时修补

   Android 内核漏洞对用户安全和隐私构成严重威胁。它们允许攻击者完全控制受害者设备，安装恶意和不需要的应用程序，并保持持久控制。为了解决这个问题，系统地研究了1;139个Android内核和所有最近的关键Android内核漏洞。因此，我们提出了KARMA，一个自适应的实时修补系统为Android内核。KARMA 具有多级自适应修补模型，以保护内核漏洞免受攻击。具体来说，KARMA 中的修补程序可以放置在内核中的多个级别，以过滤恶意输入，并且它们可以自动适应数千台 Android 设备。此外，KARMA 的修补程序是用高级内存安全语言编写的，使它们安全且易于审查，并且它们的运行时行为被严格限制，以防止它们被滥用。

5. 链式：通过集体签名的跳过链和经过验证的构建主动软件更新透明度

   CHAINIAC，一个分散的软件更新框架，它消除了单点故障，提高了透明度，并为软件发布过程提供了完整性和真实性的高效可验证性。独立见证服务器共同验证软件更新的符合性以发布策略，构建验证器验证源到二进制通信，以及防篡改发布日志存储集体签名的更新，从而确保客户端在广泛披露和验证之前不接受发布。发布日志体现了一种跳过链，一种新颖的数据结构，使任意过期的客户端能够有效地验证更新和签名密钥。

6. ROTE：对可信执行的回滚保护

   计和实施一个名为 ROTE的回滚保护系统，该系统实现了作为分布式系统的完整性保护。构建一个模型，捕获计划安全区执行的对抗能力，并表明解决方案实现了强大的安全属性：违反完整性的唯一方法就是将所有参与平台重置为初始状态。实现 ROTE并演示分布式回滚保护可以提供比基于本地非易失性内存的先前已知解决方案更好的性能。

硬件安全

1. USB 窥探变得简单：USB 集线器上的串扰泄漏攻击

   通用串行总线 （USB） 是将外围设备连接到计算机的最突出的接口。USB 连接的输入设备（如键盘、刷卡器和指纹读取器）通常会向计算机发送敏感信息。测试了 50 多台不同的计算机和外部集线器，发现其中 90% 以上的计算机和外部集线器受到串扰泄漏的影响，允许位于通信路径上的恶意外围设备捕获和观察敏感的 USB 流量。在许多情况下，这种串扰泄漏可以在 USB 电源线上观察到，从而违背了使用仅充电 USB 电缆物理断开 USB 数据线路的常见 USB 隔离对策。
   为了证明攻击的低成本和隐蔽性，我们修改了新奇的 USB 灯，以实施非路径攻击，当连接到易受攻击的内部或外部 USB 集线器时，该攻击可捕获和传输 USB 流量。

2. 逆向工程 x86 处理器微码

   本文以AMD的K8和K10微体系结构为例，对传统COTS CPU的更新机制进行微观编码语义和内部工作。演示如何开发自定义微码更新。描述了微码语义，并介绍了一组微程序，演示了该技术提供的可能性。为此，微程序范围从 CPU 辅助检测到微编码特洛伊木马程序，甚至可以从 Web 浏览器中访问这些特洛伊木马程序，并启用远程代码执行和加密实现攻击。

3. 看到没有邪恶， 听到没有邪恶， 感觉没有邪恶， 打印没有邪恶？添加剂制造中的恶意填充模式检测

   该文提出了一种独立于打印机固件和控制器PC的验证和入侵检测方案。该方案包括制造过程的声学特征分析、机器部件的实时跟踪以及后期材料分析。这些方法不仅允许最终用户验证打印模型的准确性，还可以通过实时验证打印和在发生差异时停止工艺来节省材料成本。

4. 黑暗中的黑客：针对安全区域的面向回报的编程

   黑暗-ROP"可以完全解除新交所的安全保障。Dark-ROP 通过面向返回的编程 （ROP） 利用安全区软件中的内存损坏漏洞。但是，Dark-ROP 与传统 ROP 攻击有显著差异，因为目标代码在可靠的硬件保护下运行。克服了利用新交所特定特性和障碍的问题，在实际假设下针对新交所制定了新的ROP攻击方案。

5. vTZ：虚拟化 ARM 信任区

   ARM TrustZone 是一个安全扩展，它提供了一个安全的世界，一个受信任的执行环境 （TEE），用于运行安全敏感代码，在移动平台中已被广泛采用。随着 ARM64 在云等服务器市场采用的势头不断增强，信任区很可能成为云安全的关键支柱。vTZ 利用将功能与保护分离的想法，将功能与保护分离，将功能与保护分离，将功能与保护分离，将功能与保护分离，将功能与保护分离，同时使用硬件 TrustZone 在来宾 TE 和不受信任的虚拟机管理程序之间强制实施强隔离。具体来说，vTZ 使用在物理 TrustZone 内运行的微型监视器，该监视器可安全地插入和虚拟化内存映射和世界交换。vTZ 还利用在受约束的隔离执行环境（CIEE）中运行的一些受保护的自包含代码，在多个来宾 TE 之间提供安全的虚拟化和隔离

6. 通过分支阴影推断 SGX 飞地内的细粒度控制流

   揭示了在飞地的细粒度控制流（分支粒度）。此攻击的根本原因是，SGX 在从安全区切换到非飞地模式时没有明确分支历史记录，从而留下细粒度跟踪供外部世界观察，从而产生分支预测侧通道; 开发两种新的利用技术：1） 最后一种基于分支记录 （LBR） 的历史推断技术，以及 2） 基于 APIC 的先进可编程中断控制器 （APIC） 技术，以细粒度的方式控制飞地的执行。

其他

审查

1. DNS 操作的全球度量

   由于依赖于要求用户直接参与收集这些测量结果的技术，从而大大限制了测量的覆盖范围，并抑制了定期数据收集，提及方法测量全球对 DNS 分辨率的操纵，证实了以前工作的传闻或有限结果，又揭示了 DNS 操作中的新模式。

2. 描述Tor出口阻塞的性质和动态

   面对来自 Tor 匿名网络的滥用流量，在线服务提供商歧视 Tor 用户，改论文描述这种歧视的程度，还描述来自 Tor 网络的不受欢迎的流量的性质。还开发对电子邮件投诉进行分类的方法和交互式爬网程序，以查找细微的歧视形式，并在各种配置中部署我们自己的出口，以了解哪些是容易受到歧视的。大多数来自 Tor 的攻击会产生高流量，这表明在不侵犯 Tor 用户隐私的情况下检测和预防的可能性。

3. DeTor： 可明显避开Tor的地理区域

   DeTor用于证明Tor电路何时避免了用户指定的地理区域。DeTor 扩展了最近关于使用光速限制的工作，以证明通信的往返实际不可能穿越某些地理区域。因此，DeTor 不需要修改 Tor 协议，也不需要 Internet 拓扑的映射

认证

1. AuthentiCall：电话的有效身份和内容认证

   通过AuthentiCall系统解决电话无法在调用方之间提供端到端身份验证问题；AuthentiCall 不仅在呼叫中对双方进行加密身份验证，还为通过传统电话网络进行的对话的完整性提供了强有力的保证，使用正式验证的协议实现这些目标。

2. 拿起我的选项卡：了解和缓解移动支付中的同步代币提升和支出

   同步令牌提升和支出（STLS）演示了活动攻击者可以嗅探付款令牌，通过各种方式停止正在进行的事务，并将令牌快速传输到串通者，以便在令牌仍然有效时将其用于其他事务。提出了一种名为POSAUTH的新解决方案。STLS风险的一个根本原因是：易受攻击的移动线下支付方案用的通信渠道的性质，这些渠道很容易嗅探和堵塞，更重要的是，无法支持安全的相互挑战-响应协议，因为信息只能以双向方式传输。POSAUTH 通过将当前 POS 终端的一个唯一 ID 合并到付款令牌的生成中，要求快速扫描 POS 终端上打印的 QR 码，解决了这一问题。当与较短的有效期限结合使用时，POSAUTH 可以确保为一个事务生成的令牌只能在该事务中使用.

3. 信任基础：修复和加强基于证书的身份验证的体系结构

   为了解决基于证书的身份验证的当前状态很混乱，应用程序和代理中的身份验证中断，CA 系统中存在严重缺陷，设计了一种将基于证书的身份验证作为操作系统服务提供架构TrustBase。由系统管理员控制身份验证策略，TrustBase 透明地强制所有应用程序进行证书验证的最佳实践，同时提供各种身份验证服务来加强 CA 系统。

了解攻击

1. 了解 Mirai 僵尸网络

   Mirai 僵尸网络主要由嵌入式和物联网设备组成，通过结合各种测量视角，我们分析僵尸网络是如何出现的，哪些设备受到影响，以及 Mirai 变体如何演变和竞争易受攻击的主机。我们的测量结果为物联网设备脆弱的生态系统提供透镜。我们认为，Mirai可能代表了僵尸网络进化发展的一个海向变化——设备被感染的简单性及其急剧增长，证明新手的恶意技术可以危及足够的低端设备，甚至威胁到一些防御能力最好的目标。

2. MPI：具有语义感知执行分区的多视角攻击调查

   该文提出了一种语义感知程序注释和检测技术，以基于应用程序特定的高级任务结构对子执行进行分区执行。它避免训练，生成具有丰富语义信息的执行分区，并提供攻击的多个视角。并将其与三种不同的来源系统集成：Linux 审核系统、ProTracer 和 LPM-HiFi 系统。

3. 通过向根提供商学习来检测 Android 根漏洞

   能够生根的Android手机的恶意软件可以说是最危险的。建立了一个系统根探索者，来解决检测恶意软件中是否存在根漏洞问题。驱动RootExplorer 设计的关键观察是，除了恶意软件之外，还有由大公司支持的合法商业级 Android 应用程序，这些应用程序有助于手机的根系，称为根提供商或一键式根应用。通过对一键式根应用进行广泛分析，RootExplorer了解根攻击的精确先决条件和环境要求。然后，它使用此信息在模拟器或智能手机测试台中构建适当的分析环境，以有效检测恶意软件中的嵌入式根漏

目标攻击

1. 在企业设置中检测凭据网络钓鱼

   提出了一种在企业设置中检测凭据网络钓鱼攻击的新方法。该方法使用从分析鱼叉攻击的基本特征中得出的功能，并结合一种新的非参数异常评分技术来对警报进行排名。

2. SLEUTH：从COTS审计数据实时攻击场景重建

   在企业主机上实时重建攻击场景的方法和系统；为了满足问题的可扩展性和实时需求，开发一个平台中立的、基于主内存的依赖性数据数据抽象。然后，提出基于标记的高效攻击检测和重建技术，包括源识别和影响分析，通过构建紧凑的可视化攻击步骤图来揭示攻击的大局

3. 当最薄弱的环节是强大的：在巴拿马文件的情况下安全协作

   可用安全性；结了具有强烈安全要求的社会技术系统的经验教训，并确定了未来工作的机会。

恶意软件和混淆

1. 超越：检测恶意软件分类模型中的概念漂移

   提出一个在部署期间识别体内老化分类模型的框架，在机器学习模型的性能开始下降之前，这与传统方法（在观察到性能不佳时追溯性地重新训练老化模型）有显著不同。我们的方法使用在部署期间看到的样本与用于训练模型的样本进行统计比较，从而构建预测质量指标。展示如何使用创见基于关于 Android 和 Windows 恶意软件的两个单独的案例研究来识别概念漂移，在模型开始做出由于过期培训而做出持续糟糕的决策之前，这一标志会升起危险信号。

2. Syntia：综合混淆代码的语义

   目前最先进的去模糊处理方法以指令跟踪为操作，并采用符号执行和污染分析的混合方法;需要精确分析基础代码的两种技术。然而，最近的研究表明，这两种技术很容易被特定的转化所挫败。我们的原型实现Syntia通过将执行跟踪划分为不同的跟踪窗口来简化执行跟踪，这些跟踪窗口的语义随后通过合成"学习"。综合了两种最先进的基于商用虚拟化的模糊处理器（VMProtect 和 Themida）中的算术指令处理程序的语义，成功率超过 94%。

3. 通过机器学习预测模糊代码对符号执行攻击的恢复能力

   软件混淆的一个公开挑战是估计模糊程序能够承受给定的反向工程攻击的时间。提出框架用于选择最相关的软件功能来估计自动攻击的工作量。使用这些软件功能构建回归模型，这些模型可以预测不同软件保护转换对自动攻击的恢复能力。

嵌入式系统

1. SmartAuth：以用户为中心的物联网授权

   以用户为中心的基于语义的"智能"授权的新设计SmartAuth，从物联网应用的描述、代码和注释中自动收集与安全相关的信息，并生成授权用户界面，以弥合向用户解释的功能与应用实际执行的操作之间的差距。

2. AWare：通过操作绑定防止隐私敏感传感器的滥用

   为了防止用户被骗，建议将应用程序的操作请求绑定到关联的用户输入事件以及如何显式获取它们，使用户能够明确授权对隐私敏感的传感器的操作并重用此类授权。实现AW是Android的授权框架，扩展Android中间件来控制对隐私敏感传感器的访问。

3. 6thSense：智能设备基于上下文感知传感器的攻击检测器

   提出了一种上下文感知入侵检测系统6thSense ，通过观察用户不同任务的传感器数据变化，创建一个上下文模型来区分传感器的良性和恶意行为，从而提高智能设备的安全性。6thSense 利用三种不同的机器学习检测机制（即马尔科夫链、天真贝叶和 LMT）来检测与传感器相关的恶意行为。评估了 6thSense 针对三个基于传感器的威胁的性能：（1） 可通过传感器（例如，光）触发的恶意应用;（2） 可以通过传感器泄露信息的恶意应用;（3） 可以使用传感器窃取数据的恶意应用。评估表明，6thSense 框架是一种有效和实用的方法，成本低、可以击败基于传感器的威胁，其准确率超过 96%，同时不影响设备的正常功能。

区块链

1. 智能池：实用的分散式池式挖掘

   比特币和以太坊等加密货币由少数采矿池操作。SMARTPOOL，一种用于分散采矿池的新颖协议设计。展示了如何利用智能合约、自主区块链程序来分散加密货币。SMARTPOOL将交易选择控制权重新赋予矿工，同时获得低方差支出。SMARTP OOL的采矿费用低于集中开采池，旨在扩展到大量矿工。

2. REM：区块链的资源高效挖掘

   区块链作为金融交易系统的潜在基础设施显示出希望。然而，如今区块链的安全性严重依赖工作证明 （PoW），它迫使参与者浪费计算资源。REM（R 资源-Efficient Mining），一个使用可信硬件（英特尔 SGX）的区块链挖掘框架。 REM 实现了类似于 PoW 的安全保证，但利用 SGX 固有的部分分散信任模型实现 PoW 浪费的一小部分。为了解决受 SGX CPU 受损的风险，我们开发一个基于统计信息的正式安全框架，该框架也与其他基于信任硬件的方法（如英特尔的"已消性时间证明"（PoET））相关。通过经济分析，REM 比 PoET 和变型方案实现更少的浪费。

数据库

1. 确保多用户数据库支持应用程序中的授权更新

   幻像提取强制所有数据库更新查询上每个用户的访问控制策略。幻像提取不会做出与以前工作相同的假设，更重要的是，不使用数据库视图作为核心实施机制。因此，它不会成为视图更新问题的受害者。该文创建了 SafeD 作为实用的访问控制解决方案，它使用我们的幻像提取技术。SafeD 使用声明性语言定义安全策略，同时保留数据库视图的简单性。

2. Qapla：数据库支持系统的政策合规性

   Qapla 提供了策略实施的替代方法，既不依赖于应用程序正确性，也不依赖于专用数据库支持。在 Qapla 中，策略特定于行和列，并可能引用查询者的身份和时间，在 SQL 中指定，并存储在数据库本身中。

问题

通过整理论文暴漏一些问题

1. 首先就是英语不好，导致在翻译过与理解过程中很痛苦，再借助工具后仍未好很多；

2. 其次就是本身的知识面还是比较窄，很多东西真的不了解，闻所未闻，在学习的过程中很难受，但通过论文的整理确实提升了我的见识与知识年面。

3. 最后，对于论文理解的深度还比较浅，时间充裕可以再深一点

总结

这个作业的任务量是真的多，琐碎，但综合提升也比较大，对专业有了更深层次的了解，拓展了我的视野，也学到了论文撰写的一些方法。虽然任务量大时间较少，但自己选的路不管怎样也的走完。