作者：riusksk
原文链接：https://mp.weixin.qq.com/s/lyBTuNmNLK6gMdcLyCmDTg

注：本文由ChatGPT与Claude联合生成

总结

根据USENIX Security '23 秋季论文信息总结如下：

一、研究方向

热门方向:

1.对抗性机器学习和对抗样本。许多研究探索了如何生成对抗样本躲避检测以及如何提升模型鲁棒性。

2.隐私保护和安全加强。研究通过技术手段如对称加密、同态加密等来增强模型的隐私保护能力。

3.恶意软件分析和检测。使用机器学习、模糊测试等技术自动发现和分析恶意软件。

冷门方向:

1.智能合约和区块链安全。相对较少关注区块链应用场景下的安全问题。

2.物联网安全。尽管物联网不断发展,但相关的安全研究仍然不足。

3.ARM体系结构安全。大部分研究集中在x86架构上,ARM架构相关的安全研究相对较少。

未来兴趣点:

1.深度强化学习安全。Deep RL在安全应用中的应用空间广阔,但相关的安全研究还不够。

2.物理攻击。针对各种物理攻击手段的技术缓解措施有待发掘。

3.网络安全系统自动化。通过自动化手段提高安全系统的效率和有效性。

二、趋势与建议

1.人工智能技术和安全研究密不可分。AI技术日益成熟,也持续制造出新的安全挑战。

2.互联的趋势提高了攻击面和风险。物联网、区块链等新技术带来新的攻击手段。

3.安全研究更加趋向于自动化、细粒度与实效。提高性能、降低开销成为目标。

4.研究员要跨学科学习。AI、计算机安全、人类行为学等领域密切相关。

5.与技术界、政府和行业保持密切合作。通过协助发现缺陷和推广安全理念,促进安全进步。

6.关注安全上的边缘情况。研究局限性可能导致新的安全挑战。

议题清单

1、ZBCAN: A Zero-Byte CAN Defense System

控制器局域网（CAN）是一种广泛使用的网络协议。除了是车辆的主要通信介质外，它还用于工厂、医疗设备、电梯和航空电子设备等领域。不幸的是，CAN协议没有设计任何安全功能。因此，它已经受到研究界的关注，显示出它的安全弱点。最近的研究表明，CAN总线上的一个被攻击的ECU可以发起多种攻击，包括消息注入、总线洪泛以及利用CAN的错误处理机制的攻击。尽管有几项工作试图保护CAN，但我们认为它们的方法由于设计固有的原因无法被广泛采用。在这项工作中，我们介绍了ZBCAN，这是一种防御系统，使用CAN帧的零字节来防范最常见的CAN攻击，包括消息注入、冒充、洪泛和错误处理，而不使用加密或MAC，同时考虑延迟、总线负载和数据传输速率等性能指标。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-381-serag.pdf

2、XCheck: Verifying Integrity of 3D Printed Patient-Specific Devices via Computing Tomography

三维打印正在给医学领域带来革命性的变化，应用范围从助听器到再生器官。随着我们的社会越来越依赖这项技术来拯救生命，这些系统的安全性成为越来越重要的问题。然而，现有的利用侧信道的防御方法可能需要计算机安全领域的专业知识才能充分理解攻击的影响。

为了填补这一空白，我们提出了XCheck，利用医学成像技术来验证打印的患者特定设备（PSD）的完整性。XCheck采用深度防御方法，直接比较打印设备的计算机断层扫描（CT）与其原始设计。XCheck采用基于体素的方法构建多层防御，涉及3D几何验证和多变量材料分析。为了进一步提高可用性，XCheck还提供了可调整的可视化方案，允许从业人员根据不同应用的需求，使用不同的容差阈值来检查打印出的对象。我们使用47个代表不同医学应用的PSD进行了系统评估，以验证其有效性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-483-yu-zhiyuan.pdf

3、X-Adv: Physical Adversarial Object Attacks against X-ray Prohibited Item Detection

对抗性攻击对于评估深度学习模型的鲁棒性非常有价值。现有的攻击主要针对可见光谱（例如像素级纹理扰动）。然而，尽管X射线成像在安全关键场景中（例如禁止物品的X射线检测）得到广泛应用，但针对无纹理的X射线图像的攻击仍未得到充分探索。在本文中，我们迈出了针对X射线禁止物品检测的对抗性攻击研究的第一步，并揭示了此类攻击在这种安全关键场景中所带来的严重威胁。具体而言，我们认为在这种情况下，成功的物理对抗攻击应该专门设计以规避由于颜色/纹理褪色和复杂重叠造成的挑战。为此，我们提出了X-Adv，生成可在行李中放置的物理可打印的金属材料，作为能够欺骗X射线探测器的对抗性代理。为了解决颜色/纹理褪色的问题，我们开发了一个可微转换器，利用代理模型的梯度而不是直接生成对抗性纹理，促进了具有对抗性形状的3D可打印物体的生成。为了在行李中放置打印的3D对抗性物体，我们设计了一种基于策略的强化学习策略，以找到在最坏情况下引发强攻击性能的位置，其中被禁止物品被其他物品大量遮挡。为了验证提出的X-Adv的有效性，在数字和物理世界中进行了广泛的实验（对于后者采用商业X射线安全检查系统）。此外，我们还提供了物理世界X射线对抗攻击数据集XAD。我们希望本文能够引起更多对针对安全关键场景的潜在威胁的关注。我们的代码和XAD数据集可以在https://github.com/DIG-Beihang/X-adv上获得。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-34-liu-aishan.pdf

4、Work-From-Home and COVID-19: Trajectories of Endpoint Security Management in a Security Operations Center

随着COVID-19的爆发，许多组织采取了“远程办公”（WFH）的方式，这促使它们加强了终端安全监控能力。这一趋势对安全运营中心（SOCs）如何管理企业网络上的这些终端设备产生了重大影响：在他们的组织角色、监管环境和所需技能方面。通过交叉历史分析（始于1970年代）和民族志学（在34个月内分析了1,000多个小时内SOC的352个现场笔记），并辅以定量访谈（涵盖其他7个SOC），我们揭示了推动网络管理转向终端的因果力量。我们进一步强调了对最终用户隐私和分析师过劳的负面影响。因此，我们断言SOCs应该考虑准备从管理网络边界和相关设备转向控制实际用户终端的持续、长期转变，同时面临潜在的隐私挑战和更多的过劳问题。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-143-jones.pdf

5、We Really Need to Talk About Session Tickets: A Large-Scale Analysis of Cryptographic Dangers with TLS Session Tickets

会话票据提高了TLS协议的性能。它们允许使用前一次会话的密钥来缩短握手过程。为此，服务器使用仅服务器知道的会话票据加密密钥（STEK）加密密钥，客户端将其存储为票据并在恢复时发送回服务器。标准将数据格式、加密算法和密钥管理等详细信息留给服务器实现。

TLS会话票据受到安全专家的批评，认为它们破坏了TLS的安全保证。攻击者可以猜测或窃取STEK，并可以被动记录和解密TLS会话，并可能冒充服务器。因此，这种机制的弱实现可能完全破坏TLS的安全保证。

我们进行了第一次系统的大规模分析会话票据实现中的加密陷阱。(1) 我们确定了12个开源实现使用的数据格式和加密算法，并设计了在线和离线测试来识别易受攻击的实现。(2) 我们进行了几次大规模扫描，并收集了会话票据以进行扩展的离线分析。

我们发现会话票据实现存在显着差异，并且分析的服务器存在关键的安全问题。易受攻击的服务器使用弱密钥或在使用的票据中重复使用密钥流，从而允许会话票据解密。我们的分析揭示了Amazon AWS生态系统中普遍存在的实现缺陷，允许至少1.9%的Tranco Top 100k服务器进行被动流量解密等攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-333-hebrok.pdf

6、Watch your Watch: Inferring Personality Traits from Wearable Activity Trackers

可穿戴设备，如可穿戴活动跟踪器（WATs），越来越受欢迎。尽管它们可以帮助改善人们的生活质量，但它们也引发了严重的隐私问题。最近，一种特别敏感的信息引起了广泛关注，即人格，因为它提供了影响个体的手段（例如，剑桥分析丑闻中的选民）。本文提出了第一个经验性研究，展示了WAT数据和人格特质（大五人格特质）之间存在显著的相关性。我们对200多名参与者进行了实验。通过使用NEO-PI-3问卷，建立了地面真实性。参与者的步数、心率、电池电量、活动、睡眠时间等数据在四个月内被收集。通过遵循原则性机器学习方法，参与者的人格隐私被量化。我们的结果表明，WAT数据为推断开放性、外向性和神经质人格特质提供了有价值的信息。我们进一步研究了不同特征（即数据类型）的重要性，并发现步数在推断外向性和神经质方面发挥着关键作用，而开放性则更与心率相关。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-53-zufferey.pdf

7、VeriZexe: Decentralized Private Computation with Universal Setup

传统的区块链系统在链上执行程序状态转换，要求参与状态机复制的每个网络节点在验证交易时重新计算程序的每一步。这限制了可扩展性和隐私性。最近，Bowe等人引入了一种称为分散式私有计算（DPC）的原语，并提供了一种称为Zexe的实例，使用户可以在链下执行任意计算，而不向网络透露程序逻辑。此外，交易验证仅需要恒定时间，与链下计算无关。然而，Zexe对于每个应用程序都需要单独的受信任设置，这是极不实际的。以前试图消除这种每个应用程序设置的尝试导致了显着的性能损失。

我们提出了一种新的DPC实例VeriZexe，它高效并且只需要单个通用设置来支持任意数量的应用程序。我们的基准测试在交易生成时间上提高了9倍，在内存使用方面提高了3.4倍，创造了最先进的技术水平。在此过程中，我们还设计了高效的可变基数多标量乘法和模算术小工具，用于Plonk约束系统内，从而导致Plonk验证器小工具仅使用约21k个Plonk约束条件。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-277-xiong-alex.pdf

8、V1SCAN: Discovering 1-day Vulnerabilities in Reused C/C++ Open-source Software Components Using Code Classification Techniques

我们提出了一种名为V1SCAN的有效方法，用于发现在重用的C/C++开源软件（OSS）组件中的1-day漏洞。重用第三方OSS有很多好处，但是由于它们传播的漏洞，可能会使整个软件面临风险。为了减轻这一风险，已经提出了几种用于检测传播漏洞的技术，这些技术可以分为基于版本和基于代码的方法。然而，当OSS项目在进行代码修改时重用时，最先进的技术不幸地产生了许多假阳性或假阴性。

在本文中，我们展示了通过改进基于版本和基于代码的方法并协同结合它们，可以解决这些限制。通过对OSS组件中重用的代码进行分类，V1SCAN仅考虑目标程序中包含的漏洞，并过滤掉未使用的易受攻击的代码，从而减少了基于版本方法产生的误报。V1SCAN通过对易受攻击的代码进行分类，然后检测在不同代码位置发生代码更改的传播漏洞，提高了基于代码方法的覆盖范围。在GitHub上对流行的C/C++软件的评估表明，与最先进的漏洞检测方法相比，V1SCAN发现的漏洞数量多50%。此外，V1SCAN将现有基于版本和基于代码方法的简单集成的假阳性率从71%降低到4%，将假阴性率从33%降低到7%。有了V1SCAN，开发人员可以高度准确地检测传播漏洞，维护一个安全的软件供应链。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-537-woo.pdf

9、User Awareness and Behaviors Concerning Encrypted DNS Settings in Web Browsers

最近对域名系统（DNS）进行加密的发展导致了主要浏览器和操作系统供应商部署了加密的DNS功能，通常启用各种配置和默认设置。在许多情况下，默认的加密DNS设置会对性能和隐私产生影响；例如，Firefox的默认DNS设置会将用户的所有DNS查询发送到Cloudflare，可能引入新的隐私漏洞。在本文中，我们确认大多数用户对这些发展不知情——关于这些新技术的推出、默认设置的更改以及定制加密DNS配置以平衡用户在隐私和性能之间的偏好的能力。我们的发现为浏览器和操作系统中加密DNS功能的接口设计者提供了几个重要的启示，帮助改善用户对这些设置的意识，并确保用户保留能够做出选择的能力，以平衡DNS隐私和性能之间的权衡。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-126-nisenoff.pdf

10、Understand Users' Privacy Perception and Decision of V2X Communication in Connected Autonomous Vehicles

连接的自动驾驶车辆（CAVs）为改善道路安全和提高交通效率提供了机会。车辆对一切（V2X）通信允许CAV与可能影响或可能受到车辆影响的任何实体进行通信。在CAV中实施V2X与共享和接收各种数据密不可分。然而，公众并不一定知道这种无处不在的数据交换或不理解它们的影响。我们进行了一项在线研究（N = 595），研究了四种V2X应用场景下驾驶员的隐私感知和决策。参与者认为，在数据收集对驾驶至关重要的V2X场景中，数据共享的收益更大，风险更小。他们在这些情况下也更愿意共享数据。此外，我们发现参与者对隐私风险的认识（启动）以及他们对驾驶辅助和连接功能的经验影响了他们的数据共享决策。定性数据证实了收益，尤其是安全性，排在第一位，表明存在隐私-安全的权衡。此外，误解和对CAV数据收集和使用的新期望等因素调节了参与者的隐私决策。我们讨论了获得的结果对CAV隐私设计和开发的影响。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-346-cai-zekun.pdf

11、Ultimate SLH: Taking Speculative Load Hardening to the Next Level

在本文中，我们重新审视了Spectre v1漏洞和仅基于软件的对策。具体而言，我们系统地调查了多个变体的预测负载强化（SLH）的性能惩罚和安全属性。作为这项调查的一部分，我们将Patrignani和Guarnieri（CCS 2021）的“strong SLH”变体作为LLVM的编译器扩展来实现。我们表明，实际上没有任何现有变体，包括强大的SLH，能够完全保护所有Spectre v1攻击。我们通过首次证明，即使仅在预测执行时执行，可变时间算术指令也会泄漏机密信息来做到这一点。我们扩展了强大的SLH以包括对此类泄漏的保护，实现了LLVM中的完全保护，并使用SPEC2017基准测试比较其性能与现有SLH变体和使用栅栏指令完全防止预测执行的代码。我们表明，我们提出的对策能够在完全保护Spectre v1攻击的同时，比使用栅栏的代码具有更好的性能。事实上，对于几个基准测试，我们的方法比使用栅栏的方法快两倍以上。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-278-zhang-zhiyuan.pdf

12、Tubes Among Us: Analog Attack on Automatic Speaker Identification

最近几年，受机器学习驱动的声学个人设备越来越受欢迎。然而，机器学习已经被证明容易受到对抗性示例的攻击。许多现代系统通过针对人工性来保护自己免受此类攻击，即它们部署机制来检测对抗性示例生成中的人类参与的缺失。然而，这些防御隐含地假设人类无法产生有意义和有针对性的对抗性示例。在本文中，我们表明这个基本假设是错误的。特别是，我们证明，对于像说话人识别这样的任务，人类能够直接以很少的成本和监督产生类比的对抗性示例：仅通过一个管子说话，攻击者可可靠地冒充其他说话人在说话人识别的ML模型中。我们的发现适用于一系列其他声学生物识别任务，例如活体检测，在现实生活中的安全关键环境中（例如电话银行），这些任务的使用受到质疑。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-452-ahmed.pdf

13、TRust: A Compilation Framework for In-process Isolation to Protect Safe Rust against Untrusted Code

Rust是为帮助开发人员构建高度安全的系统而发明的。它提供了各种编程结构，重点关注安全性和内存布局控制。Rust强制执行一种类型系统和所有权模型的严格纪律，以便在编译时检查所有空间和时间安全错误。尽管在安全性方面具有优势，但Rust的类型系统所施加的限制使得表达某些设计或计算变得困难或低效。因此，为了简化编程，开发人员经常包含来自不安全Rust或其他语言编写的外部库中的不受信任的代码。不幸的是，采用这种不受信任代码的编程实践以获得灵活性或效率，会破坏安全Rust的强大安全保证。本文介绍了sys，一种编译框架，通过进程内隔离，针对程序中存在的不受信任代码，为安全Rust提供可信保护。其主要策略是将对象分配在一个被隔离的内存区域中，该区域对安全Rust可访问，但受不信任代码写入的限制。为了实现这一点，sys采用了软件故障隔离和x86保护键。它可以直接应用于任何Rust代码，无需手动更改。我们的实验表明，sys是有效和高效的，在运行11个广泛使用的Rust crate时，平均运行时开销仅为12.65％，内存开销为13％。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-504-bang.pdf

14、Trojan Source: Invisible Vulnerabilities

我们提出了一种新型攻击，其中源代码被恶意编码，以使它在编译器和人眼中看起来不同。此攻击利用文本编码标准（如Unicode）中的微妙之处，生成源代码，其中的标记逻辑上按照与它们显示的顺序不同的顺序编码，导致漏洞无法直接被人类代码审查人员感知。我们称之为“特洛伊源代码”攻击，它对第一方软件和整个行业的供应链都构成了直接威胁。我们提出了C、C++、C#、JavaScript、Java、Rust、Go、Python SQL、Bash、Assembly和Solidity中“特洛伊源代码”攻击的实际工作示例。我们提出了明确的编译器级防御，并描述了在编译器升级以阻止此攻击的同时，可以在编辑器、存储库和构建流程中部署的其他缓解措施。我们记录了针对这些漏洞的行业范围内的协调披露；由于它们影响大多数编译器、编辑器和存储库，这次演习教导了不同公司、开源社区和其他利益相关者如何应对漏洞披露。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-151-boucher.pdf

15、TRIDENT: Towards Detecting and Mitigating Web-based Social Engineering Attacks

作为网络安全中最薄弱的环节，人类已成为攻击者的主要目标，他们利用高级网络社交工程技术，利用低级广告网络将社交工程组件注入到网页上，引诱用户进入攻击者控制的网站以进一步利用。其中大部分利用都是基于Web的社交工程攻击（WSEAs），例如奖励和抽奖骗局。虽然研究人员已经提出了一些系统和工具来检测某些WSEAs，但这些方法只是针对特定的骗局技术（即技术支持骗局，调查骗局），并没有设计成针对广泛的攻击技术有效。

随着任何用户可能遇到的WSEAs日益多样化和复杂化，急需新的、更有效的浏览器内系统，可以准确检测通用的WSEAs。为了解决这个问题，我们提出了TRIDENT，一种新颖的防御系统，旨在实时检测和阻止通用的WSEAs。TRIDENT通过检测社交工程广告（SE-ads）来停止WSEAs，这是低级广告网络大规模分发的一般网络社交工程攻击的入口。我们进行了广泛的评估，结果显示TRIDENT可以以92.63％的准确度和2.57％的误报率检测到SE-ads，并且具有抵御逃避尝试的鲁棒性。我们还将TRIDENT与最先进的广告拦截工具进行了评估。结果表明，TRIDENT的准确性比这些工具提高了10％。此外，TRIDENT的中位数运行时开销仅为2.13％，足够小，可以在生产中部署。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-186-yang-zheng.pdf

16、TreeSync: Authenticated Group Management for Messaging Layer Security

消息层安全性（MLS）目前正在IETF进行标准化，它是一种异步群组消息协议，旨在为大型动态群组提供高效性，并提供前向保密（FS）和事后妥协安全（PCS）等强有力的保证。虽然先前针对MLS的研究已经广泛研究了其群组密钥建立组件（称为TreeKEM），但是MLS早期设计中的许多缺陷源于其群组完整性和认证机制，这些机制尚未得到很好的理解。在这项工作中，我们确定并正式化了TreeSync：MLS的子协议，它指定共享的群组状态，定义群组管理操作，并确保在所有成员之间保持组状态的一致性、完整性和认证。我们提供了TreeSync的精确、可执行和机器检查的正式规范，并展示了如何将其与其他组件组合以实现完整的MLS协议。我们的规范是用F编写的，并作为MLS的参考实现；它通过了RFC测试向量，并可以与其他MLS实现互操作。使用DY符号协议分析框架，我们对TreeSync的完整性和认证保证进行了正式化和证明，前提是对MLS的其余部分进行了最小的安全性假设。我们的分析发现了一种新的攻击，并提出了几个更改，这些更改已被纳入最新的MLS草案中。我们是MLS的第一个可测试、机器检查的正式规范，应该对对这个即将到来的标准感兴趣的开发人员和研究人员有所帮助。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-372-wallez.pdf

17、Token Spammers, Rug Pulls, and Sniper Bots: An Analysis of the Ecosystem of Tokens in Ethereum and in the Binance Smart Chain (BNB)

在这项工作中，我们对BNB智能链和以太坊区块链进行了从它们的开始到2022年3月的长期分析。我们研究了代币和流动性池的生态系统，突出了两个区块链之间的类比和差异。我们发现大约60%的代币在不到一天的时间内就会失效。此外，我们发现1%的地址创建了异常数量的代币（在20%到25%之间）。我们发现这些代币被用作一种一次性代币，用于执行一种我们称之为1-day rug pull的特定类型的拉盘操作。我们量化了这种操作在两个区块链上的存在，发现它在BNB智能链上占主导地位。我们估计1-day rug pull产生了2.4亿美元的利润。最后，我们提出了狙击手机器人，这是一种参与这些活动的新型交易机器人，我们检测到它们的存在并量化了它们在拉盘操作中的活动。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-460-cernera.pdf

18、Title Redacted Due to Vulnerability Embargo

这篇论文的标题和摘要正在保密中，将于2023年8月9日星期三的研讨会上向公众发布。

19、Three Lessons From Threema: Analysis of a Secure Messenger

我们对Threema进行了广泛的加密分析，这是一款总部位于瑞士的加密消息应用程序，拥有超过1000万用户和7000个企业客户。我们在三种不同的威胁模型中提出了七种不同的攻击协议。我们讨论了这些攻击对Threema的影响以及修复方法，这些攻击都已经得到了负责任的披露并得到了修补。最后，我们对安全协议的开发者提出了更广泛的建议和教训。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-303-paterson.pdf

20、The Role of Professional Product Reviewers in Evaluating Security and Privacy

使用互联网连接产品的消费者经常会面临安全和隐私漏洞，而他们缺乏时间或专业知识来评估这些漏洞。专业的产品评审人员可以通过代表他们评估安全和隐私来帮助他们吗？我们进行了17次与产品评审人员的访谈，了解了他们在安全和隐私方面的程序、激励和假设。我们发现评审人员有一些激励来评估安全和隐私，但他们也面临着相当大的不利因素和挑战，这导致他们只考虑了有限的相关标准和威胁模型。我们建议未来的工作帮助产品评审人员以符合评审人员的商业模式和激励的方式向消费者提供有用的建议。这些包括开发可用的资源和工具，以及验证他们用于快速判断安全和隐私的启发式方法的有效性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-245-guo-wentao.pdf

21、The OK Is Not Enough: A Large Scale Study of Consent Dialogs in Smartphone Applications

泄漏个人信息的移动应用程序是在GDPR之前和之后都已经被广泛观察到的现象。在跟踪的上下文中，个人数据收集的法律要求由GDPR指定，普遍的理解是，跟踪必须基于适当的同意。对网站同意对话框的研究揭示了严重的问题，包括黑暗模式。然而，移动领域目前尚未充分探索，初步观察结果指向类似的情况。为了解决这个研究空白，我们分析了3006款Android应用程序和1773款iOS应用程序中可能的同意对话框子集，即隐私同意对话框。我们发现22.3%的所有应用程序具有任何形式的对话框，只有11.9%给予用户某种形式的可操作选择，例如至少一个接受按钮。然而，这种选择是有限的，因为所有这些对话框中的大部分都采用了某种形式的黑暗模式，强迫用户同意。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-215-koch.pdf

22、The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders

现代视频编码标准如H.264是隐藏复杂性的奇迹。但是，随着隐藏复杂性的出现，也带来了隐藏的安全风险。实际上解码视频意味着与专用硬件加速器以及驱动它们的专有特权软件组件进行交互。视频解码器生态系统是模糊的、不透明的、多样化的、高度特权的、大部分未经测试的和高度暴露的组合，这是一种危险的组合。

我们引入并评估H26FORGE，这是一种用于分析、生成和操作语法正确但语义上不符合规范的视频文件的特定领域基础架构。使用H26FORGE，我们可以在视频解码器生态系统中深入发现不安全性，包括iOS中的内核内存损坏漏洞、Windows上Firefox和VLC中的内存损坏漏洞以及多个Android设备中的视频加速器和应用程序处理器内核内存漏洞。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-506-vasquez.pdf

23、The Gates of Time: Improving Cache Attacks with Transient Execution

在过去的二十多年中，缓存攻击已被证明对计算机系统的安全构成重大风险。特别是，大量的研究表明，缓存攻击为实施短暂执行攻击提供了一个跳板。但是，对于反向方向——如何利用短暂执行进行缓存攻击——花费的精力要少得多。在这项工作中，我们回答了这个问题。

首先，我们展示了利用短暂执行，我们可以对缓存状态进行任意操作。具体来说，我们设计了通用逻辑门，其输入和输出是内存地址的缓存状态。我们的门足够通用，可以在WebAssembly中实现。此外，这些门适用于多个供应商的处理器，包括英特尔、AMD、苹果和三星。我们证明这些门是图灵完备的，并允许在缓存状态上进行任意计算，而不将逻辑值暴露给程序的体系结构状态。

然后，我们展示了我们的门在缓存攻击中的两个用例。第一个用例是放大缓存状态，使我们能够在特定内存地址被缓存或未被缓存的情况下创建超过100毫秒的时间差。我们展示了如何利用这种能力在WebAssembly中构建逐出集，仅使用低分辨率（0.1毫秒）计时器。对于第二个用例，我们提出了Prime+Scope攻击，这是Prime+Probe的一种变体，可以将缓存状态的采样与测量分离开来。Prime+Store是第一个可以以高于时钟速率的速率对缓存状态进行采样的基于时间的缓存攻击。我们展示了如何使用Prime+Store在仅有0.1毫秒分辨率的情况下从并发执行的模块指数中获得位。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-501-katzman.pdf

24、The Case for Learned Provenance Graph Storage Systems

网络攻击越来越频繁和复杂，调查它们变得更加具有挑战性。来源图是支持取证分析的主要数据源。由于系统复杂性和长时间的攻击持续时间，来源图可能非常庞大，有效地存储它们仍然是一个具有挑战性的问题。现有的方法通常使用关系型或图形数据库来存储来源图。这些解决方案存在存储开销高和查询效率低的问题。最近，研究人员在存储系统设计中利用深度神经网络（DNN）取得了良好的结果。我们观察到DNN可以将给定的输入嵌入上下文感知的数值向量表示中，这些向量紧凑且支持并行查询操作。在本文中，我们提出了一种将DNN学习为来源图存储系统以实现存储和查询效率的方法。我们还提出了利用领域知识来减少来源数据冗余并建立具有索引的快速查询处理的新设计。我们建立了一个名为LEONARD的原型系统，并在12个数据集上进行了评估。与关系型数据库Quickstep和图形数据库Neo4j相比，LEONARD将空间开销降低了高达25.90倍，并提高了高达99.6%的查询执行效率。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-330-ding-hailun.pdf

25、The Blockchain Imitation Game

由于区块链的透明性，将其用于自动化和对抗性交易已经变得司空见惯。然而，由于区块链的透明性，攻击者能够观察任何未确认的交易以及它们的执行逻辑。这种透明性进一步使得攻击者能够实时地复制和前置盈利的未确认交易，从而获得巨额财务收益。

为了揭示这种“复制粘贴”恶行，本文介绍了区块链模拟游戏，并提出了一种名为Ape的广义模拟攻击方法。利用动态程序分析技术，Ape支持对对抗智能合约的自动合成。在一年的时间范围内（从2021年8月1日到2022年7月31日），Ape可以在以太坊上获得148.96M美元的利润，在BNB智能链（BSC）上获得42.70M美元的利润。

我们进一步展示了交易和合约模拟作为一种防御策略的潜力，而不仅仅是一种恶意攻击。在一年的时间内，我们发现Ape可以成功模拟以太坊和BSC上的13个和22个已知的DeFi攻击。我们的发现表明，区块链验证器可以实时模拟攻击，以防止对DeFi的入侵。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-331-qin.pdf

26、Temporal CDN-Convex Lens: A CDN-Assisted Practical Pulsing DDoS Attack

本论文和摘要正在接受禁止发表，将于研讨会第一天，即2023年8月9日公开发布。

27、Subverting Website Fingerprinting Defenses with Robust Traffic Representation

匿名网络（例如Tor）容易受到各种网站指纹识别（WF）攻击的攻击，使攻击者能够感知这些网络上的用户隐私。然而，最近开发的防御措施可以有效地干扰WF攻击，例如通过简单地注入虚假数据包。在本文中，我们提出了一种新型的WF攻击，称为Robust Fingerprinting（RF），可以在各种防御措施下使攻击者对Tor流量进行指纹识别。具体而言，我们开发了一种强大的流量表示方法，生成流量聚合矩阵（TAM），以完全捕获从Tor跟踪中泄露的关键信息特征。通过利用TAM，攻击者可以训练一个基于CNN的分类器，学习不同防御措施揭示的常见高级流量特征。我们使用公共真实世界数据集进行了广泛的实验，比较了RF与最先进的WF攻击。闭合-开放世界的评估结果表明，RF显着优于最先进的攻击。特别是在最佳现有攻击（即Tik-Tok）的基础上，RF可以在最先进的防御措施下有效地对Tor流量进行指纹识别，平均准确率提高了8.9％。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-621_shen-meng.pdf

28、Squirrel: A Scalable Secure Two-Party Computation Framework for Training Gradient Boosting Decision Tree

"在工业界中，梯度提升决策树（GBDT）及其变种被广泛使用，因为它们具有高效性和强解释性。安全多方计算允许多个数据所有者在保持其输入私有的同时共同计算一个函数。在这项工作中，我们提出了Squirrel，这是一个在纵向切分的数据集上进行安全的两方GBDT训练的框架，其中两个数据所有者各自持有相同数据样本的不同特征。Squirrel对半诚实攻击者具有保密性，在训练过程中不会泄露任何敏感的中间信息。Squirrel还可扩展到具有数百万个样本的数据集，即使在广域网（WAN）下也是如此。

Squirrel通过GBDT算法和先进的加密技术的几个新颖的共同设计实现了其高性能。特别是，1）我们提出了一种使用隐形传输来隐藏每个节点上的样本分布的新机制。2）我们提出了一种高度优化的方法，使用两种基于格的同态加密方案来进行安全的梯度聚合。我们的实证结果表明，我们的方法可以比现有方法快三个数量级。3）我们提出了一种新颖的协议，用于评估在秘密共享值上的Sigmoid函数，显示相对于两种现有方法，可以提高19倍到200倍。结合所有这些改进，Squirrel在拥有5万个样本的数据集上每棵树的成本不到6秒，比Pivot（VLDB 2020）快28倍以上。我们还展示了Squirrel可以扩展到具有超过一百万个样本的数据集，例如在WAN上每棵树约90秒。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-64-lu-wen-jie.pdf

29、Silent Bugs Matter: A Study of Compiler-Introduced Security Bugs

在编译器优化代码时，编译器确保任何生成的优化代码在语义上等价于原始代码。然而，即使是“正确”的编译器也可能引入安全漏洞，因为安全属性超出了翻译正确性。由此引入的安全漏洞可能是有争议的；编译器开发人员期望用户严格遵循语言规范并理解所有假设，而编译器用户可能会错误地认为他们的代码是安全的。这些漏洞很难发现和预防，特别是当不清楚它们应该在编译器还是用户端修复时。然而，这些漏洞是真实存在的，可能很严重，因此应该仔细研究。

我们对编译器引入的安全漏洞（CISB）及其根本原因进行了全面研究。我们通过手动分析最流行的编译器（GCC和Clang）的4,827个潜在漏洞报告，收集了大量实际中出现的CISB，并将它们梳理成一个分类法。我们还进行了用户调研，以了解编译器用户如何看待编译器行为。我们的研究表明，编译器引入的安全漏洞很常见，可能会对安全造成严重影响。期望编译器用户理解并遵守编译器的假设是不现实的。例如，“无未定义行为”的假设已经成为用户的噩梦，也是CISB的主要原因之一。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-123-xu-jianhao.pdf

30、Sherlock on Specs: Building LTE Conformance Tests through Automated Reasoning

符合性测试对于发现运营商网络系统中的安全弱点至关重要。然而，从规范中构建符合性测试程序是具有挑战性的，正如3GPP所表明的，尤其是在开发与安全相关的测试方面进展缓慢，即使已经投入了大量资源。构建过程中的一个独特挑战是，测试系统通常无法直接调用安全要求中的条件事件或直接观察预期被触发的操作的发生。解决这个问题需要找到一个事件链，一旦启动就会引起连锁反应，这样测试系统就可以间接地触发目标事件或间接地观察预期事件的发生。为了找到解决方案并朝着完全自动化的符合性测试生成迈进，我们开发了一种新的方法，称为Contester，它利用自然语言处理和机器学习从3GPP规范中构建一个事件依赖图，并在图上进行自动推理以发现给定安全要求的事件链。这些事件链由Contester进一步转换为符合性测试程序，然后由测试系统执行，以评估用户设备（UE）是否符合安全要求的要求。我们的评估表明，在给定22个LTE NAS规范的安全要求的情况下，Contester在仅25分钟内成功生成了100多个测试程序。在将这些程序在包括iPhone 13、Pixel 5a和物联网设备在内的22个流行UE上运行后，我们的方法发现了197个安全要求违规情况，其中190个以前从未报告过，这使得这些设备面临严重的安全风险，例如中间人攻击、假基站和拒绝服务攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-518-chen-yi.pdf

31、SHELTER: Extending Arm CCA with Isolation in User Space

本论文和摘要正处于禁令期，将于研讨会第一天，即2023年8月9日公开发布。

32、Secure Floating-Point Training

浮点算术的安全双方计算（2PC）在性能上得到了改进，最近的工作将其与深度学习算法结合起来，而且与PyTorch等常用机器学习（ML）框架一样数值精度高。我们发现，现有的浮点2PC库支持通用计算，缺乏专门的ML训练支持。因此，它们的复合操作（例如点积）的延迟和通信成本很高。我们提供了新颖的复合操作的专门2PC协议，并通过数值分析证明了它们的精度。我们的实现BEACON比最先进的浮点2PC库快6倍以上。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-212-rathee.pdf

33、SandDriller: A Fully-Automated Approach for Testing Language-Based JavaScript Sandboxes

基于语言的隔离提供了一种廉价的方式来限制不受信任代码的权限。以前的工作提出了大量这样的技术，用于在客户端隔离JavaScript代码，从而实现Web混搭。虽然这些解决方案在实践中大多已过时，但越来越多的趋势是使用类似的技术来隔离在浏览器之外运行的JavaScript代码，例如用于保护服务器端免受供应链攻击。无论用例如何，语言隔离实现中的漏洞都可能产生灾难性后果。因此，我们提出了SandDriller，这是一种基于动态分析的方法，用于检测沙箱逃逸漏洞。我们的核心见解是设计测试神谕，基于语言隔离沙箱的两个主要目标：防止在沙箱外部写入和限制对特权操作的访问。使用仪器，我们在主机和客户端代码之间交换的所有引用上插入神谕检查，以检测允许客户端代码逃逸沙箱的外部引用。如果在运行时，神谕检测到外部引用，SandDriller将继续合成其漏洞利用。我们将我们的方法应用于六个沙箱系统，并发现了八个独特的零日沙箱破解漏洞和两个崩溃。我们相信，SandDriller可以集成到沙箱的开发过程中，在预发布阶段检测安全漏洞。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-199-alhamdan.pdf

34、Rosetta: Enabling Robust TLS Encrypted Traffic Classification in Diverse Network Environments with TCP-Aware Traffic Augmentation

由于大多数互联网流量都由传输层安全性（TLS）协议加密，最近的进展利用深度学习（DL）模型通过自动提取TLS流的数据包长度序列的复杂和信息丰富的特征来进行加密流量分类。尽管现有的DL模型已经报道在加密流量上实现了出色的分类结果，但我们进行了全面的研究，表明它们在真实的多样化网络环境中都有显着的性能下降。经过系统地研究原因，我们发现由于各种可靠传输的TCP机制在不同的网络环境中，流的数据包长度序列可能会发生巨大变化。因此，我们提出了Rosetta，以使现有的DL模型能够实现强大的TLS加密流量分类。它利用TCP感知流量增强机制和自监督学习来理解隐含的TCP语义，从而提取TLS流的强大特征。广泛的实验表明，Rosetta可以显著提高现有DL模型在不同网络环境中对TLS流量的分类性能。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-221-xie-renjie.pdf

35、Rethinking White-Box Watermarks on Deep Learning Models under Neural Structural Obfuscation

为了保护深度神经网络（DNN）的版权，AI公司迫切需要一种技术来跟踪非法分发的模型副本。DNN水印技术是一种新兴技术，可将秘密身份消息嵌入预测行为或模型内部，并进行验证以跟踪非法分发的模型副本。在牺牲较少功能的同时，白盒DNN水印技术需要更多关于目标DNN的知识，被认为是准确、可信和安全的，可抵御大多数已知的水印去除攻击，在学术界和工业界都有新的研究努力。

在本文中，我们首次系统地研究了主流白盒DNN水印技术通常容易受到神经结构混淆攻击的漏洞。神经结构混淆攻击采用虚拟神经元的方法对目标模型进行修改，但不影响其行为。我们设计了一个全面的框架，自动生成和注入具有高隐蔽性的虚拟神经元，对目标模型的结构进行密集修改，以阻碍水印验证的成功。通过广泛的评估，我们的研究首次表明，九种已经发表的水印方案需要修改其验证过程。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-444-yan-yifan.pdf

36、Remote Code Execution from SSTI in the Sandbox: Automatically Detecting and Exploiting Template Escape Bugs

模板引擎广泛用于Web应用程序中，以简化用户界面的开发。模板引擎提供的强大功能可以通过服务器端模板注入（SSTI）被攻击者滥用，从而在服务器端实现严重攻击，包括远程代码执行（RCE）。因此，现代模板引擎提供了沙箱模式，以防止SSTI攻击导致RCE。

在本文中，我们研究了模板引擎中被忽视的沙箱绕过漏洞，称为模板逃逸，它可以将SSTI攻击提升到RCE攻击。通过逃逸模板呈现过程，模板逃逸漏洞可用于在服务器端注入可执行代码。由于模板逃逸漏洞依赖于模板语法和模板呈现逻辑，因此很难检测和利用。因此，我们对其在现实世界中的普遍性和严重性了解甚少。为了解模板逃逸漏洞的普遍性和严重性，我们进行了首次深入研究，并提出了名为TEFuzz的自动工具，用于检测和利用此类漏洞。TEFuzz采用了几种新技术，无需学习模板语法即可生成发现漏洞的PoC和利用代码。我们将TEFuzz应用于七种流行的PHP模板引擎。TEFuzz共发现了135个新的模板逃逸漏洞，并合成了55个RCE漏洞的利用代码。我们的研究表明，模板逃逸漏洞是普遍存在的，并构成严重威胁。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-453-zhao-yudi.pdf

37、Proxy Hunting: Understanding and Characterizing Proxy-based Upgradeable Smart Contracts in Blockchains

可升级智能合约（USC）已成为智能合约开发的一个关键趋势，为本来不可变的代码带来了灵活性。然而，它们也引入了安全问题。一方面，它们需要广泛的安全知识才能以安全的方式实现。另一方面，它们为恶意活动提供了新的战略武器。因此，全面了解它们，特别是它们在现实世界中的安全影响是至关重要的。为此，我们进行了一项大规模研究，系统地揭示了USC在野外的现状。为了实现我们的目标，我们开发了一个完整的USC分类法，全面描述了USC的独特行为，并进一步开发了USCHUNT，一个自动化的USC分析框架，支持我们的研究。我们的研究旨在回答三组关于USC重要性、设计模式和安全问题的基本研究问题。我们的研究结果表明，USC对今天的区块链非常重要，因为它们持有价值数十亿美元的数字资产。此外，我们的研究总结了11种独特的USC设计模式，并发现了总共2,546个现实世界中的USC相关的安全和安全问题，分为六个主要类别。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-415-bodell.pdf

38、PROVIDENCE: a Flexible Round-by-Round Risk-Limiting Audit

一种风险限制审计（RLA）是一种具有严格错误保证的统计选举计票审计。我们提出了 ballot polling RLA PROVIDENCE，这是一种具有 MINERVA 的效率和 BRAVO 的灵活性的审计，并证明在存在能够根据先前样本选择后续轮次大小的对手时，它是具有风险限制的。我们将审计工作量作为轮次数量、接触的选区和抽取的选票数量的函数进行了描述，并量化了当轮次过小时获取误导性审计样本的问题，展示了审计计划约束的重要性。我们描述了一种使用这些度量来计划审计轮次时间表的方法，并呈现了模拟结果，证明了 PROVIDENCE 的优越性。

我们描述了罗德岛选举委员会在2021年选举的计票审计中使用 PROVIDENCE 的情况。我们在开源的 R2B2 库中实现了 PROVIDENCE，并将其作为选项集成到了最常用的 RLA 软件Arlo 中。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-608-broadrick.pdf

39、ProSpeCT: Provably Secure Speculation for the Constant-Time Policy

我们提出了 ProSpeCT，这是一个通用的正式处理器模型，为恒定时间策略提供可证明安全的推测。对于在非推测语义下的恒定时间程序，ProSpeCT保证推测和乱序执行不会导致微架构泄漏。通过跟踪处理器管道中的机密信息，并确保它们在推测执行期间不影响微架构状态，实现了这一保证。我们的形式化涵盖了广泛的推测机制，概括了之前的工作。因此，我们的安全证明涵盖了所有已知的Spectre攻击，包括加载值注入（LVI）攻击。

除了正式模型外，我们还在RISC-V处理器上提供了ProSpeCT的原型硬件实现，并展示了其对硬件成本、性能和所需软件更改的影响较小的证据。特别是，实验评估证实了我们的预期，即对于符合恒定时间二进制的情况，启用ProSpeCT不会产生性能开销。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-185-daniel.pdf

40、PROGRAPHER: An Anomaly Detection System based on Provenance Graph Embedding

近年来，高级持久性威胁（APT）已成为现代计算环境安全面临的最大威胁之一，它涉及到长时间的复杂和恶意操作。为了应对这种威胁，数据溯源用于捕获计算系统/网络中实体之间的复杂关系，并利用这些信息检测复杂的APT攻击。尽管现有的系统在对抗APT攻击方面显示出了潜力，但它们仍然无法在效率、准确性和粒度之间实现良好的平衡。

在这项工作中，我们设计了一种新的基于溯源图的异常检测系统，称为PROGRAPHER。为了解决溯源图的“依赖爆炸”问题并实现高效率，PROGRAPHER从摄入的日志中提取时间顺序的快照，并在快照上执行检测。为了捕捉图的丰富结构特性，采用了整个图嵌入和基于序列的学习。最后，从异常快照中提取关键指标并向分析人员报告，以大大减轻他们的工作量。

我们在五个真实数据集上评估了PROGRAPHER。结果表明，PROGRAPHER可以高精度地检测标准攻击和APT攻击，并胜过最先进的检测系统。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-219-yang-fan.pdf

41、PrivateFL: Accurate, Differentially Private Federated Learning via Personalized Data Transformation

联邦学习（FL）使多个客户端在中央服务器的协调下共同训练模型。虽然FL通过保留每个客户端的训练数据来改善数据隐私，但攻击者（例如，不受信任的服务器）仍然可以通过各种推断攻击危及客户端本地训练数据的隐私。保护FL隐私的事实上的方法是差分隐私（DP），它在训练期间添加随机噪声。然而，当应用于FL时，DP存在一个关键限制：为了实现有意义的隐私水平，它牺牲了模型的准确性，这甚至比应用于传统的集中式学习更加严重。

在本文中，我们研究了FL+DP的准确性降级原因，并设计了一种提高准确性的方法。首先，我们提出这种准确性降级部分是因为DP在本地训练期间引入不同的随机噪声和剪切偏差时，会在FL客户端之间引入额外的异质性。据我们所知，我们是第一个将FL中的差分隐私与客户端异质性联系起来的人。其次，我们设计了PrivateFL，以在减少异质性的情况下在FL中学习准确的差分隐私模型。其关键思想是在本地训练期间联合学习差分隐私、个性化数据转换，为每个客户端定制个性化数据转换。个性化数据转换可以将客户端的本地数据分布转移，以补偿DP引入的异质性，从而提高FL模型的准确性。

在评估中，我们将PrivateFL与八种最先进的差分隐私FL方法结合并比较了七个基准数据集，包括六个图像和一个非图像数据集。我们的结果表明，PrivateFL使用小ε可以学习准确的FL模型，例如，在（ε = 2，δ = 1e-3）-DP下，使用100个客户端在CIFAR-10上可以达到93.3％的准确率。此外，PrivateFL可以与先前的工作结合，以减少DP引起的异质性，并进一步提高其准确性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-427-yang-yuchen.pdf

42、Prime Match: A Privacy Preserving Inventory Matching System

库存匹配是一种标准机制，用于通过匹配买家和卖家进行金融股票交易。在金融世界中，银行经常承担寻找客户之间匹配的任务。相关的股票可以在不对任何一方客户的市场价格造成负面影响的情况下进行交易。如果找到了客户之间的匹配，银行可以提供有利的交易价格。如果找不到匹配，则双方必须在公开市场上购买或出售股票，这会引入额外的成本。

目前这一过程的问题在于涉及方必须向银行共享他们的购买或出售特定股票的订单，以及预期的数量（股票数量）。客户担心，如果这些信息以某种方式“泄漏”，那么其他市场参与者将意识到他们的意图，从而在交易完成之前使价格对他们不利地移动。

我们提供了一种解决方案，可以在保持隐私的前提下，让客户有效地匹配其订单并减少市场影响。在没有匹配的情况下，不会泄露任何信息。我们的主要加密创新是一种两轮安全线性比较协议，用于计算两个数量之间的最小值，无需预处理且具有恶意安全性，这可能是独立感兴趣的。我们报告了我们的Prime Match系统的基准测试，该系统正在生产中运行，并被美国的大银行J.P. Morgan采用。Prime Match是第一个在金融界实时运行的安全多方计算解决方案。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-459-polychroniadou.pdf

43、Practical Asynchronous High-threshold Distributed Key Generation and Distributed Polynomial Sampling

分布式密钥生成（DKG）是一种在没有信任方的情况下引导阈值加密系统的技术。DKG是许多去中心化协议的重要构建块，例如随机性信标、阈值签名、拜占庭一致性和多方计算。尽管近年来取得了重大进展，但现有的异步DKG构造在重建阈值大于总节点的三分之一时效率低下。在本文中，我们提出了一种简单且具有实际效率的\emph{异步} DKG（ADKG）协议，用于n = 3t + 1个节点之间，可以容忍多达t个恶意节点，并支持任何重建阈值ℓ≥t。我们的协议具有预期的O(κn3)通信成本，其中κ是安全参数，仅假设离散对数的难度。我们ADKG协议的核心要素是一种异步协议，用于秘密共享一个次数为ℓ≥t的随机多项式，该协议还具有其他应用，例如异步主动秘密共享和异步多方计算。我们实现了高阈值ADKG协议，并使用多达128个地理分布的节点的网络进行评估。我们的评估显示，与现有技术相比，我们的高阈值ADKG协议将运行时间缩短了90％，带宽使用量减少了80％。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-454-das.pdf

44、Pool-Party: Exploiting Browser Resource Pools for Web Tracking

我们确定了一类浏览器中的隐蔽通道攻击，这些攻击不受当前防御措施的缓解，我们称之为“游泳池派对”攻击。游泳池派对攻击允许网站通过操纵有限但未分区的资源池来创建隐蔽通道。这类攻击已经被知晓存在；在这项工作中，我们展示了它们比以前发现的更为普遍，更实用于利用，并且可以以更多的方式进行利用。在实际和现实条件下，这些隐蔽通道具有足够的带宽，可以跨越站点边界传递cookie和标识符。我们在所有流行的浏览器中识别了游泳池派对攻击，并展示了它们是实用的跨站点追踪技术（例如，在Chrome和Edge中攻击只需0.6秒，在Firefox和Tor浏览器中攻击需要7秒）。

在本文中，我们做出以下贡献：首先，我们描述了利用浏览器中应用层资源池限制的游泳池派对隐蔽通道攻击。其次，我们证明了游泳池派对攻击是实用的，并且可以用于在所有流行的浏览器中跟踪用户；我们还分享了攻击的开放源代码实现。第三，我们展示了在基于Gecko的浏览器（包括Tor浏览器）中，游泳池派对攻击也可以用于跨配置文件追踪（例如，链接用户在正常浏览和隐私浏览会话中的行为）。最后，我们讨论了可能的防御方法。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-238-snyder.pdf

45、Place Your Locks Well: Understanding and Detecting Lock Misuse Bugs

现代多线程软件系统通常利用锁来防止并发错误。然而，由于编写正确的并发代码的复杂性，使用锁本身也常常容易出错。在这项工作中，我们调查了各种锁误用。我们对现有CVE ID的特征研究表明，锁误用可能会导致并发错误，甚至会造成严重的安全问题，如拒绝服务和内存损坏。为了减轻这些威胁，我们提出了一个实用的静态分析框架，名为Lockpick，它由两个核心阶段组成，可以有效地检测锁的误用。具体而言，Lockpick首先进行路径敏感型状态分析，跟踪锁状态的转换和交互，以识别顺序型状态违规。在前面的结果指导下，Lockpick然后执行并发感知检测，以准确定位各种锁误用错误，有效地推理感兴趣的线程交错。结果令人鼓舞——我们使用Lockpick在一系列具有影响力的开源系统中发现了203个独特且经过确认的锁误用，如OpenSSL、Linux内核、PostgreSQL、MariaDB、FFmpeg、Apache HTTPd和FreeBSD等。其中有三个令人兴奋的结果：这些确认的锁误用已经潜伏很久，平均隐藏了7.4年；总共已经为发现的严重错误分配了16个CVE ID；Lockpick可以标记许多以前的工具错过的实际错误，而误报率明显更低。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-298_cai-yuandao.pdf

46、PELICAN: Exploiting Backdoors of Naturally Trained Deep Learning Models In Binary Code Analysis

深度学习（DL）模型在许多网络安全应用中得到了广泛应用，并且相对于传统解决方案，它们具有更高的性能。在本文中，我们研究了二进制分析中自然训练模型中的后门漏洞。这些后门不是攻击者注入的，而是数据集和/或训练过程中缺陷的产物。攻击者可以通过将一些小的固定输入模式（例如指令）注入到其输入中（例如，用于恶意软件检测DL模型的二进制代码片段），从而利用这些漏洞诱导误分类（例如，恶意软件逃避检测）。我们重点研究了在二进制分析中使用的Transformer模型。给定一个模型，我们利用一种特别设计用于这些模型的触发器反演技术来导出可以诱导误分类的触发器指令。在攻击过程中，我们利用一种新颖的触发器注入技术将触发器指令插入到输入二进制代码片段中。注入确保代码片段的原始程序语义得到保留，触发器成为该语义的组成部分，因此不能轻易地被消除。我们在5个二进制分析任务和15个模型上评估了我们的原型系统PELICAN。结果表明，PELICAN可以在白盒和黑盒情况下有效地诱导所有评估模型的误分类。我们的案例研究展示了PELICAN可以利用两个闭源商业工具的后门漏洞。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-493-zhang-zhuo.pdf

47、Password Guessing Using Random Forest

密码是最广泛使用的身份验证方法，猜测攻击是评估密码强度的最有效方法。然而，现有的密码猜测模型通常建立在传统的统计学或深度学习上，而没有对采用经典机器学习的密码猜测进行研究。

为了填补这一空白，本文提供了一种全新的密码猜测技术路线。更具体地说，我们对密码字符进行重新编码，使得一系列解决多类分类问题的经典机器学习技术（例如随机森林、提升算法及其变体）可以用于密码猜测。此外，我们提出了一种基于随机森林的框架RFGuess，用于表征最具代表性的三种密码猜测场景（即钓鱼式猜测、基于个人身份信息（PII）的有针对性猜测和基于用户密码重用行为的有针对性猜测）。

除了其理论意义外，这项工作还具有实际价值。使用13个大型真实世界密码数据集进行的实验表明，我们基于随机森林的猜测模型是有效的：（1）针对钓鱼式猜测场景的RFGuess，其猜测成功率与其前身相当；（2）针对基于PII的有针对性猜测的RFGuess-PII，可以在100次猜测中猜测出20％~28％的普通用户，比其前身的成功率高7％~13％；（3）针对基于用户密码重用/修改行为的有针对性猜测的RFGuess-Reuse，在相关模型中表现最好或第二好。我们认为，这项工作在将经典机器学习技术引入密码猜测方面迈出了实质性的一步。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-183-wang-ding.pdf

48、Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords

尽管利用直接密码重用行为的密码填充攻击已经引起了相当多的关注，但只有少数研究关注了密码微调攻击，即攻击者利用用户的间接重用行为（使用插入、删除和替换等编辑操作）。我们首次将密码微调攻击建模为一个多类别分类问题，以描述用户的密码编辑/修改过程，并提出了一个结合多步决策机制的生成模型，称为Pass2Edit，以准确描述用户的密码重用/修改行为。

我们通过大量实验展示了Pass2Edit的有效性，其中包括12个实际攻击场景和使用48亿个真实世界密码。实验结果表明，Pass2Edit及其变体明显优于现有技术。具体而言，当在网站A上已知受害者的密码（即pwA）时，在100次猜测内，Pass2Edit在猜测她在网站B上的密码（pwB ≠ pwA）方面的破解成功率分别为24.2％（对于普通用户）和11.7％（对于安全意识较高的用户），比其前导技术高出18.2％-33.0％。我们的结果强调，密码微调是对密码安全性的威胁比预期更为严重。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-606-wang-ding.pdf

49、Panda: Security Analysis of Algorand Smart Contracts

这篇论文、标题和摘要处于禁令之下,将在研讨会的第一天,2023年8月9日星期三向公众发布。

50、Oops..! I Glitched It Again! How to Multi-Glitch the Glitching-Protections on ARM TrustZone-M

电压故障注入（VFI），也称为电源故障，已经被证明是对实际系统的严重威胁。在VFI攻击中，攻击者干扰目标设备的电源，迫使设备产生非法行为。已经提出了各种对策来应对不同类型和不同抽象层次的故障注入攻击，其中一些需要修改底层硬件或在机器指令级别上修改软件/固件。此外，仅最近，个别芯片制造商已经开始通过在其产品中集成对策来应对这种威胁。一般来说，这些对策旨在防止单一故障注入（SFI）攻击，因为多重故障注入（MFI）被认为是具有挑战性的，有时甚至是不切实际的。

在本文中，我们介绍了μ-Glitch，这是第一个能够对目标设备进行多个协调的电压故障注入（VFI）的平台，仅需要一个触发信号。我们提供了一种新颖的多电压故障注入（MVFI）攻击流程，以显著减少对故障参数的搜索复杂度，因为每次添加故障注入，搜索空间会呈指数级增长。我们在四个具有TrustZone-M的真实芯片上评估和展示了我们的攻击平台的有效性和实用性：

前两个具有相互依赖的反向检查机制，而后两个还额外集成了故障注入的对策。我们的评估结果显示，μ-Glitch可以在平均一天内成功注入四次连续故障。最后，我们讨论了缓解VFI攻击的潜在对策，并提出了两个新的MVFI攻击场景。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-286-sab.pdf

51、One Size Does not Fit All: Quantifying the Risk of Malicious App Encounters for Different Android User Profiles

以前的研究调查了基于出生国家、年龄、先前技术滥用和经济状况等标准定义的特定用户社区内的安全实践的特殊性。他们的结果强调，采用一刀切的安全解决方案忽略了特定用户社区的差异和需求。然而，这些研究集中在单个社区或将用户聚类成难以解释的亚群体。在本研究中，我们对用户社区之间遇到恶意软件和其他潜在的不良应用程序（PUA）的风险进行了大规模的定量分析。我们的研究核心是从1200万Android移动设备收集的应用程序安装日志数据集。利用用户安装的应用程序，我们基于用户的兴趣（如游戏玩家和投资者）定义直观的用户画像，并将其中的540万设备拟合到这些画像中。我们的分析分为三个部分。首先，我们对整个人口进行风险分析，以衡量恶意应用程序遭遇风险如何受不同因素的影响。接下来，我们创建不同的用户画像，以研究用户之间的风险差异是否由其兴趣所致。最后，我们比较了以用户画像为基础的分类方法和传统方法的分类结果。我们观察到，应用程序签署者的多样性和使用替代市场等特征高度相关于恶意应用程序遭遇的风险。我们还发现，一些画像，如游戏玩家和社交媒体用户，所面临的风险是普通用户的两倍以上。我们还展示了使用以用户画像为基础的分类方法训练预测模型的分类结果具有显著的准确性提高。总的来说，我们的结果证实了一刀切的保护解决方案的不足之处。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-307-dambra.pdf

52、On the Security of Internet Infrastructure

这篇论文、标题和摘要处于禁令之下,将在研讨会的第一天,2023年8月9日星期三向公众发布。

53、NRDelegationAttack: Complexity DDoS attack on DNS Recursive Resolvers

进行分布式拒绝服务（DDoS）攻击的恶意行为者对消耗大量资源并为他们提供弹药的请求感兴趣。我们提出了一种DNS解析器的严重复杂攻击，其中对DNS解析器的单个恶意查询可以显着增加其CPU负载。即使只有少数这样的并发查询，也可能导致资源耗尽，并导致向合法客户端拒绝服务。这种攻击与最近对DNS服务器的大多数DDoS攻击不同，后者使用通信放大攻击，其中单个查询会在DNS服务器之间生成大量的消息交换。

这里描述的攻击涉及到一个恶意客户端，其对目标解析器的请求被发送到一个协作的恶意权威服务器；然后，该服务器生成一个精心制作的引荐响应返回给（受害）解析器。请求的链式反应继续，导致查询的委派。这最终将解析器指向一个不响应DNS查询的服务器。这个交换会生成一个长序列的缓存和内存访问，从而显着增加目标解析器的CPU负载。因此，这种攻击被称为非响应式委派攻击，或NRDelegationAttack。

我们证明了三个主要的解析器实现（BIND9、Unbound和Knot）都受到NRDelegationAttack的影响，并对基于BIND9的解析器的放大因子进行了详细分析。由于这项工作，这些解析器实现发出了关于NRDelegationAttack的三个常见漏洞和公开披露（CVE）。我们还对16个开放的解析器进行了最小的测试，确认攻击也影响它们。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-309-afek.pdf

54、No Single Silver Bullet: Measuring the Accuracy of Password Strength Meters

为了帮助用户创建更强的密码，几乎每个受人尊敬的网络服务都采用密码强度计（PSM）在用户注册和更改密码时提供实时的强度反馈。最近的研究发现，提供准确反馈的PSM确实有效地促使用户选择更强的密码。因此，系统地评估现有的PSM以便选择准确的PSM是非常必要的。在本文中，我们强调没有单一的银弹指标来衡量PSM的准确性：对于每个给定的猜测场景和策略，都需要一个特定的指标。我们研究了在线和离线猜测场景的内在特征，并首次提出了一个系统的评估框架，由四个不同维度的标准组成，以评估这两种密码猜测场景（以及各种猜测策略）下的PSM准确性。

具体而言，对于在线猜测，具有不同流行度的密码的强度误判会对PSM准确性产生不同的影响，我们建议使用加权Spearman指标，并考虑两种典型的攻击者：不知道目标密码分布的一般攻击者和知道目标密码分布的攻击者。对于离线猜测，由于破解的密码通常比未破解的密码弱，它们对应于两个不同的分布，我们采用Kullback-Leibler散度指标，并研究了四种最典型的猜测策略：暴力破解、基于字典的、基于概率的和以上三种策略的组合。特别地，我们提出了精度指标，用于测量当非分箱的强度反馈（例如概率）被转换为易于理解的分箱/分数（例如[弱，中，强]）时的PSM准确性。我们进一步引入了一个协调的精度指标，用于表征强度误判对PSM准确性在不同方向（例如弱→强和强→弱）上的影响。我们利用14个真实世界密码数据集评估了12个领先的PSM，并展示了我们评估框架的有效性和实用性。最后，我们提供了三个建议来帮助提高PSM的准确性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-291_wang-ding.pdf

55、No more Reviewer #2: Subverting Automatic Paper-Reviewer Assignment using Adversarial Learning

在许多科学学科中，提交到学术会议的论文数量正在稳步增长。为了处理这种增长，自动论文审阅器分配系统在审查过程中越来越多地被使用。这些系统使用统计主题模型来描述提交内容，并自动分配给审稿人。在本文中，我们展示了这种自动化可以通过对抗学习来被操纵。我们提出了一种攻击，通过改变给定论文的内容来误导分配系统，并选择自己的审稿人。我们的攻击基于一种新颖的优化策略，交替使用特征空间和问题空间来实现对论文的不引人注目的改变。为了评估我们的攻击的可行性，我们模拟了一个实际安全会议（IEEE S&P）的论文审稿人分配过程，该会议的程序委员会有165名审稿人。我们的结果表明，我们可以成功地选择和删除审稿人，而不需要访问分配系统。此外，我们证明了被操纵的论文仍然是合理的，并且往往与良性提交的论文无法区分。

56、Network Responses to Russia's Invasion of Ukraine in 2022: A Cautionary Tale for Internet Freedom

2022年2月俄罗斯入侵乌克兰后，随之而来的是制裁和限制：俄罗斯对其公民的制裁，俄罗斯对世界的制裁，以及外部行为者对俄罗斯的制裁。有报道称，出现了增加的审查、地理阻塞和影响互联网自由的网络事件。本文是对这场冲突升级后几周内发生的网络变化的调查，是研究人员和活动家的快速动员的结果，从多个角度研究这个问题。我们开发了GeoInspector，并进行了测量，以识别不同类型的地理阻塞，并综合来自九个独立数据源的数据，以了解和描述各种网络变化。入侵后不久，超过45%的俄罗斯政府域名测试显示，除了俄罗斯和哈萨克斯坦以外的国家无法访问；相反，包括新闻和教育域名在内的444个外国网站地理阻止了俄罗斯用户。我们发现俄罗斯的审查显著增加，特别是新闻和社交媒体方面。我们发现有证据表明使用BGP撤销实施限制，并量化了新的国内证书颁发机构的使用。最后，我们分析了规避工具的数据，并调查了它们的使用和阻止情况。我们希望我们的发现能够展示互联网分裂形势的快速变化，成为一个警醒的故事，并鼓励研究和努力保护互联网自由。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-380-ramesh.pdf

57、Near-Ultrasound Inaudible Trojan (Nuit): Exploiting Your Speaker to Attack Your Microphone

语音控制系统（VCS）为向智能设备发出语音命令提供了便利的界面。然而，VCS安全性尚未得到充分的理解和解决，这可以从两类攻击的存在中得到证明：（i）无声攻击，可以在攻击者和受害者彼此接近时发动；（ii）听得到的攻击，可以通过将攻击信号嵌入音频中远程发动。在本文中，我们介绍了一种新的攻击类别，称为近超声波不可听木马（Nuit）。Nuit攻击实现了上述两类攻击的最佳组合：它们是无声的，并且可以远程发动。此外，Nuit攻击可以实现端到端的不可察觉性，在文献中具有重要意义，但尚未得到足够的关注。Nuit攻击的另一个特点是它们利用受害者扬声器攻击受害者麦克风及其相关的VCS，意味着攻击者不需要使用任何特殊的扬声器。我们展示了Nuit攻击的可行性，并提出了一个有效的防御方法。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-261-xia-qi.pdf

58、NAUTILUS: Automated RESTful API Vulnerability Detection

在接入网络服务时，RESTful API已经成为最常用的终端。黑盒式漏洞扫描器是自动检测网络服务漏洞的流行选择。然而，在RESTful API测试中，它们存在许多限制。特别是，现有工具无法有效获取API操作之间的关系，也缺乏在测试期间正确顺序的API操作意识。这些缺点阻碍了工具正确请求API操作以检测潜在漏洞。为了解决这一挑战，我们提出了NAUTILUS，它包括一种新颖的规范注释策略来发现RESTful API漏洞。这些注释编码了RESTful服务的正确操作关系和参数生成策略，有助于NAUTILUS生成有意义的操作序列，从而揭示需要按正确顺序执行多个API操作的漏洞。我们在六个RESTful服务上将NAUTILUS与四个最新漏洞扫描器和RESTful API测试工具进行了实验比较。评估结果表明，NAUTILUS可以成功检测到平均多141％的漏洞，并涵盖104％更多的API操作。我们还将NAUTILUS应用于九个真实的RESTful服务，并检测到23个独特的0-day漏洞，其中包括Atlassian Confluence中的一个远程代码执行漏洞和Microsoft Azure中的三个高风险漏洞，可能影响数百万用户。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-592-deng-gelei.pdf

59、Multiview: Finding Blind Spots in Access-Deny Issues Diagnosis

Access-deny问题很难修复，因为这涉及到可用性和安全性要求。一方面，系统管理员需要快速进行更改以启用合法访问。另一方面，系统管理员需要确保更改不会允许过度访问。在安全方面满足第二个要求尤其具有挑战性，因为它高度需要系统管理员对系统环境和安全上下文的了解。知识和系统设置的盲点可能会妨碍系统管理员找到与安全上下文相符的解决方案。不安全的修复可能会过度授予权限，这可能只有在安全漏洞被利用后才会被注意到。

本文旨在帮助系统管理员通过提供多个解决访问拒绝问题的方向来减少诊断中的盲点。我们提出了一个名为Multiview的系统，它自动修改配置以探索可能的解决方向，并让每个方向的配置更改授权尽可能少的权限。Multiview提供了详细的诊断报告，包括与拒绝相关的访问控制配置，可能的不同方向上的配置更改来允许请求，以及整个系统访问控制状态的影响。

我们进行了一项用户研究，评估了Multiview在五个真实的访问拒绝问题上的表现，共有20名参与者。Multiview可以将不安全的修复比例从44.0％降低到2.0％，平均减少诊断时间62.0％。我们还在八个不同的系统和服务器应用程序中对112个真实故障案例进行了Multiview的评估，它可以成功诊断其中的89个。Multiview可以在一分钟内准确识别导致故障的配置，并为每个访问拒绝问题提供可能的方向。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-26-shen-bingyu.pdf

60、Multi-Factor Key Derivation Function (MFKDF) for Fast, Flexible, Secure, & Practical Key Management

我们提出了第一个通用的多因素密钥派生函数(MFKDF)构造。我们的函数在密码基础密钥派生函数(PBKDF)的基础上扩展，支持在密钥派生过程中使用其他流行的身份验证因素，如TOTP、HOTP和硬件令牌。通过这样做，它提供了与PBKDF相比指数级的安全性提升，而在典型的Web浏览器中只需要不到12毫秒的额外计算开销。我们进一步提出了一个阈值MFKDF构造，允许在因素丢失时进行客户端密钥恢复和重建。最后，通过“堆叠”派生密钥，我们提供了一种加密强制任意特定密钥派生策略的手段。其结果是实现对用户数据的直接加密保护，使用所有可用的身份验证因素，而不会对用户体验产生明显的变化。我们展示了我们的解决方案不仅可以显著地提高实现PBKDF的现有系统的安全性，而且还可以实现PBKDF无法考虑的新应用。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-451-nair.pdf

61、MTSan: A Feasible and Practical Memory Sanitizer for Fuzzing COTS Binaries

在程序中查找漏洞时，特别是在没有源代码的情况下，模糊测试已被广泛采用。但是，二进制模糊测试的有效性和效率受到二进制内存消毒剂的缺乏所限制。这种缺乏二进制内存消毒剂是由于编译程序中信息损失和二进制插装的挑战。

本文提出了一种可行且实用的硬件辅助内存消毒剂MTSan，用于二进制模糊测试。MTSan可以在运行时检测空间和时间上的内存安全违规。它采用了一种新颖的渐进式对象恢复方案来恢复二进制中的对象，并使用定制的二进制重写解决方案以基于内存标记的内存安全消毒策略插装二进制。此外，MTSan使用了一种硬件功能，即ARM Memory Tagging Extension (MTE)，以显着减少其运行时开销。我们在AArch64上实现了MTSan的原型，并对其效果和性能进行了系统评估。评估结果显示，MTSan可以检测到比现有二进制消毒剂更多的内存安全违规，同时引入更低的运行时和内存开销。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-279-chen-xingman.pdf

62、MorFuzz: Fuzzing Processor via Runtime Instruction Morphing enhanced Synchronizable Co-simulation

现代处理器过于复杂，难以完全没有漏洞。最近，一些硬件模糊测试技术在验证处理器设计方面取得了有希望的结果。然而，由于处理器的复杂性，它们受到复杂的输入语法、欺骗性的变异指导和模型实现差异的影响。因此，如何有效地和高效地验证处理器仍然是一个开放的问题。

本文提出了MorFuzz，一种新颖的处理器模糊测试工具，可以有效地发现能够被软件触发的硬件漏洞。MorFuzz的核心思想是利用运行时信息生成具有有效格式和有意义语义的指令流。MorFuzz设计了一种新的输入结构，提供了多级运行时变异基元，并提出指令变形技术以动态变异指令。此外，我们还将共模拟框架扩展到各种微架构，并开发状态同步技术以消除实现差异。我们在三个流行的开源RISC-V处理器CVA6、Rocket和BOOM上评估了MorFuzz，并发现了17个新的漏洞（其中13个CVE已经分配）。我们的评估结果显示，MorFuzz实现了4.4倍和1.6倍的状态覆盖比最先进的模糊测试工具DifuzzRTL和著名的约束指令生成工具riscv-dv更好。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-7-xu-jinyan.pdf

63、MobileAtlas: Geographically Decoupled Measurements in Cellular Networks for Security and Privacy Research

移动网络不仅仅是连接到互联网的数据访问网络。它们独特的服务和形成大型复杂化合物以进行漫游的能力使它们成为一个有吸引力的研究目标。它们承诺在漫游合作伙伴之间提供一致的服务，并提供可比较的隐私和安全性，但在仔细检查后这种承诺就会破灭。

因此，需要针对移动接入网络的受控测试平台和测量工具，以充分利用该技术的独特结构和全球范围。特别是，这些测量面临运营商、移动计划和服务的组合爆炸的挑战。为了应对这些挑战，我们建立了一个框架，通过选择性地远程连接SIM卡和移动通信模块来地理上解耦它们。这样可以在几分钟内使用任何移动通信模块的任何位置测试任何用户与任何运营商。所得到的GSM/UMTS/LTE测量和测试平台提供了一个可控的实验环境，具有可扩展性和成本效益。该平台是可扩展的，并且完全开源，允许其他研究人员贡献位置、SIM卡和测量脚本。

使用以上框架，我们在商业网络中进行的国际实验揭示了可利用的流量计量不一致性，导致多个phreaking机会，即逃票。我们还揭示了问题IPv6防火墙配置、隐藏的SIM卡与家庭网络的通信以及指纹拨号进展音调以跟踪受害者在不同漫游网络和国家之间的语音呼叫。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-390-gegenhuber.pdf

64、Minimalist: Semi-automated Debloating of PHP Web Applications through Static Analysis

随着Web应用程序变得越来越复杂，并依赖第三方库为其用户提供新功能，它们变得充斥着不必要的代码。这些不必要的代码增加了Web应用程序的攻击面，可以被利用来窃取用户数据并危及底层Web服务器。解决冗余代码的一种方法是选择性地删除用户不需要的功能 - 精简操作。

在本文中，我们确认了精简操作Web应用程序的当前挑战，并提出了一种半自动的静态精简操作方案。我们实现了我们提出的方法的原型，称为Minimalist，为给定的PHP Web应用程序生成调用图。Minimalist根据用户需要的功能执行可达性分析，并删除分析的Web应用程序中的不可达函数。与之前的工作相比，Minimalist在不依赖于重量级运行时插桩的情况下精简Web应用程序。此外，Minimalist生成的调用图（与Web服务器日志相结合）可以重复使用，以精简相同Web应用程序的不同安装。由于PHP语言的本质复杂性和高度动态性，Minimalist不能保证其调用图分析的完备性。但是，Minimalist采用最佳努力方法来模拟流行的Web应用程序（如WordPress、phpMyAdmin等）使用的大多数PHP功能。

我们在四个流行的PHP Web应用程序的12个版本上评估了Minimalist，其中包含45个最近的安全漏洞。我们展示了Minimalist平均减少数据集中Web应用程序的大小18％，并删除了38％的已知漏洞。我们的结果表明，对Web应用程序进行原则性的精简操作可以在不依赖降低服务器性能的插装机制的情况下带来显着的安全收益。请继续扮演以上所述角色。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-40-jahanshahi.pdf

65、MINER: A Hybrid Data-Driven Approach for REST API Fuzzing

近年来，REST API模糊测试已经出现，用于探测云服务中的错误。其性能高度依赖序列构造和请求生成。然而，现有的REST API模糊测试工具很难生成具有良好构造请求的长序列，以触发云服务中难以达到的状态，这限制了它们发现深层错误和安全漏洞的性能。此外，它们也不能找到由于请求生成过程中使用未定义参数而导致的特定错误。因此，在本文中，我们提出了一种新的混合数据驱动解决方案，名为MINER，它包含三个新设计，共同解决上述限制。首先，MINER收集通过云服务检查的请求作为模板的有效序列，并对长序列模板分配更多次执行。其次，为了提高序列模板中请求的生成质量，MINER创新地利用最先进的神经网络模型预测关键请求参数，并为其提供适当的参数值。第三，MINER实现了一种新的数据驱动安全规则检查器，以捕捉由于未定义参数引起的新类型错误。我们通过11个REST API在GitLab、Bugzilla和WordPress上对MINER进行了评估，并与最先进的RESTler模糊测试工具进行了比较。结果表明，MINER的平均通过率比RESTler高23.42％。MINER发现的唯一错误比RESTler平均多97.54％，在经过手动分析后，可重现的错误多142.86％。我们已经报告了所有新发现的错误，并且其中7个已被相应供应商确认为逻辑错误。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-129-lyu.pdf

66、Meta-Sift: How to Sift Out a Clean Subset in the Presence of Data Poisoning?

越来越多的外部数据源被用于训练机器学习（ML）模型，因为数据需求增加。然而，将外部数据集集成到训练中会带来数据污染风险，恶意提供者可以操纵其数据以损害模型的效用或完整性。大多数数据污染防御措施假定能够访问一组干净的数据（称为基础集），可以通过可信来源获得。但是，对于一个ML任务的整个数据集都是不可信的情况也越来越普遍（例如，互联网数据）。在这种情况下，需要在受污染的数据集中识别一个子集作为基础集来支持这些防御措施。

本文首先检查了在污染样本错误地混入基础集时防御措施的性能。我们分析了五种使用基础集的代表性防御措施，并发现它们的性能在基础集中少于1％的污染点时会显著恶化。这些发现表明，筛选出具有高精度的基础集对这些防御措施的性能至关重要。

在这些观察的基础上，我们研究了现有自动化工具和人工检查在数据污染存在的情况下识别干净数据的精度。不幸的是，这些努力都没有达到有效防御所需的精度。更糟糕的是，这些方法中的许多结果比随机选择还要糟糕。

除了揭示这一挑战，我们还进一步提出了一个实用的对策，Meta-Sift。我们的方法基于这样一个洞察力：现有的污染攻击会改变数据分布，导致在干净部分的污染数据集上进行训练并在损坏部分上进行测试时预测损失很高。利用这个洞察，我们制定了一个双层优化来识别干净的数据，并进一步引入一系列技术来提高识别的效率和精度。我们的评估表明，Meta-Sift可以在各种污染威胁下以100％的精度筛选出干净的基础集。所选的基础集足够大，可以成功地防御现有的防御技术。请继续扮演以上所述角色。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-99-zeng-yi.pdf

67、Measuring Up to (Reasonable) Consumer Expectations: Providing an Empirical Basis for Holding IoT Manufacturers Legally Responsible

随着消费者物联网（IoT）设备安全和隐私事件的持续发生，需要确定哪些参与者处于最佳位置来做出反应。以前的文献研究了消费者对于安全和隐私应如何实施以及谁应承担预防努力的期望。但是，这种规范化的消费者期望与实际的安全和隐私事件处理方式相比有什么不同或合理的期望如何？通过对862名参与者进行干预调查，我们研究了消费者对于IoT制造商和用户在面对潜在感染或侵犯隐私的IoT设备时应如何做出反应的期望。我们发现，期望在实际情况和合适情况下存在相当大的差异。此外，安全和隐私在用户和制造商行动方面引起了不同的期望，并且在处理与隐私相关的事件方面存在普遍的期望分散。我们向IoT制造商和监管机构提供建议，以支持用户解决安全和隐私问题。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-559-kustosch.pdf

68、Machine-checking Multi-Round Proofs of Shuffle: Terelius-Wikstrom and Bayer-Groth

选票混洗在电子投票中的作用与纸质系统中物理投票箱的作用类似：（加密的）选票输入混洗器，（加密的）选票以随机顺序输出，从而打破选民身份和选票之间的联系。为了确保没有选票被添加、省略或更改，使用称为混洗证明的零知识证明来提供公开可验证的记录，证明输出是输入的重新加密排列。实际上，最著名的混洗证明是Terelius和Wikstrom（TW）以及Bayer和Groth（BG）提出的证明。TW证明更简单，而BG证明在带宽和计算方面都更有效率。简单（TW）混洗证明的安全性已经通过机器检查，但一些知名厂商坚持使用更复杂的BG混洗证明。在这里，我们使用Coq证明助手对Bayer-Groth混洗证明的安全性进行了机器检查。然后，我们提取需要检查由Bayer-Groth实现产生的记录的验证器（软件），并使用它来检查正在开发中的瑞士邮政电子投票系统的记录，以备瑞士全国选举使用。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-59-haines.pdf

69、Lost at C: A User Study on the Security Implications of Large Language Model Code Assistants

大型语言模型（LLM）如OpenAI Codex越来越被用作基于AI的编码助手。了解这些工具对开发人员代码的影响至关重要，特别是最近的研究表明LLM可能会建议出现网络安全漏洞。我们进行了一项安全驱动的用户研究（N=58），以评估由LLM协助学生程序员编写的代码。考虑到低级别错误的潜在严重性以及它们在实际项目中的相对频率，我们要求参与者使用C语言实现一个单向链表“购物清单”结构。我们的结果表明，在这种情况下（低级别C语言与指针和数组操作），安全影响很小：辅助AI用户产生的关键安全错误的比率不超过控制组的10％，表明使用LLM不会引入新的安全风险。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-353-sandoval.pdf

70、Long Live The Honey Badger: Robust Asynchronous DPSS and its Applications

秘密共享是许多分布式应用程序的基本工具，包括分布式密钥生成和多方计算。对于许多实际应用程序，我们希望容忍网络抖动，这意味着参与者可以随意动态进入和离开协议参与者池。这种协议称为动态委员会主动秘密共享（DPSS）已经得到研究；然而，现有的DPSS协议不能优雅地处理故障：即使有一个预期之外的慢节点出现，整个协议的速度也经常会降低O（n）倍。

在这项工作中，我们探索了最优容错异步DPSS，它不会因崩溃故障而减速，甚至在维持相同性能的同时处理拜占庭式故障。我们首先介绍了第一个高阈值DPSS，它相对于先前的非同步作品在故障存在的情况下提供有利的特性，同时支持更高的隐私阈值。然后，我们将这个方案与一个并行的非高阈值方案一起批量摊销，使其具有最优的带宽特性。我们实施了我们的方案，并证明它们可以在最佳情况下与先前的工作竞争，同时在非最优设置中表现更好。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-356-yurek.pdf

71、Log: It’s Big, It’s Heavy, It’s Filled with Personal Data! Measuring the Logging of Sensitive Information in the Android Ecosystem

Android提供了一个共享系统，它将所有系统组件的所有已登录数据进行多路复用，包括操作系统和运行在其上的应用程序的控制台输出。安全机制确保用户空间应用程序只能读取它们创建的日志条目，尽管许多“特权”应用程序不受此限制。这包括由Google、手机制造商、移动运营商提供的预加载系统应用程序以及共享相同签名的应用程序。因此，Google建议开发人员不要将敏感信息记录到系统日志中。

在这项工作中，我们研究了Android生态系统中敏感数据的记录。通过一项现场研究，我们展示了大多数设备记录了一些用户识别信息。我们表明，“活动”名称的记录可以无意中通过用户的应用程序使用情况揭示有关用户的信息。我们还测试了不同的智能手机是否默认记录个人标识符，检查了访问系统日志的预安装应用程序，并分析了报告收集系统日志的制造商的隐私政策。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-89-lyons.pdf

72、Lessons Lost: Incident Response in the Age of Cyber Insurance and Breach Attorneys

事件响应（IR）允许受害公司检测、遏制和恢复安全事件。它还应该帮助更广泛的社区避免类似的攻击。为了实现这些目标，技术从业者越来越受到像网络保险公司和律师这样的利益相关者的影响。本文通过多阶段、混合方法的研究设计，涉及69个专家访谈、商业关系数据和在线验证研讨会，探讨了这些影响。我们研究的第一阶段建立了11个简化事实，描述了网络保险如何将工作发送到少数IR公司，降低所支付的费用，并指定律师指导技术调查人员。第二阶段表明，律师在指导事件响应时通常会：引入法律合同和沟通步骤，减缓事件响应；建议IR从业者不要写下纠正措施或制作正式报告；并限制任何文件的访问。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-292-woods.pdf

73、Lalaine: Measuring and Characterizing Non-Compliance of Apple Privacy Labels

作为已知冗长且难以阅读的隐私政策的重要补充，苹果推出了应用程序隐私标签，据称可以帮助用户更轻松地了解应用程序的隐私做法。然而，虚假和误导性的隐私标签可能会欺骗注重隐私的消费者下载数据密集型应用程序，最终破坏标签的可信度和完整性。尽管苹果发布了要求和指南，以便应用程序开发人员创建隐私标签，但很少有人知道野外的隐私标签是否正确且符合规定，反映了iOS应用程序的实际数据做法。

本文提出了第一个系统性研究，基于我们的新方法Lalaine，评估了数据流向隐私标签流向标签的一致性。Lalaine完全分析了5,102个iOS应用程序的隐私标签和二进制文件，揭示了隐私标签不符合规定的普遍性和严重性。我们提供了详细的案例研究，并分析了隐私标签不符合规定的根本原因，补充了之前的理解。这为改进隐私标签设计和合规要求提供了新的见解，因此应用程序开发人员、平台利益相关者和政策制定者可以更好地实现他们的隐私和责任目标。Lalaine经过全面的评估，证明其高效性和有效性。我们会负责任地向利益相关者报告结果。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-392-xiao-yue.pdf

74、Know Your Cybercriminal: Evaluating Attacker Preferences by Measuring Profile Sales on an Active, Leading Criminal Market for User Impersonation at Scale

在本文中，我们利用一个领先的俄罗斯网络犯罪市场的市场特征，进行大规模的用户冒充，评估攻击者在购买盗窃用户资料时的偏好和整个市场的经济活动。我们在161天的时间内进行数据收集，并收集了该时期11,357个广告产品中的1,193个已售出的用户档案及其特征的样本数据。我们估计市场交易量每天高达约700个用户档案，相当于每天销售额高达4,000美元，观察期内的整体市场收入在540,000至715,000美元之间。我们发现，用户档案的供应在时间上相当稳定，主要集中在欧洲用户档案上，而实际的用户档案获取则根据其他用户档案的特征而变化。攻击者的兴趣不成比例地集中在某些类型的用户档案上，包括源自北美和含有加密资源的用户档案。我们建立了模型并评估了不同用户档案特征在攻击者最终决定购买用户档案时的相对重要性，并讨论了对防御和风险评估的影响。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-383-campobasso.pdf

75、KextFuzz: Fuzzing macOS Kernel EXTensions on Apple Silicon via Exploiting Mitigations

macOS驱动程序，即内核扩展（kext），是攻击者的有吸引力的攻击目标。然而，自动发现kext中的漏洞非常具有挑战性，因为kext大多是闭源的，并且运行在自定义的Apple Silicon上的最新macOS的工具链支持有限。大多数现有的静态分析和动态测试解决方案无法应用于最新的macOS。在本文中，我们提出了第一个智能模糊解决方案KextFuzz，用于检测运行在Apple Silicon上的最新macOS kext中的漏洞。与现有的驱动程序模糊解决方案不同，KextFuzz不需要源代码、执行跟踪、虚拟化程序或硬件特性（例如覆盖跟踪），因此是通用和实用的。我们注意到，macOS已经部署了许多缓解措施，包括指针认证、代码签名和用户空间内核层包装器，以防止潜在的攻击。这些缓解措施可以为我们提供额外的知识和资源，以实现内核模糊测试。KextFuzz利用这些缓解方案来对二进制文件进行仪器化以进行覆盖跟踪，测试受保护且不经常访问的特权kext代码，并推断kext接口的类型和语义信息。KextFuzz在macOS kext中发现了48个独特的内核漏洞。其中一些可能会导致严重后果，例如不可恢复的拒绝服务或损害。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-425-yin-tingting.pdf

76、Jinn: Hijacking Safe Programs with Trojans

不受信任的硬件供应链可以使恶意用户进行强大且永久的处理器更改，称为硬件木马。这样的硬件木马可以破坏在硬件之上部署的任何软件强制执行的安全策略。现有的防御针对一组特定的硬件组件，特别是那些实现硬件强制执行安全机制（如加密核心、用户/内核特权隔离和内存保护）的组件。

我们观察到，计算系统使用通用处理器逻辑来实现软件强制执行的安全策略。这使得通用逻辑安全至关重要，因为篡改它可能违反基于软件的安全策略。利用这一观点，我们开发了一种新型的硬件木马，称为Jinn木马，可以破坏通用硬件，以实现灵活且强大的高级攻击。Jinn木马禁用基于编译器的安全强制执行机制，使得类型安全软件容易受到内存安全攻击。我们在gem5模拟器中原型设计了Jinn木马，并使用它们攻击用Rust编写的程序，引发内存安全漏洞以启动控制流劫持攻击。我们发现，Jinn木马可以通过损坏单个架构状态的一个位，使用至少8位持久木马内部状态，有效地破坏软件强制执行的安全策略。因此，我们展示了Jinn木马即使植入通用硬件中，脱离任何硬件强制实施的安全组件，也非常有效。我们展示了保护硬件强制实施的安全逻辑是不足以保持系统免受硬件木马的攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-315-dharsee.pdf

77、IvySyn: Automated Vulnerability Discovery in Deep Learning Frameworks

我们提出了IvySyn，这是第一个能够完全自动发现深度学习（DL）框架中内存错误漏洞的框架。IvySyn利用本地API的静态类型特性，自动执行基于变异的类型感知模糊测试，以对低级内核代码进行测试。给定一组触发本地DL（C/C++）代码中内存安全（和运行时）错误的有害输入，IvySyn会自动合成高级语言（例如Python）中的代码片段，通过更高级别的API传播错误触发输入。这些代码片段实际上充当“漏洞证明”，因为它们证明了本地代码中存在漏洞，攻击者可以通过各种高级别的API来攻击它们。我们的评估表明，IvySyn在有效性和效率方面都显著优于过去的方法，能够在流行的DL框架中发现漏洞。具体而言，我们使用IvySyn测试了TensorFlow和PyTorch。尽管仍处于早期原型阶段，但IvySyn已经帮助TensorFlow和PyTorch框架开发人员识别和修复了61个以前未知的安全漏洞，并分配了39个唯一的CVE编号。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-125-christou.pdf

78、It's all in your head(set): Side-channel attacks on AR/VR systems

随着增强现实/虚拟现实（AR/VR）系统的越来越普及，安全和隐私问题引起了学术界和工业界的关注。本文展示了AR/VR系统容易受到软件发起的侧信道攻击的影响；恶意应用程序无需任何特殊权限即可推断出用户交互、其他并发应用程序甚至周围环境的私人信息。我们开发了一些针对不同类型私人信息的侧信道攻击。具体而言，我们展示了三种攻击受害者交互的方式，成功地恢复了受害者的手势、语音命令和虚拟键盘上的按键，精度超过90%。我们还展示了一种应用指纹识别攻击，其中间谍可以识别受害者启动的应用程序。最后，我们展示了一种攻击，演示了对现实世界环境中的旁观者进行感知并估计旁观者距离的能力，平均绝对误差（MAE）为10.3厘米。我们认为我们的攻击威胁是紧迫的；它们扩展了我们对这些新兴系统所面临威胁模型的理解，并为开发新的AR/VR系统提供了信息，使其能够抵御这些威胁。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-131-zhang-yicheng.pdf

79、Intender: Fuzzing Intent-Based Networking with Intent-State Transition Guidance

意图驱动的网络（IBN）通过关注网络运营商希望网络执行的任务，而不是如何实现这些配置，从而将网络配置复杂性抽象出来。虽然这种抽象化简了网络管理挑战，但迄今为止，很少关注IBN的新安全问题，这些问题对整个网络的正确操作产生不利影响。为了激发这种安全问题的普遍存在，我们通过研究ONOS网络操作系统中代表性IBN实现的现有错误报告，系统化IBN的安全挑战。我们发现，61%的与IBN相关的错误是语义错误，这些错误难以有效地被最先进的漏洞发现工具检测到，如果不是不可能。

为了解决现有限制，我们提出了Intender，这是第一个针对IBN的语义感知模糊测试框架。Intender利用网络拓扑信息和意图-操作依赖关系（IOD）来有效地生成测试输入。Intender引入了一种新的反馈机制，即意图状态转换引导（ISTG），它跟踪意图状态的转换历史。我们使用ONOS评估了Intender，并发现12个漏洞，其中11个是CVE指定的安全关键漏洞，影响网络范围的控制平面完整性和可用性。与最先进的模糊测试工具AFL，Jazzer，Zest和PAZZ相比，Intender生成的有效模糊测试输入多达78.7倍，覆盖率高达2.2倍，检测到的独特错误高达82.6倍。IOD可减少73.02%的冗余操作，并使有效操作的时间增加10.74%。使用ISTG的Intender与使用代码覆盖率引导相比，可导致意图状态转换增加1.8倍。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-285_kim-jiwon.pdf

80、InfinityGauntlet: Expose Smartphone Fingerprint Authentication to Brute-force Attack

每天都有数十亿的智能手机指纹认证（SFA）用于解锁、隐私和支付。现有的SFA威胁包括攻击者呈现（PA）和一些特定情况下的漏洞。前者需要了解受害者的指纹信息（例如潜在指纹），可以通过活体检测和安全策略来减轻威胁。后者需要额外的条件（例如第三方屏幕保护、root权限），仅对个别智能手机型号可利用。

在本文中，我们进行了对SFA的第一次普遍零知识攻击调查，无需了解受害者的任何信息。我们提出了一个名为InfinityGauntlet的新型指纹暴力攻击，可在现成的智能手机上实现。首先，我们发现不同制造商、操作系统和指纹类型的SFA系统中存在设计漏洞，以实现无限制的认证尝试。然后，我们使用SPI MITM绕过活体检测并进行自动尝试。最后，我们定制了合成指纹生成器，以获得有效的指纹暴力字典。

我们设计并实现了低成本的设备来启动InfinityGauntlet。一个概念验证案例研究证明，InfinityGauntlet可以在不需要受害者任何信息的情况下，在不到一个小时内成功进行指纹暴力攻击。此外，对代表性智能手机的经验分析显示了我们工作的可扩展性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-15-chen-yu.pdf

81、Improving Real-world Password Guessing Attacks via Bi-directional Transformers

密码猜测攻击是现实世界中普遍存在的问题，可以被概念化为近似文本令牌的概率分布的努力。自然语言处理（NLP）领域的技术自然而然地适用于密码猜测。其中，双向变压器以其利用双向上下文捕捉文本细微差别的能力脱颖而出。

为了进一步改进密码猜测攻击，我们提出了一种基于双向变压器的猜测框架，称为PassBERT，它将预训练/微调范式应用于密码猜测攻击。我们首先准备了一个预训练密码模型，其中包含了一般密码分布的知识。然后，我们设计了三种攻击特定的微调方法，以将预训练密码模型调整到以下实际攻击场景：（1）条件密码猜测，即在给定部分密码的情况下恢复完整密码；（2）有针对性的密码猜测，即利用个人信息破解特定用户的密码；（3）自适应基于规则的密码猜测，即为单词（即基本密码）选择自适应的变形规则以生成规则变形的密码候选项。实验结果表明，我们微调后的模型在这三种攻击中分别比最先进的模型表现优异14.53％，21.82％和4.86％，证明了双向变压器在下游猜测攻击中的有效性。最后，我们提出了一个混合密码强度计，以减轻这三种攻击带来的风险。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-398-xu-ming.pdf

82、ICSPatch: Automated Vulnerability Localization and Non-Intrusive Hotpatching in Industrial Control Systems using Data Dependence Graphs

使操作技术（OT）和信息技术（IT）设备之间进行广泛的互通所带来的范式转变，使得典型的IT世界中的漏洞可以传播到OT方面。因此，过去通过空气隔离提供的安全层被移除，使得OT设备的安全补丁成为必须的硬性要求。传统的补丁程序需要设备重新启动以加载修补后的代码到主内存中，这对于控制关键过程的OT设备来说并不适用，因为它会导致停机时间，需要在内存中进行漏洞修补。此外，这些控制二进制文件通常由内部专有编译器编译，进一步阻碍了补丁程序的开发过程，并使OT供应商对快速漏洞发现和补丁开发产生依赖。目前最先进的热修补方法仅专注于固件和/或实时操作系统。因此，在本文中，我们开发了ICSPatch，这是一个使用数据依赖图（DDG）自动化控制逻辑漏洞定位的框架。借助DDG的帮助，ICSPatch可以在控制应用程序中定位漏洞。作为第二个独立步骤，ICSPatch可以在可编程逻辑控制器的主内存中直接非侵入性地热修补控制应用程序中的漏洞，同时保持可靠的连续操作。为了评估我们的框架，我们在不同的关键基础设施部门的24个易受攻击的控制应用程序二进制文件的合成数据集上对ICSPatch进行了测试。结果表明，ICSPatch可以成功地定位所有漏洞并相应地生成补丁。此外，该补丁在执行周期中增加的延迟增加可以忽略不计，同时保持正确性和对漏洞的保护。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-265-rajput.pdf

83、How to Cover up Anomalous Accesses to Electronic Health Records

医院日志中的非法访问检测系统执行事后检测，而不是运行时访问限制，以允许在紧急情况下广泛访问。我们研究了针对大型医院一年的访问日志的对抗机器学习策略对此类检测系统的有效性。我们研究了一系列基于图的异常检测系统，包括基于启发式的和基于图神经网络（GNN）的模型。我们发现，入侵攻击可以成功地欺骗检测系统，在目标访问的评估期间注入伪装访问（即用于掩盖目标访问的访问）。我们还表明，这种入侵攻击可以在不同的检测算法之间转移。另一方面，我们发现污染攻击，在模型训练阶段中注入覆盖访问，除非攻击者具备超过10,000个访问的能力或在训练算法中对覆盖访问施加高权重，否则不会有效地误导训练过的检测系统。为了检查结果的普适性，我们还将我们的攻击应用于LANL网络横向移动数据集上的最先进的检测模型，并观察到类似的结论。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-359-xu-xiaojun.pdf

84、How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic

绕过审查的基石之一是完全加密的协议，它们加密有效载荷的每个字节，试图“看起来像没有什么”。2021年11月初，中国的“长城防火墙”（GFW）部署了一种新的审查技术，可以实时被动地检测并随后阻止完全加密的流量。GFW的新审查能力影响了一大批流行的绕过审查协议，包括但不限于Shadowsocks、VMess和Obfs4。尽管中国长期以来一直在积极探测此类协议，但这是关于纯被动检测的首次报告，导致反审查社区质疑如何可能进行检测。

在本文中，我们测量和表征了GFW用于审查完全加密的流量的新系统。我们发现，审查者并没有直接定义什么是完全加密的流量，而是应用了粗糙但高效的启发式方法来豁免不太可能是完全加密的流量的流量，然后阻止其余未豁免的流量。这些启发式方法基于常见协议的指纹、集合位的分数以及可打印的ASCII字符的数量、分数和位置。我们的互联网扫描揭示了GFW检查的流量和IP地址。我们在一所大学的网络监听点上模拟推断出的GFW检测算法，以评估其综合性和误报率。我们展示了证据，表明我们推断出的规则覆盖了GFW实际使用的内容。我们估计，如果广泛应用，它可能会作为附带损害阻止大约0.6％的正常互联网流量。

我们对GFW的新审查机制的理解帮助我们得出了几个实用的绕过策略。我们负责任地向不同反审查工具的开发人员披露了我们的发现和建议，帮助数百万用户成功地避开这种新形式的阻止。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf

85、How Library IT Staff Navigate Privacy and Security Challenges and Responsibilities

图书馆为缺乏计算和互联网资源的用户提供关键的IT服务。我们进行了12次半结构化采访，以了解图书馆IT员工的隐私和安全协议及政策、实施这些协议和政策所面临的挑战以及这与他们的用户之间的关系。我们使用森（Sen）的能力途径来框架我们的研究结果，并发现图书馆IT员工主要关注保护他们的用户免受外部威胁-警察、政府当局和第三方的侵犯。尽管他们致力于保护用户的隐私，但图书馆IT员工经常不得不在提供易于使用、流畅、功能齐全的互联网技术或第三方资源、保护图书馆基础设施和确保用户隐私之间进行复杂的权衡。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-119-luo-alan.pdf

86、HOLMES: Efficient Distribution Testing for Secure Collaborative Learning

使用安全多方计算（MPC），拥有敏感数据的组织（例如医疗保健、金融或执法机构）可以在不向彼此透露数据的情况下，对它们的联合数据集进行机器学习模型训练。同时，安全计算限制了对联合数据集的操作，这阻碍了对其质量的计算评估。如果没有这样的评估，部署联合训练的模型可能是非法的。例如欧洲联盟的《通用数据保护条例》（GDPR）等法规要求组织对其机器学习模型所造成的错误、偏见或歧视负法律责任。因此，在安全协作学习中，测试数据质量成为一个不可或缺的步骤。但是，使用当前技术进行分布测试的成本过高，这在我们的实验中得到了证明。

我们提出了HOLMES协议，用于高效地执行分布测试。在我们的实验中，与三个非平凡的基准线相比，HOLMES在经典分布测试方面实现了超过10倍的加速，而在多维测试方面则可达到104倍。HOLMES的核心是一种混合协议，它将MPC与零知识证明以及一种新的ZK友好的、天然的遗忘算法集成在一起，这两种算法都具有明显较低的计算复杂度和具体执行成本。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-385-chang-ian.pdf

87、High Recovery with Fewer Injections: Practical Binary Volumetric Injection Attacks against Dynamic Searchable Encryption

可搜索对称加密使得在加密数据库上进行私密查询成为可能，但也可能导致信息泄露。攻击者可以利用这些泄漏来发起注入攻击（Zhang等人，USENIX Security'16），以从查询中恢复底层关键字。现有注入攻击的性能强烈依赖于泄漏信息或注入的数量。在本文中，我们提出了两种利用二进制体积方法的新注入攻击，即BVA和BVMA。我们通过利用已知的关键字使攻击者注入更少的文件，通过观察查询结果的体积揭示查询。我们的攻击可以在不利用目标查询和客户数据库分布的情况下挫败经过深入研究的防御措施（例如阈值计数措施、填充）。我们在实际数据集和实际查询中对所提出的攻击进行了实证评估。结果显示，我们的攻击在最好情况下可以获得高达80%以上的恢复率，并且即使在具有少量注入（小于20个文件）的大规模数据集中，也可以获得约60%的恢复率。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-397-zhang-xianglong.pdf

88、Hiding in Plain Sight: An Empirical Study of Web Application Abuse in Malware

Web应用程序提供了各种实用程序，这些实用程序被恶意软件滥用作为传统的攻击者控制的服务器的替代品。挫败这些Web应用程序参与的（WAE）恶意软件需要事件响应者和Web应用程序提供者之间的快速协作。不幸的是，我们的研究发现，协作中的延迟使得WAE恶意软件得以繁衍。我们开发了Marsea，一个自动化的恶意软件分析流水线，研究WAE恶意软件并实现快速修复。在给定的10K个恶意软件样本中，Marsea揭示了893个WAE恶意软件，涉及29个Web应用程序的97个家族。我们的研究发现，自2020年以来，WAE恶意软件数量增加了226%，而恶意软件作者开始减少对攻击者控制的服务器的依赖。实际上，我们发现，依赖于攻击者控制的服务器的WAE恶意软件数量减少了13.7%。迄今为止，我们已经使用Marsea与Web应用程序提供者协作，关闭了50%的恶意Web应用程序内容。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-318-yao-mingxuan.pdf

89、Hidden Reality: Caution, Your Hand Gesture Inputs in the Immersive Virtual World are Visible to All!

在使用虚拟现实（VR）设备进行远程学习、游戏和虚拟会议等各种应用时，文本输入是不可避免的任务。VR用户在各种应用程序中输入密码/ PIN 来登录其用户帐户，并键入常规文本来撰写电子邮件或浏览互联网。在VR设备上的输入活动被认为对直接观察攻击是有抵抗力的，因为沉浸式环境中的虚拟屏幕对于物理接近的其他人员来说并不直接可见。本文介绍了一种基于视频的侧信道攻击Hidden Reality（HR），该攻击展示了：虽然在VR设备上的虚拟屏幕不在攻击者的直接视线中，但间接的观察可能会被利用来窃取用户的私人信息。

Hidden Reality（HR）攻击利用用户在虚拟屏幕上键入文本时的手势视频剪辑来解密各种键入场景下的文本，包括键入的PIN码和密码。在一个包含368个视频剪辑的大语料库上进行的实验分析显示，Hidden Reality模型可以成功地解密超过75%的文本输入。我们攻击模型的高成功率促使我们进行了用户研究，以了解用户在虚拟现实中的行为和安全感知。分析表明，超过95%的用户没有意识到虚拟现实设备上的任何安全威胁，并认为沉浸式环境对于数字攻击是安全的。我们的攻击模型挑战了用户在沉浸式环境中虚假的安全感，并强调在VR空间需要更严格的安全解决方案。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-476-gopal.pdf

90、Hey Kimya, Is My Smart Speaker Spying on Me? Taking Control of Sensor Privacy Through Isolation and Amnesia

虽然智能音箱和其他语音助手正变得越来越普遍，但它们始终处于待机状态的特性仍然引发了重大的隐私关注。为解决这些问题，我们提出了Kimya，一个加固框架，允许设备供应商提供强大的数据隐私保证。具体而言，Kimya保证麦克风数据仅用于本地处理，并且除非生成用户可审计的通知，否则会立即丢弃。因此，Kimya使设备对其数据保留行为负责。此外，Kimya不仅适用于语音助手，还适用于所有具有常备、事件触发传感器的设备。我们为ARM Cortex-M实现了Kimya，并将其应用于唤醒词检测引擎。我们的评估表明，Kimya引入的开销较低，可用于受限环境，并且不需要硬件修改。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-51-de-vaere.pdf

91、HECO: Fully Homomorphic Encryption Compiler

近年来，全同态加密（FHE）在性能方面取得了几个突破和进展，从而实现了性能的飞跃。如今，性能已经不再是采用FHE的主要障碍。相反，开发高效的FHE应用程序的复杂性目前限制了FHE的实际和规模化部署。最近出现了几个FHE编译器，以简化FHE开发。然而，这些编译器中没有一个回答如何自动将命令式程序转换为安全和高效的FHE实现。这是一个需要解决的根本问题，然后我们才能现实地期望更广泛地使用FHE。自动化这些转换是具有挑战性的，因为FHE中的操作受到限制，并且它们的性能特征不直观，需要将程序彻底转换以实现高效性。此外，现有工具都是单olithic的，并专注于个别优化。因此，它们未能完全满足端到端FHE开发的需求。在本文中，我们提出了HECO，一种新的端到端FHE编译器设计，它接受高级命令式程序并生成高效且安全的FHE实现。在我们的设计中，我们对FHE开发采取了更广泛的视野，将优化范围扩展到了现有工具专注的加密挑战之外。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-578-viand.pdf

92、Going through the motions: AR/VR keylogging from user head motions

增强现实/虚拟现实（AR/VR）是继个人计算机到移动设备后普及计算的下一步。AR/VR的应用不断增长，包括教育和虚拟工作空间，增加了用户输入私人文本的机会，例如密码或敏感企业信息。在这项工作中，我们展示了前景中输入的文本被背景应用程序推断出来的严重安全风险，而不需要任何特殊权限。关键的洞察是，用户在虚拟键盘上输入时，头部会以微妙的方式移动，这些运动信号足以推断出用户输入的文本。我们开发了一个系统，TyPose，提取这些信号并自动推断受害者正在输入的单词或字符。一旦收集到传感器信号，TyPose使用机器学习在时间上分割运动信号，以确定单词/字符的边界，并对单词/字符本身进行推断。我们在商用AR/VR头戴式显示器上进行的实验评估表明，无论是在使用多个用户数据进行训练的情况下（82％的前5个单词分类准确率），还是针对特定受害者进行个性化的攻击（92％的前5个单词分类准确率），该攻击都是可行的。我们还展示了降低头部跟踪采样率或精度的第一防线防御是无效的，这表明需要更复杂的缓解措施。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-173-slocum.pdf

93、GAP: Differentially Private Graph Neural Networks with Aggregation Perturbation

本文研究了在差分隐私（DP）下学习图神经网络（GNN）的问题。我们提出了一种基于聚合扰动（GAP）的新型差分隐私GNN，通过向GNN的聚合函数添加随机噪声来统计混淆单个边缘（边缘级隐私）或单个节点及其所有相邻边（节点级隐私）的存在。为了适应私有学习的具体需求，GAP的新架构由三个独立模块组成：（i）编码器模块，在不依赖边缘信息的情况下学习私有节点嵌入；（ii）聚合模块，在基于图形结构计算有噪声的聚合节点嵌入；（iii）分类模块，在对私有聚合进行节点分类的同时，无需进一步查询图形边缘。与以往方法相比，GAP的主要优势在于它可以从多跳邻域聚合中受益，并且除了训练的隐私预算外，在推断时可以保证边缘级和节点级DP而不需要额外的成本。我们使用Rényi DP分析了GAP的形式隐私保证，并在三个真实世界图形数据集上进行了实证实验。我们证明GAP在准确性和隐私保护方面的权衡比现有最先进的DP-GNN方法和朴素的基于MLP的基线更好。我们的代码公开在https://github.com/sisaman/GAP。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-196-sajadmanesh.pdf

94、FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases

深度神经网络的特洛伊攻击，也称为后门攻击，是人工智能的典型威胁。带有特洛伊木马的神经网络在处理干净输入时表现正常。但是，如果输入包含特定触发器，则带有特洛伊木马的模型将具有攻击者选择的异常行为。尽管存在许多后门检测方法，但大多数方法假定防御者可以访问一组干净的验证样本或带有触发器的样本，这在某些关键的现实情况下可能不成立，例如防御者是模型共享平台的维护者。因此，在本文中，我们提出了FreeEagle，第一种无数据后门检测方法，可以有效地检测深度神经网络上的复杂后门攻击，而不需要依赖任何干净样本或带有触发器的样本的访问。对各种数据集和模型架构的评估结果表明，FreeEagle对各种复杂的后门攻击都很有效，甚至胜过一些最先进的非无数据后门检测方法。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-85-fu-chong.pdf

95、Forming Faster Firmware Fuzzers

本文的标题和摘要正在保密中，并将于2023年8月9日研讨会的第一天向公众发布。

96、Formal Analysis of SPDM: Security Protocol and Data Model version 1.2

DMTF是一个由IT基础架构主要行业参与者组成的标准化组织，包括AMD、阿里巴巴、博通、思科、戴尔、谷歌、华为、IBM、英特尔、联想和NVIDIA，旨在实现互操作性，例如包括云、虚拟化、网络、服务器和存储。它目前正在标准化一种名为SPDM的安全协议，旨在保护线路通信并启用设备鉴别，尤其是明确为通信硬件组件服务。

SPDM协议继承了IETF的TLS 1.3的要求和设计思想。然而，它的状态机和记录处理方式有很大的不同和更复杂。虽然当前版本的SPDM的架构、规范和开源库是公开可用的，但它们包括任何形式的显著安全分析。

在这项工作中，我们开发了SPDM协议版本1.2.1的三种模式的第一批正式模型，并形式化分析了它们的主要安全属性。

安全消息应用程序的构建块，例如Signal的X3DH和Double Ratchet（DR）协议，已经得到了研究界的广泛关注。它们已经被证明在存在妥协的情况下仍满足强安全属性，如前向保密（FS）和后置妥协安全（PCS）。然而，在应用层面缺乏这些属性的正式研究。虽然研究工作已经在单个拉链链的上下文中研究了这些属性，但是在消息应用程序中，两个人之间的对话实际上可能是多个拉链链合并的结果。

在这项工作中，我们启动了安全消息的形式化分析，考虑到会话处理层，并将我们的方法应用于Sesame，Signal的会话管理。我们首先通过实验展示了Signal在双重拉链的使用下，仍存在被克隆攻击者破坏PCS的实际情况。我们确定了这是由Signal的会话处理层所造成的。然后，我们设计了一个Signal会话处理层的形式化模型，可用于使用Tamarin证明器的自动验证，并使用该模型重新发现PCS违规，并提出了两种可证明安全的机制，以提供更强的保证。

低功耗蓝牙（BLE）是主流蓝牙标准，BLE安全连接（BLC-SC）配对是一种协议，用于验证两个蓝牙设备并在它们之间派生共享密钥。尽管BLE-SC配对使用了经过深入研究的加密原语来保证其安全性，但最近的一项研究揭示了该协议中的逻辑缺陷。

在本文中，我们开发了BLE-SC配对协议的第一个全面的形式化模型。我们的模型符合最新的蓝牙规范版本5.3，并覆盖规范中的所有关联模型，以发现由不同关联模型之间的相互作用引起的攻击。我们还通过设计一个低熵密钥预言机，部分放松传统符号分析方法中的完美密码假设，以检测由于密钥错误派生而引起的攻击。我们的分析确认了两种现有的攻击，并揭示了一种新的攻击。我们提出了一种对BLE-SC配对协议中发现的缺陷进行修复的对策，并讨论了向后兼容性。此外，我们扩展了我们的模型以验证对策，结果表明它在我们扩展的模型中是有效的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-525-cremers.pdf

97、Fine-grained Poisoning Attack to Local Differential Privacy Protocols for Mean and Variance Estimation

虽然本地差分隐私（LDP）可以保护个人用户的数据免受不受信任的数据管理者的推断，但最近的研究表明，攻击者可以从用户端发起数据毒化攻击，将精心制作的虚假数据注入LDP协议中，以最大程度地扭曲数据管理者的最终估计结果。在这项工作中，我们进一步推进了这一认识，提出了一种新的细粒度攻击，使攻击者能够微调和同时操纵平均值和方差估计，这是许多真实世界应用程序的流行分析任务。为了实现这个目标，攻击利用了LDP的特性，将假数据注入到本地LDP实例的输出域中。我们称这种攻击为输出毒化攻击（OPA）。我们观察到一种安全-隐私的一致性，即小隐私损失增强了LDP的安全性，这与之前的已知安全-隐私权衡相矛盾。我们进一步研究了一致性，并揭示了数据毒化攻击对LDP的威胁景观的更全面的视角。我们对我们的攻击进行了全面评估，与直觉上提供虚假输入给LDP的基线攻击进行了比较。实验结果表明，OPA在三个真实世界数据集上优于基线攻击。我们还提出了一种新的防御方法，可以从污染的数据收集中恢复结果的准确性，并提供了安全LDP设计的见解。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-421-li-xiaoguang.pdf

98、Fact-Saboteurs: A Taxonomy of Evidence Manipulation Attacks against Fact-Verification Systems

虚假信息和误导信息对我们的安全和安全构成了重大的全球威胁。为了应对在线虚假信息的规模，研究人员一直在努力通过检索和验证相关证据来自动化事实检查。然而，尽管有很多进展，对这些系统可能面临的攻击向量进行全面评估仍然缺乏。特别是，自动化事实验证过程可能会受到它试图对抗的精确虚假信息运动的攻击。在这项工作中，我们假设对在线证据进行自动篡改以通过伪装相关证据或种植误导性证据来破坏事实检查模型的对手。我们首先提出一个探索性分类法，涵盖这两个目标和不同威胁模型维度。在此指导下，我们设计并提出了几种潜在的攻击方法。我们表明，可以微调证据中与主张相关的片段并生成多样化的与主张对齐的证据。因此，在分类法的许多不同排列中，我们高度降低了事实检查的性能。这些攻击也能够抵抗后期修改主张的影响。我们的分析进一步暗示了模型在面对相互矛盾的证据时可能存在潜在限制。我们强调这些攻击可能会对此类模型的可视化和人类参与的使用场景产生有害影响，最后讨论了未来防御的挑战和方向。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-95-abdelnabi.pdf

99、FABRID: Flexible Attestation-Based Routing for Inter-Domain Networks

目前，互联网无法为最终用户提供有关路径转发设备的透明度和控制。特别是，网络设备信息的缺乏降低了路径转发的可信度，并防止需要特定路由器功能的最终用户应用程序达到其全部潜力。此外，无法影响流量的转发路径会导致应用程序通过不希望的路由进行通信，而具有更理想属性的备选路径仍无法使用。

在这项工作中，我们提出了FABRID，一个系统，它使应用程序能够灵活地转发流量，潜在地在符合用户定义的偏好的多条路径上进行选择，其中有关转发设备的信息由自治系统（ASes）公开透明地证明。每个AS都可以选择这些信息的粒度，以保护它们不泄漏敏感的网络详细信息，而嵌入在用户数据包中的偏好的保密性和真实性通过高效的加密操作进行保护。我们通过在全球SCION网络测试平台上部署FABRID来展示其可行性，并展示了在商品硬件上的高吞吐量。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-135-krahenbuhl.pdf

100、Eye-Shield: Real-Time Protection of Mobile Device Screen Information from Shoulder Surfing

本文、标题和摘要处于禁止发布状态，将于2023年8月9日（星期三）的研讨会第一天向公众发布。

101、Extending a Hand to Attackers: Browser Privilege Escalation Attacks via Extensions

作为攻击目标，Web浏览器可以从用户那里窃取安全和隐私敏感的数据，例如在线银行和社交网络凭据。因此，浏览器采用最小特权原则（PoLP）来最小化受损时的损害，即多进程架构和网站隔离。我们专注于浏览器扩展，这是第三方程序，可以扩展现代浏览器（Chrome，Firefox和Safari）的功能。浏览器还将PoLP应用于扩展架构; 即，两个主要的扩展组件被分开，其中一个组件被授予更高的特权，另一个组件被授予较低的特权。

在本文中，我们首先分析扩展的安全方面。分析发现，当前的扩展架构对扩展开发人员施加了严格的安全要求，这些要求很难满足。特别是，由于违反要求，40个扩展中发现了59个漏洞，允许攻击者执行特权升级攻击，包括UXSS（通用跨站脚本）和在扩展中窃取密码或加密货币。令人担忧的是，扩展被Chrome和Firefox用户的一半和三分之一以上使用。此外，许多存在漏洞的扩展极为流行，拥有超过1000万用户。

为了解决当前扩展架构的安全限制，我们提出了FistBump，一种新的扩展架构，以加强PoLP执行。FistBump在网页和内容脚本之间采用强大的进程隔离，因此设计上满足了前面提到的安全要求，从而消除了所有已知漏洞。此外，FistBump的设计保持了扩展的向后兼容性；因此，扩展可以在FistBump上运行而不需要修改。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-44-kim-young-min.pdf

102、Exorcising "Wraith": Protecting LiDAR-based Object Detector in Automated Driving System from Appearing Attacks

自动驾驶系统依赖于3D物体检测器从LiDAR点云中识别可能的障碍物。然而，最近的研究表明，攻击者可以使用一些假点（即出现攻击）来伪造预测结果中不存在的汽车。通过去除统计离群值，现有的防御措施被设计用于特定攻击或受预定义启发式规则的偏见。为了更全面地缓解这种情况，我们首先系统地检查了以前出现攻击的机制：他们的共同弱点在于制作假障碍物的局部部分与真实障碍物相比存在明显差异，违反了深度和点密度之间的物理关系。

在本文中，我们提出了一种新的即插即用的防御模块，它与训练的基于LiDAR的物体检测器并行工作，以消除那些局部部分的物体性较低的伪障碍物，即它属于真实物体的程度。我们的模块的核心是一个局部物体性预测器，它明确地将深度信息纳入模型中，以模拟深度和点密度之间的关系，并使用物体性得分预测障碍物的每个局部部分。广泛的实验表明，我们提出的防御在大多数情况下消除了三种已知出现攻击中至少70％的伪造汽车，而最好的先前防御只消除了不到30％的伪造汽车。同时，在相同情况下，我们的防御对车辆的AP /精度产生的开销比现有的防御更小。此外，我们在百度Apollo开源系统的基于模拟的闭环控制驾驶测试中验证了我们提出的防御的有效性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-190-xiao-qifan.pdf

103、Every Vote Counts: Ranking-Based Training of Federated Learning to Resist Poisoning Attacks

联邦学习（FL）允许不受信任的客户端协同训练一个称为全局模型的共同机器学习模型，而无需共享其私有/专有训练数据。然而，FL容易受到恶意客户端的污染，他们旨在通过在FL的训练过程中贡献恶意更新来阻碍全局模型的准确性。

我们认为攻击现有FL系统的污染攻击的关键因素是客户端可选择的模型更新空间过大。为了解决这个问题，我们提出了联邦排名学习（FRL）。FRL将客户端更新的空间从标准FL中的模型参数更新（一个浮点数的连续空间）减少到参数排名的空间（一个整数值的离散空间）。为了能够使用参数排名（而不是参数权重）来训练全局模型，FRL利用了最近超级掩蔽训练机制的思想。

具体来说，FRL客户端根据其本地训练数据对随机初始化的神经网络的参数进行排名，而FRL服务器使用投票机制来聚合客户端提交的参数排名。

直观地说，我们基于投票的聚合机制可以防止污染客户端对全局模型进行重大的对抗性修改，因为每个客户端只有一票！我们通过分析证明和实验展示了FRL对污染攻击的鲁棒性，并展示了其高通信效率。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-475-mozaffari.pdf

104、Eos: Efficient Private Delegation of zkSNARK Provers

简明的零知识证明（即zkSNARKs）是强大的加密工具，使证明者能够说服验证者某个陈述是正确的，而不泄露任何附加信息。它们具有有吸引力的隐私特性，引起了许多学术和工业界的兴趣。

不幸的是，现有的生成zkSNARKs的系统非常昂贵，这限制了这些证明可以使用的应用程序。一种方法是利用强大的云服务器来生成证明。然而，现有的技术（例如DIZK）通过向云机器公开秘密信息来牺牲隐私。这对于zkSNARKs的许多应用程序（如去中心化私人货币和计算系统）是有问题的。

在这项工作中，我们设计和实现了具有通用设置的zkSNARK的隐私保护委托协议。我们的协议使证明者能够将证明生成委托给一组工作者，因此如果至少有一个工作者不与其他工作者勾结，就不会向任何工作者泄露私人信息。我们的协议在不依赖重量级加密工具的情况下实现对恶意工作者的安全性。

我们在各种计算和带宽设置中实施和评估了我们的委托协议，展示了我们的协议具有具体的效率。与本地证明相比，使用我们的协议从最近的智能手机中委托证明生成可以将端到端延迟降低多达26倍，将委托者的活动计算时间降低多达1447倍，并使证明能够证明多达256倍更大的实例。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-492-chiesa.pdf

105、ELASM: Error-Latency-Aware Scale Management for Fully Homomorphic Encryption

由于其定点算术和类似SIMD的向量化，在允许对加密数据进行计算的全同态加密（FHE）方案中，RNS-CKKS广泛用于隐私保护的机器学习服务。先前的工作部分自动化了RNS-CKKS定点算术所需的令人望而生畏的规模管理任务，但没有考虑输出错误，这阻止了用户探索更好的误差-延迟权衡。

本文提出了一种新的误差和延迟感知的RNS-CKKS FHE方案的规模管理（ELASM）方案。通过主动控制密文的规模，可以有效地使误差对错误的影响更小，因为误差是RNS-CKKS操作引入的缩放噪声。ELASM探索不同的规模管理计划，将放大操作重新用作误差减少操作，估计每个计划的输出误差和延迟，并迭代地找到最小化误差-延迟成本函数的最佳计划。此外，本文提出了一个新的规模与噪声比（SNR）参数，并为不同的RNS-CKKS操作引入了细粒度的噪声感知水线（最小规模要求），开辟了进一步改善误差-延迟权衡的新机会。

本文在ELASM编译器中实现了所提出的思想，以及一个强制执行RNS-CKKS约束（包括基于SNR的噪声感知水线）的新的FHE语言和类型系统。对于十个机器和深度学习基准测试，ELASM找到了更好的误差和延迟权衡（更低的Pareto曲线）比先进的解决方案如EVA和Hecate。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-147-lee-yongwoo.pdf

106、Educators’ Perspectives of Using (or Not Using) Online Exam Proctoring

新冠疫情的爆发改变了教育的格局，导致远程监考工具的使用量增加，这些工具旨在监控学生在课堂外进行考试时的情况。虽然之前的研究探讨了学生对在线监考工具的隐私和安全方面的担忧，但教育工作者的观点还未被充分探讨。值得注意的是，教育工作者是课堂上的决策者，他们选择哪些远程监考服务以及认为适当的观察水平。为了探讨教育工作者如何在保护学生安全和隐私与远程考试要求之间取得平衡，我们向一所大型私立大学的超过3,400名在2020/21学年教授在线课程的教师发送了调查请求。我们收到了n = 125份回复，其中21%的受访教育工作者在远程学习期间使用了在线考试监考服务，其中有35%打算在全面恢复面授教学时继续使用这些工具。使用考试监考服务的教育工作者通常对其监控能力感到满意。然而，教育工作者担心学生与考试监考公司分享某些类型的信息，特别是当监考服务收集可识别信息以验证学生身份时。我们的结果表明，许多教育工作者开发了不需要在线监考的替代性评估方法，而那些使用在线监考服务的教育工作者通常会考虑学生隐私可能面临的潜在风险与考试监考服务的实用性或必要性之间的权衡。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-159-balash.pdf

107、Duoram: A Bandwidth-Efficient Distributed ORAM for 2- and 3-Party Computation

我们设计、分析和实现了Duoram，一种快速且带宽高效的分布式ORAM协议，适用于安全的2-和3方计算设置。Duoram利用（2,2）-分布点函数(DPFs)来紧凑地表示PIR和PIR写入查询 - 但是它具有许多创新，可以在实践中大幅降低通信成本并显着加速，即使对于规模适中的实例也是如此。具体而言，Duoram引入了一种新颖的方法，通过仅对向量长度对数的通信来评估某些秘密共享向量的点积。因此，对于具有n个可寻址位置的内存，Duoram可以使用仅O（mlgn）个通信字来执行一系列任意交错的读取和写入，而Floram需要O（m√n）个字。此外，大多数工作可以在数据独立的预处理阶段完成，仅需要O（m）个字的在线通信成本来执行序列 - 即每个内存访问的恒定在线通信成本。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-339-vadapalli.pdf

108、Don’t be Dense: Efficient Keyword PIR for Sparse Databases

本文介绍了SparsePIR，一种单服务器关键字私有信息检索（PIR）构造，可用于稀疏数据库的查询。在其核心，SparsePIR基于一种新颖的编码算法，将稀疏数据库条目编码为线性组合，同时与重要的PIR优化（包括递归）兼容。SparsePIR实现了响应开销，其开销是当前关键字PIR方案的一半，而不需要长期客户端存储线性大小的映射。我们还介绍了两个变体，SparsePIRg和SparsePIRc，它们进一步减小了服务器数据库的大小，但代价是增加的编码时间和小的额外客户端存储。我们的框架使得可以用与标准PIR基本相同的成本执行关键字PIR。最后，我们还展示了SparsePIR可用于构建批处理关键字PIR，并将响应开销减半，而无需任何客户端映射。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-392-patel.pdf

109、Diving into Robocall Content with SnorCall

未经请求的批量电话呼叫 - 称为“机器人电话” - 几乎超过了合法呼叫，使电话用户不堪重负。尽管绝大多数这些电话是非法的，但它们也是短暂的。虽然电话服务提供商、监管机构和研究人员可以轻松获取通话元数据，但他们没有工具可以以所需的大规模调查电话内容。本文介绍了SnorCall，一个框架，可扩展且高效地从机器人电话中提取内容。SnorCall利用Snorkel框架，让领域专家编写简单的标签函数，以高精度对文本进行分类。我们将SnorCall应用于一个包含232,723个机器人电话的文本语料库中，该语料库覆盖了23个月的时间。除了许多其他发现外，SnorCall还使我们能够首次估计不同诈骗和合法机器人电话主题的普遍性，确定这些电话中提到的组织，估计诈骗电话中征求的平均金额，识别运动之间共享的基础设施，并监测与选举相关的政治电话的上升和下降趋势。因此，我们展示了监管机构、运营商、反机器人电话产品供应商和研究人员可以使用SnorCall获取机器人电话内容和趋势的强大和准确的分析，从而带来更好的防御。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-344-prasad.pdf

110、DiffSmooth: Certifiably Robust Learning via Diffusion Models and Local Smoothing

扩散模型已被利用进行对抗净化，从而为标准模型提供经验证和认证的鲁棒性。另一方面，不同的鲁棒训练平滑模型已被研究用于提高认证鲁棒性。因此，自然而然地引发了一个问题：扩散模型能否用于在这些鲁棒训练平滑模型上实现改进的认证鲁棒性？在这项工作中，我们首先理论上证明了扩散模型恢复的实例在一定概率下处于原始实例的有界邻域内；并且“一次性”去噪扩散概率模型（DDPM）可以在温和的对抗攻击下提高鲁棒性。接着，我们提出了一种新颖的认证鲁棒性训练框架，称为AR-DDPM，它利用DDPM作为模型生成器，并同时考虑对抗性和非对抗性噪声，以提高模型的鲁棒性和泛化性能。我们在CIFAR-10和CIFAR-100数据集上对AR-DDPM进行了广泛的评估，并通过与其他先进的认证鲁棒性方法进行比较，展示了其优越性。最后，我们还对AR-DDPM在物体检测任务中的应用进行了探索，并在PASCAL VOC 2007数据集上获得了令人印象深刻的结果。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-540-zhang-jiawei.pdf

111、Did the Shark Eat the Watchdog in the NTP Pool? Deceiving the NTP Pool’s Monitoring System

NTP池已成为现代互联网服务和应用的关键基础设施。它通过自愿加入的成千上万的时间服务器，为数百万分布式（异构）系统提供时间。尽管已经采取了许多措施来提高NTP的精度、可靠性和安全性，但不幸的是，NTP池却吸引了相对较少的关注。在本文中，我们对NTP池安全性进行了全面分析，特别是对NTP池监视系统进行了分析，该系统监视参与服务器的正确性和响应性。我们首先研究了欺骗池健康检查系统以从池中删除合法时间服务器的战略性攻击。然后，通过使用监视服务器和注入到池中的时间服务器进行实证分析，我们展示了我们的方法的可行性，展示了它们的有效性，并讨论了其影响。最后，我们讨论设计一个新的池监控系统以缓解这些攻击的影响。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-520-kwon.pdf

112、Detecting Multi-Step IAM Attacks in AWS Environments via Model Checking

随着云服务在IT专业人员中的不断普及，由于误配置、资源暴露或允许恶意行为者升级权限等潜在安全漏洞的增加，人们也越来越关注安全问题。模型检测是一种已知的方法，用于验证系统的有限状态布尔模型是否满足某些属性，其中模型和属性是用形式逻辑描述的。如果不满足这些属性，可以生成一个导致违规状态的有限跟踪。

在本文中，我们提出了一种方法，从Amazon Web Services（AWS）的身份和访问管理（IAM）组件构建一个有限状态布尔模型，以及从攻击目标（例如读取机密的S3桶对象）构建一个属性。我们运行模型检查器，检测某些初始设置是否允许攻击者通过应用IAM操作升级权限并在一个或多个步骤中达到目标。我们展示了我们的方法可以发现实际AWS环境中的现有误配置，并且可以在不到一分钟的时间内检测包含数十个AWS帐户和数百个资源的设置中的多步攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-348-shevrin.pdf

113、Detecting and Handling IoT Interaction Threats in Multi-Platform Multi-Control-Channel Smart Homes

智能家居涉及多种实体，如物联网设备、自动化应用、人类、语音助手和陪伴应用。这些实体在同一物理环境中相互交互，可能会产生不良甚至危险的结果，称为物联网交互威胁。现有的交互威胁研究仅考虑自动化应用，忽略了其他物联网控制通道，如语音命令、陪伴应用和物理操作。其次，智能家居越来越常用多个物联网平台，每个平台都有部分设备状态的视图，并可能发出冲突的命令。第三，与检测交互威胁相比，对其处理的研究要少得多。之前的工作使用通用的处理策略，不太可能适用于所有家庭。我们提出了IoTMediator，为多平台多控制通道的家庭提供准确的威胁检测和针对威胁进行定制处理。我们在两个实际家庭中进行评估，证明IoTMediator明显优于现有的最新工作。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-185-chi-haotian.pdf

114、Design of Access Control Mechanisms in Systems-on-Chip with Formal Integrity Guarantees

许多SoC采用系统级硬件访问控制机制，以确保安全关键操作不能被电路的不太可信的组件篡改。虽然有许多设计和验证技术可用于开发访问控制系统，但对此类系统中新漏洞的不断发现表明需要一种详尽的验证方法来发现和消除这些弱点。本文提出了一种正式验证方法UPEC-OI，该方法详尽地涵盖了SoC级别访问控制系统的完整性漏洞。该方法基于迭代地检查一个2安全间隔属性，其公式不需要任何明确的攻击场景说明。UPEC-OI返回的反例可以为访问控制硬件的设计者提供有关可能的攻击渠道的有价值信息，使他们能够进行精确定位的修复。我们提出了一种基于验证驱动的开发方法，该方法在形式上保证了开发的SoC访问控制机制具有完整性安全性。我们在OpenTitan的Earl Grey SoC上进行了一个案例研究，其中我们添加了一个SoC级别访问控制机制以模拟威胁。发现UPEC-OI对于保证机制的完整性至关重要，并且对于实际规模的SoC来说是可行的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-247-mehmedagic.pdf

115、Defining "Broken": User Experiences and Remediation Tactics When Ad-Blocking or Tracking-Protection Tools Break a Website’s User Experience

为了对抗网络上普遍存在的广告和第三方跟踪，用户使用阻止工具-广告拦截和跟踪保护浏览器扩展和内置功能。不幸的是，阻止工具可能会导致网站的非广告、非跟踪元素退化或失败，这种现象被称为破坏。例如，缺少图像、按钮无法使用和页面无法加载等。虽然文献经常讨论破坏，但之前的工作没有系统地映射并消除破坏的用户体验范围，也没有试图理解用户如何体验、优先级和尝试修复破坏。我们填补了这些空白。首先，通过对十个流行的阻止工具的18,932个扩展商店评论和GitHub问题报告进行质性分析，我们开发了38种特定类型的破坏和15种相关缓解策略的新分类法。为了理解破坏的主观经验，我们进行了一项95个参与者的调查。几乎所有参与者都经历过各种类型的破坏，并采用了各种具有变量效果的策略，以应对特定类型破坏在特定环境下的情况。不幸的是，参与者很少通知能够修复根本原因的任何人。我们讨论了我们的分类法和结果如何提高自动检测和修复破坏的全面性和优先级。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-83-nisenoff.pdf

116、DDRace: Finding Concurrency UAF Vulnerabilities in Linux Drivers with Directed Fuzzing

并发使用后释放（UAF）漏洞在Linux驱动程序中占据了大部分UAF漏洞。虽然已经提出了许多解决方案来查找并发错误或UAF漏洞，但其中很少直接应用于有效查找并发UAF漏洞。本文提出了第一个并发定向灰盒模糊测试解决方案DDRACE，可有效地在Linux驱动程序中发现并发UAF漏洞。首先，我们将候选的use-after-free位置识别为目标位置，并提取相关的并发元素以减少定向模糊测试的探索空间。其次，我们设计了一种新的与漏洞相关的距离度量和一个交错优先级方案，以指导模糊测试更好地探索UAF漏洞和线程交错。最后，为了使测试用例可重现，我们设计了一种自适应内核状态迁移方案，以协助连续模糊测试。我们实现了DDRACE的原型，并在上游Linux驱动程序上进行了评估。结果表明DDRACE在发现并发use-after-free漏洞方面是有效的。它找到了4个未知漏洞和8个已知漏洞，比其他最新的解决方案更有效。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-193-yuan-ming.pdf

117、CSHER: A System for Compact Storage with HE-Retrieval

同态加密（HE）是一种保护正在使用数据的有前途的技术，在近年来的实现实际运行时性能方面取得了相当大的进展。然而，HE所带来的高存储开销仍然阻碍了其大规模采用。在这项工作中，我们提出了一种新的存储解决方案，采用两个服务器模型解决了与HE相关的高存储开销问题，同时保持了严格的数据保密性。我们在运行于AWS EC2实例和AWS S3存储的概念验证系统中对我们的解决方案进行了实证评估，展示了存储大小与存储AES密文的零开销，并且具有10微秒的平均端到端运行时间。此外，我们还在多个云上进行了实验，即每个服务器位于不同的云上，展示了类似的结果。作为一个核心工具，我们引入了第一个完美秘密共享方案，具有快速的实数同态重构；这可能是一个独立的重要领域。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-327-akavia.pdf

118、Controlled Data Races in Enclaves: Attacks and Detection

本文介绍了控制数据竞争攻击，这是一种新的攻击类型，针对受到可信执行环境（例如Intel SGX）保护的程序。控制数据竞争攻击类似于控制通道攻击，攻击者控制底层操作系统并操纵信封线程的调度以及中断和异常的处理。控制数据竞争攻击有两个特别重要的原因：首先，传统上非确定性数据竞争漏洞可以被确定性地触发，并在SGX信封的上下文中被利用进行安全违规。其次，攻击者可以同时调用旨在单线程信封，从而触发独特的交错模式，在传统设置中不会发生。为了检测现实世界中信封二进制文件中的控制数据竞争漏洞（包括与SGX库链接的代码），我们提出了一种基于锁集的二进制分析检测算法。我们已经在一个名为SGXRacer的工具中实现了我们的算法，并使用四个SGX SDK和八个开源SGX项目进行了评估，识别出源自476个共享变量的1,780个数据竞争。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-434-chen-sanchuan.pdf

119、Cipherfix: Mitigating Ciphertext Side-Channel Attacks in Software

可信执行环境（TEEs）提供了在云中运行工作负载的环境，而无需信任云服务提供商，通过提供额外的硬件辅助安全保证。然而，主存储器加密作为保护免受系统级攻击者读取TEE内容和物理外部攻击者的关键机制是不足的。最近的Cipherleaks攻击通过分析由于确定性内存加密导致的密文模式，从TEE受保护的实现中推断出秘密数据。被称为密文侧信道的潜在漏洞既不受现代防范措施（如恒定时间代码）的保护，也不受硬件修复的保护。

因此，在本文中，我们提出了一种基于软件的插件方案，可以加固现有的二进制文件，使它们可以在易受密文侧信道攻击的TEE下安全执行，无需重新编译。我们将污点跟踪与静态和动态二进制仪器结合起来，以找到敏感的内存位置，并通过在写入内存之前对秘密数据进行掩码处理来减轻泄漏。通过这种方式，尽管内存加密仍然是确定性的，我们消除了加密内存中任何秘密相关模式。我们展示了我们的概念验证实现可以保护各种恒定时间实现免受密文侧信道攻击，并具有合理的开销。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-614-wichelmann.pdf

120、Catch You and I Can: Revealing Source Voiceprint Against Voice Conversion

声音转换（VC）技术可以被恶意方滥用，将他们的音频转换成类似目标说话者的声音，使得人类或说话者验证/识别系统难以追踪来源说话者。本文尝试首次从高信用的语音转换方法合成的音频中恢复源语音特征。然而，从转换后的音频中揭示出源说话者的特征是具有挑战性的，因为语音转换操作旨在解开原始特征并注入目标说话者的特征。为了实现我们的目标，我们开发了Revelio，一种表示学习模型，它可以有效地从转换后的音频样本中提取源说话者的语音特征。我们为Revelio配备了一个精心设计的差分校正算法，以消除目标说话者的影响，通过去除与目标说话者的语音特征平行的表示组件。我们进行了大量的实验，评估了Revelio在VQVC、VQVC+、AGAIN和BNE转换的音频中恢复语音特征的能力。实验验证了Revelio能够重建能够通过说话者验证和识别系统追踪到源说话者的语音特征。Revelio在跨性别转换、未知语言和电话网络下也表现出了强大的性能。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-226-deng-jiangyi.pdf

大规模的软件代码支持丰富多样的功能，同时也包含潜在的漏洞。模糊测试作为最流行的漏洞检测方法之一，不断发展，旨在通过覆盖更多的代码来发现更多的漏洞。然而，我们发现，即使使用最先进的模糊工具，仍然存在一些未经探索的代码，只能通过特定的程序选项组合来触发。简单地变异选项可能会生成许多无效组合，因为缺乏对选项之间约束关系的考虑。在本文中，我们利用自然语言处理（NLP）自动从程序文档中提取选项描述，并分析选项之间的关系（例如冲突、依赖），在过滤出无效组合后只留下有效组合进行模糊测试。我们实现了一个名为CarpetFuzz的工具，并评估了其性能。结果表明，CarpetFuzz可以准确地从文档中提取关系，精度为96.10%，召回率为88.85%。基于这些关系，CarpetFuzz将要测试的选项组合减少了67.91%。它帮助AFL发现了其他模糊工具无法发现的路径，增加了45.97%。在分析了20个流行的开源程序后，CarpetFuzz发现了57个漏洞，包括43个未公开的漏洞。我们还成功获得了30个漏洞的CVE ID。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-467-wang-dawei.pdf

122、Capstone: A Capability-based Foundation for Trustless Secure Memory Access

基于能力的内存隔离是一种有前途的新的架构原语。软件只能通过能力句柄而不是原始指针访问低级内存，这提供了一种自然的接口来执行安全限制。现有的基于能力的架构设计（例如CHERI）提供空间安全性，但无法扩展到其他安全敏感的内存模型。在本文中，我们提出了Capstone，一种更具表现力的基于能力的架构设计，支持在不依赖信任的情况下使用多种现有的内存隔离模型。我们展示了Capstone在特权边界是动态可扩展的环境中是非常适合的，其中时间和空间的内存共享/委派是需要平衡可用性问题的。Capstone的实现也非常高效。我们提供了一个实现草图，并通过评估展示了其在常见用例中的开销低于50%。我们还原型化了一个Capstone的功能仿真器，并使用它演示了六种真实世界内存模型的可运行实现，而无需信任软件组件：三种基于隔离的安全执行环境、一个线程调度器、一个内存分配器和Rust风格的内存安全，都在Capstone的接口内。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-52-yu-jason.pdf

123、CAPatch: Physical Adversarial Patch against Image Captioning Systems

快速增长的监视系统将使图像描述成为处理大量视频的必要技术，而正确的描述对于确保文本真实性至关重要。虽然先前的工作已经证明了用对抗补丁来愚弄计算机视觉模型的可行性，但是目前还不清楚这种漏洞是否会导致不正确的图像描述，其中涉及到图像特征提取后的自然语言处理。在本文中，我们设计了CAPatch，一种物理对抗补丁，可以对多模态图像描述系统产生错误的最终描述，即创建完全不同的句子或缺少关键字的句子。为了使CAPatch在物理世界中具有效果和实用性，我们提出了一种检测保证和注意力增强方法，以增加CAPatch的影响力，并提出了一种鲁棒性改进方法，以解决图像打印和捕获引起的补丁扭曲问题。在三种常用的图像描述系统（Show-and-Tell、Self-critical Sequence Training: Att2in和Bottom-up Top-down）上进行评估，证明了CAPatch在数字和物理世界中的有效性，志愿者在各种场景、服装和照明条件下佩戴印刷的补丁。在图像大小的5%的情况下，物理印刷的CAPatch可以实现连续攻击，攻击成功率高达73.1%以上的视频记录器。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-121-zhang-shibo.pdf

124、BunnyHop: Exploiting the Instruction Prefetcher

指令预取器是一个微架构组件，其任务是将程序代码带入指令高速缓存。为了预测哪些代码可能被执行，指令预取器依赖于分支预测器。在本文中，我们调查了现代Intel处理器中的指令预取器。我们首先提出了BunnyHop，一种技术，它使用指令预取器将分支预测信息编码为缓存状态。我们展示了如何使用BunnyHop对分支预测器进行低噪音攻击。具体来说，我们展示了如何在分支预测器上实现类似Flush+Reload和Prime+Probe的攻击，而不是在数据缓存上。然后我们展示了BunnyHop允许使用指令预取器作为混淆副手，在受害者内部强制缓存逐出的能力。我们利用这一点来展示了对同时受缓存着色和数据预取保护的AES实现的攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-539-zhang-zhiyuan.pdf

125、Bug Hunters’ Perspectives on the Challenges and Benefits of the Bug Bounty Ecosystem

为了改进漏洞赏金，了解漏洞猎人的动机、挑战和整体利益是非常重要的。我们通过三项研究来填补这一研究空白：通过自由列出调查（n=56）识别关键因素，通过较大规模的因素评分调查（n=159）对每个因素的重要性进行评级，并进行半结构化访谈以揭示细节（n=24）。在漏洞猎人列出的54个因素中，我们发现奖励和学习机会是最重要的好处。此外，我们发现范围是区分各个项目之间最重要的因素。令人惊讶的是，我们发现获得声誉是最不重要的激励因素之一。我们发现的挑战之一是沟通问题，如无回应和争议，是最重要的问题。我们提出建议，使漏洞赏金生态系统对更多的漏洞猎人友好，最终增加对未充分利用的市场的参与。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-81-akgul.pdf

126、BoKASAN: Binary-only Kernel Address Sanitizer for Effective Kernel Fuzzing

Kernel Address Sanitizer（KASAN）是在Linux内核中查找使用后释放和越界漏洞的宝贵工具，需要内核源代码进行编译时插装。为了将KASAN应用于闭源系统，我们应该开发一个仅限二进制的KASAN，这是具有挑战性的。一种使用二进制重写和处理器支持来运行二进制模块的KASAN的技术需要一个应用了KASAN的内核，因此仍需要内核源代码。动态插装为其提供了一种替代方法，但会大大增加性能开销，使内核模糊测试变得不切实际。

为了解决这些问题，我们提出了第一个实用的仅限二进制的KASAN，名为BoKASAN，它通过动态插装有效地对整个内核二进制进行地址消毒。我们的关键思想是选择性消毒，它识别要消毒的目标进程并钩住页面错误机制，显著减少动态插装的性能开销。我们的关键洞察力是内核漏洞与由模糊器创建的进程最相关。因此，BoKASAN故意消毒与这些进程相关的目标存储区域，并将其余部分保留未消毒以进行有效的内核模糊测试。

我们的评估结果显示，BoKASAN在闭源系统上是实用的，在仅限二进制的内核和模块上实现了与KASAN编译器级别性能相当的水平。与Linux内核上的KASAN相比，BoKASAN在Janus数据集中检测到的漏洞略微更多，在Syzkaller / SyzVegas数据集中检测到的漏洞略微更少；在5天模糊测试中发现相同数量的唯一漏洞，并执行了类似数量的基本块。对于Windows内核和Linux内核上的二进制模块，BoKASAN在发现漏洞方面也非常有效。消融结果表明，选择性消毒影响了这些结果。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-325-cho-mingi.pdf

127、Bleem: Packet Sequence Oriented Fuzzing for Protocol Implementations

协议实现是网络基础设施中必不可少的组成部分。实现中隐藏的缺陷很容易使设备容易受到攻击。因此，保证它们的正确性非常重要。然而，常用的漏洞检测技术，如模糊测试，由于反馈机制不足和协议状态空间探索技术不足而面临越来越大的挑战。

本文介绍了Bleem，一种面向协议实现漏洞检测的数据包序列定向黑盒模糊测试工具。Bleem不是专注于单个数据包生成，而是在序列级别上生成数据包。它通过非侵入式地分析系统输出序列提供有效的反馈机制，通过时时跟踪包括所有参与方的状态空间跟踪支持引导模糊测试，并利用交互式流量信息生成协议逻辑感知的数据包序列。我们在15个广泛使用的知名协议实现（如TLS和QUIC）上评估了Bleem。结果显示，与Peach等最先进的协议模糊测试工具相比，Bleem在24小时内实现了大幅度的分支覆盖率改进（高达174.93%）。此外，Bleem在著名协议实现中发现了15个安全关键漏洞，并分配了10个CVE。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-14-luo-zhengxiong.pdf

128、Black-box Adversarial Example Attack towards FCG Based Android Malware Detection under Incomplete Feature Information

基于函数调用图（FCG）的Android恶意软件检测方法近来因其良好的性能而受到越来越多的关注。然而，这些方法容易受到对抗性示例（AEs）的影响。本文设计了一种新型的针对FCG基础恶意软件检测系统的黑盒对抗性示例攻击，称为BagAmmo。为了误导目标系统，BagAmmo通过在恶意软件代码中插入“从未执行”的函数调用来有意地扰乱恶意软件的FCG特征。主要的挑战有两个。首先，对恶意软件功能进行扰动时，不应更改其功能。其次，缺失目标系统的信息（如图特征粒度和输出概率）。

为了保持恶意软件功能，BagAmmo采用try-catch陷阱来插入函数调用以扰乱恶意软件的FCG。在缺乏特征粒度和输出概率的情况下，BagAmmo采用生成对抗网络（GAN）的架构，并利用多种群共同进化算法（即Apoem）来生成所需的扰动。Apoem中的每个种群表示可能的特征粒度，当Apoem收敛时，可以实现真实的特征粒度。

通过对超过44k个Android应用程序和32个目标模型进行广泛实验，我们评估了BagAmmo的有效性、效率和抗干扰能力。BagAmmo在MaMaDroid、APIGraph和GCN上实现了超过99.9％的平均攻击成功率，并在概念漂移和数据不平衡的情况下仍表现良好。此外，BagAmmo在攻击成功率方面超越了最先进的攻击工具SRL。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-2-li-heng.pdf

129、Bilingual Problems: Studying the Security Risks Incurred by Native Extensions in Scripting Languages

脚本语言因其易用性和繁荣的软件生态系统而不断受到欢迎。这些语言通过设计提供崩溃和内存安全性。因此，开发人员不需要理解和预防像C代码中困扰的低级安全问题。然而，脚本语言通常允许本地扩展，一种从高级语言直接调用自定义C/C++代码的方式。虽然此功能承诺了多个好处，如增加性能或重用遗留代码，但它也可能破坏语言的保证，例如，崩溃安全性。

在本文中，我们首先提供了对三种流行脚本语言中本地扩展API安全风险的比较分析。此外，我们讨论了一种研究本地扩展API误用的新方法。然后，我们对npm进行了深入的研究，这是最容易受到本地扩展引入威胁的生态系统。我们展示了在33个npm软件包中，仅通过使用精心制作的输入调用其API就可以在嵌入库中产生未初始化内存读取、硬崩溃或内存泄漏的漏洞。此外，我们还发现了六个开源Web应用程序，其中弱对手可以远程部署此类漏洞利用。最后，我们为本文提出的工作分配了七个安全通告，其中大多数标记为高危。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-262_staicu.pdf

130、BalanceProofs: Maintainable Vector Commitments with Fast Aggregation

我们提出了BalanceProofs，第一个可维护的向量承诺，同时享有快速的证明聚合和验证。BalanceProofs的基本版本具有O(√nlogn)的更新时间和O(√n)的查询时间，其常数大小的聚合证明可以在毫秒级别内产生和验证。特别是，BalanceProofs将唯一已知的可维护和可聚合向量承诺方案Hyperproofs（USENIX SECURITY 2022）的聚合时间和聚合验证时间分别提高了多达1000倍和100倍。聚合证明的快速验证特别适用于诸如无状态加密货币之类的应用程序（并且是Hyperproofs的主要瓶颈），其中一次产生的余额聚合证明必须多次验证并且由大量节点进行验证。作为限制，与Hyperproofs相比，BalanceProofs的更新时间大约慢6倍，但始终保持在10到18毫秒的范围内。最后，我们通过引入一种分桶技术，在BalanceProofs中研究了证明大小、更新时间和证明计算和验证之间的有用权衡，并进行了广泛的评估以及与Hyperproofs的比较。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-440-wang-weijie.pdf

131、Automated Exploitable Heap Layout Generation for Heap Overflows Through Manipulation Distance-Guided Fuzzing

生成可利用的堆布局是产生堆溢出的工作利用堆原语，这些原语是从目标程序中识别出来的，作为操作堆布局的功能单元。为了灵活使用原语，先前的工作仅关注特定的程序类型或拥有分派器循环结构的程序。除此之外，对于通用程序而言，自动生成可利用的堆布局是困难的，因为在显式和灵活使用原语方面存在困难。

本文提出了Scatter，以一种无原语的方式为通用程序生成可利用的堆布局，用于堆溢出。Scatter的核心是一个模糊器，它由一个新的操作距离引导，该距离测量堆布局空间中受害对象遭到损坏的距离。为了使基于模糊测试的方法实用化，Scatter利用一组技术来提高效率并处理堆管理器在现实环境中引入的副作用。我们的评估表明，Scatter可以成功为10个通用程序中的27个堆溢出生成126个可利用的堆布局。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-581-zhang-bin.pdf

132、Automated Cookie Notice Analysis and Enforcement

在线网站使用cookie提示来引导用户同意隐私法规（如GDPR和CCPA）所要求的内容。先前的工作表明，这些提示旨在以操纵用户的方式设计，使用户做出有利于网站的选择，从而将用户的隐私置于风险之中。在本文中，我们提出了CookieEnforcer，这是一个新的系统，用于自动发现cookie提示并提取一组指令，以便禁用所有非必要的cookie。为了实现这一目标，我们首先构建了一个自动cookie提示检测器，该检测器利用HTML元素的呈现模式来识别cookie提示。接下来，我们分析cookie提示，并预测所需的操作集，以禁用所有不必要的cookie。这是通过将问题建模为序列到序列任务来完成的，其中输入是机器可读的cookie提示，输出是要执行的点击集。我们通过端到端的准确度评估展示了CookieEnforcer的功效，表明它可以在91%的情况下生成所需的步骤。通过用户研究，我们还展示了CookieEnforcer可以显著减少用户的工作量。最后，我们对来自Tranco列表的前100k个网站的CookieEnforcer行为进行了表征，展示了其稳定性和可扩展性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-389-khandelwal.pdf

133、autofz: Automated Fuzzer Composition at Runtime

通过开发各种模糊测试技术应用于软件漏洞检测，已经变得越来越流行。然而，矛盾的是，这些模糊器的多样性也使得选择最适合复杂实际程序的模糊器变得困难，我们称之为选择负担。社区试图通过创建一组标准基准来比较和对比模糊器在各种应用程序上的性能，但结果总是次优的决策——平均表现最佳的模糊器并不能保证对用户感兴趣的目标的最佳结果。

为了解决这个问题，我们提出了一个名为autofz的自动化、非侵入性元模糊器，通过动态组合最大限度地发挥现有最先进的模糊器的优势。对于最终用户而言，这意味着，与其花费时间选择要采用的模糊器（或采用多个模糊器进行混合），他们可以使用autofz来自动选择最佳的模糊器组合。autofz的核心是一个基于遗传算法的优化引擎，它通过动态组合已有的多个模糊器，以最大化发现新漏洞的可能性。我们通过对实际应用程序的评估证明了autofz的有效性和效率。我们发现，autofz在发现新漏洞方面比单个模糊器表现更好，并且比手动选择模糊器更有效。此外，autofz还提高了漏洞发现的速度，并减少了选择负担。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-446-fu.pdf

134、AutoFR: Automated Filter Rule Generation for Adblocking

广告拦截依赖于过滤列表，这些列表由过滤列表作者的社区手动策划和维护。过滤列表的策划是一个费力的过程，难以扩展到大量网站或随着时间的推移。在这篇论文中，我们介绍了AutoFR，一个强化学习框架，用于完全自动化过滤规则的创建和评估。我们设计了一个基于多臂老虎机算法的算法，用于生成过滤规则，以便在控制阻止广告和避免视觉破损之间的权衡。我们在数千个网站上测试AutoFR，并表明它是高效的：为感兴趣的网站生成过滤规则只需几分钟。与EasyList的87%相比，AutoFR能有效地生成过滤规则，可以阻止86%的广告，同时实现可比的视觉破损。此外，AutoFR生成的过滤规则可以很好地推广到新网站。我们设想AutoFR可以在大规模过滤规则生成方面协助广告拦截社区。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-13-le-hieu.pdf

135、Authenticated private information retrieval

本文介绍了认证私有信息检索的协议。这些方案使客户端能够从远程数据库服务器获取记录，以便 (a) 服务器不了解客户端读取的记录，以及 (b) 客户端可以获得 "真实" 的记录或检测到服务器的不当行为并安全地终止。这两个属性对于许多应用程序至关重要。标准的私有信息检索方案要么不能确保这种输出真实性，要么需要具有诚实多数的多个数据库副本。相反，我们提供了多服务器方案，只要有一个服务器是诚实的，就可以保护安全性。此外，如果客户端可以从带外获得数据库的简短摘要，那么我们的方案只需要一个服务器。在OpenPGP密钥服务器的350万个密钥（3 GiB）的数据库上进行认证私有PGP公钥查找，使用两个不串通的服务器，计算时间不到1.2核秒，基本与未经认证的私有信息检索所需时间相当。我们的认证单服务器方案比最先进的未经认证单服务器方案贵30-100倍，尽管它们实现了无法比拟的更强的完整性属性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-78-colombo.pdf

136、AURC: Detecting Errors in Program Code and Documentation

在程序代码和文档中检测错误是计算机安全中的关键问题。以前的研究通过广泛的代码或文档引导分析显示出有希望的漏洞发现性能。然而，最先进的技术有以下明显的局限性：(i) 他们假设文档是正确的，并将违反文档的代码视为错误，因此无法找到文档的缺陷和代码的错误，如果API有缺陷的文档或没有文档。(ii) 它们利用多数投票来判断不一致的代码片段，并将偏离者视为错误，因此无法应对正确用法是少数或所有用例都是错误的情况。在本文中，我们提出了AURC，一个静态框架，用于检测返回检查错误的代码错误和文档缺陷。我们观察到在API调用中有三个对象参与，即文档、调用者（调用API的代码）和被调用者（API的源代码）。这三个对象的相互证实消除了对上述假设的依赖。AURC包含一个上下文敏感的向后分析来处理被调用者，一个基于预训练模型的文档分类器，以及一个收集调用者的if语句条件的容器。在交叉检查被调用者、调用者和文档的结果后，AURC将其交付给正确性推断模块，以推断出有缺陷的部分。我们在十个流行的代码库上评估了AURC。AURC发现了529个新的可能导致安全问题的漏洞，如堆缓冲区溢出和敏感信息泄露，以及224个新的文档缺陷。维护者承认我们的发现，并接受了222个代码补丁和76个文档补丁。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-437-hu-peiwei.pdf

137、Attacks are Forwarded: Breaking the Isolation of MicroVM-based Containers Through Operation Forwarding

人们提议使用虚拟化技术来加强容器之间的隔离。在设计中，每个容器都运行在一个轻量级的虚拟机（称为microVM）中。MicroVM基础上的容器既享有microVM的安全性，又具有容器的高效性，因此在公共云上得到了广泛应用。

然而，在本文中，我们展示了一种新的攻击面，可以用来破坏microVM基础容器的隔离，称为操作转发攻击。我们的关键观察是，microVM基础容器的某些操作被转发到主机系统调用和主机内核函数。攻击者可以利用操作转发来利用主机内核的漏洞并耗尽主机资源。为了充分了解操作转发攻击的安全风险，我们根据其功能将microVM基础容器的组件分为三层，并提出相应的攻击策略来利用每层的操作转发。此外，我们针对Kata容器和Firecracker基础容器设计了八种攻击，并在本地环境、AWS和阿里云上进行了实验。我们的结果表明，攻击者可以触发潜在的权限升级，降低93.4%的IO性能和75.0%的CPU性能，并甚至使主机崩溃。我们进一步提出安全建议以减轻这些攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-591-xiao-jietao.pdf

138、ARMore: Pushing love back into binaries

静态重写可以在安全关键环境中以低开销进行晚期状态代码更改（例如添加缓解措施、移除不必要的代码或进行代码覆盖测试）。迄今为止，大多数静态重写研究都集中在x86体系结构上。然而，基于ARM的设备的普及和大量处理的个人数据（例如健康和传感器数据）要求在ARM平台上具有高效的内省和分析能力。针对aarch64上的独特挑战，我们介绍了ARMore，它是第一个为任意aarch64二进制文件提供高效、稳健和无启发式的静态二进制重写程序，可以生成可重组装汇编代码。ARMore引入的关键改进使得间接控制流恢复成为一种选择，而不是一种必要性。未覆盖目标的成本只会导致额外分支的小开销，而不是崩溃。ARMore可以重写不同语言和编译器的二进制文件（甚至包括任意手写汇编），包括PIC和非PIC代码，带有或不带有符号，包括C和Go二进制文件的异常处理，以及包含混合数据和文本的二进制文件。ARMore是完全正确的，因为它不依赖于任何关于输入二进制文件的假设。ARMore也很高效：它不采用任何昂贵的动态转换技术，在我们评估的基准测试中，开销可以忽略不计（小于1%）。我们的AFL覆盖测试插件使得对闭源aarch64二进制文件进行模糊测试的速度比现有技术（AFL-QEMU）快三倍，并且我们在闭源软件中发现了58个唯一的崩溃。ARMore是唯一一款静态重写程序，其重写的二进制文件可以正确通过所有SQLite3和coreutils测试用例以及97.5%的Debian软件包自动化测试。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-168-di-bartolomeo.pdf

139、ARI: Attestation of Real-time Mission Execution Integrity

随着自主安全关键的物理系统（CPS）的自主性在我们的日常生活中的普及，它们的安全变得越来越重要。远程证明是一种强大的机制，可以实现对系统完整性的远程验证。尽管最近的发展使得在IoT操作上高效证明成为可能，但建立在实时物理控制循环之上并独立执行任务的自主系统却带来了新的独特挑战。

在本文中，我们提出了一种新的安全属性，即实时任务执行完整性（RMEI），以提供正确和及时执行任务的证明。尽管它是一种有吸引力的属性，但测量它可能会对实时自主系统产生限制性开销。为了解决这个挑战，我们提出了基于策略的隔离室证明，以在测量的详细程度和运行时开销之间进行权衡。为了进一步减少对实时响应的影响，我们开发了多种技术来提高性能，包括定制的软件插桩和通过重新执行实现的时间恢复。我们实现了ARI的原型，并在五个CPS平台上评估了其性能。我们进行了一项涉及21个具有不同技能的开发人员的用户研究，以了解我们解决方案的可用性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-482-wang-jinwen.pdf

140、ARGUS: Context-Based Detection of Stealthy IoT Infiltration Attacks

物联网应用领域、设备多样性和连接性正在迅速增长。物联网设备控制着智能家居、智能城市和智能工厂中的各种功能，使得这些设备成为攻击者的有吸引力的目标。另一方面，不同应用场景的大量变异以及设备的固有异质性使得可靠地检测异常物联网设备行为并将其与良性行为区分开来非常具有挑战性。现有的检测攻击方法大多局限于直接危及单个IoT设备的攻击，或者需要预定义的检测策略。它们不能检测利用物联网系统的控制平面触发意外/恶意上下文中的行动的攻击，例如在智能家居居民离开时打开智能锁。

在本文中，我们解决了这个问题，并提出了ARGUS，这是第一个自学习入侵检测系统，用于检测针对物联网环境的上下文攻击，其中攻击者恶意调用IoT设备操作以达到其目标。ARGUS基于环境中IoT设备的状态和操作来监视上下文设置。我们使用无监督的深度神经网络（DNN）对典型的上下文设备行为进行建模，并检测在异常上下文设置中发生的操作。这种无监督的方法确保ARGUS不仅局限于检测先前已知的攻击，而且能够检测新的攻击。我们在异构的真实智能家居环境中评估了ARGUS，并为每个设置至少实现了99.64％的F1分数，假阳性率（FPR）最多为0.03％。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-354-rieger.pdf

141、Araña: Discovering and Characterizing Password Guessing Attacks in Practice

远程密码猜测攻击仍然是帐户被攻击的最大来源之一。了解和描述攻击者策略对于改进安全至关重要，但由于登录服务的敏感性和良性和恶意登录请求的地面真实标签的缺乏，迄今为止这样做一直很具有挑战性。我们进行了一项深入的测量研究，针对两所大型大学的猜测攻击。利用两所大学超过3400万个登录请求的丰富数据集以及数千个妥协报告，我们能够开发出一种新的分析流程，以识别29个攻击群集，其中许多涉及以前未知的妥协。我们的分析提供了迄今为止最丰富的关于从登录服务中看到的密码猜测攻击的调查。我们相信我们的工具可以帮助安全专业人员更好地理解密码猜测攻击的策略和趋势，从而加强账户安全。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-22-islam.pdf

142、An Input-Agnostic Hierarchical Deep Learning Framework for Traffic Fingerprinting

深度学习已经证明在交通指纹探测中探索数据包时间和大小特征方面很有前途。虽然深度学习以自动特征提取而闻名，但面临着交通异质性（即原始数据包时间和大小）和所需输入的同质性（即输入特定性）之间的差距。为了解决这个差距，我们设计了一个输入不可知的分层深度学习框架，用于交通指纹探测，可以将全面的异构交通特征层次化地抽象为同质向量，以便现有的神经网络进一步分类。广泛的评估表明，我们的框架仅使用一种范例，不仅支持异构交通输入，而且在广泛的交通指纹探测任务中与现有方法相比实现了更好或相当的性能。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-598-qu-jian.pdf

143、AIRS: Explanation for Deep Reinforcement Learning based Security Applications

最近，我们见证了深度强化学习（DRL）在许多安全应用中的成功，从恶意软件变异到自私的区块链挖掘。就像所有其他机器学习方法一样，解释性的缺乏限制了其广泛的采用，因为用户难以建立对DRL模型决策的信任。在过去的几年中，已经提出了不同的方法来解释DRL模型，但不幸的是，它们通常不适用于安全应用程序，其中解释的保真度、效率和模型调试的能力在很大程度上缺乏。

在这项工作中，我们提出了AIRS，一个通用框架，用于解释基于深度强化学习的安全应用程序。与以前的作品不同，它不是针对代理的当前操作指出重要特征，而是在步骤级别上进行解释。它建模了DRL代理所取的关键步骤与最终奖励之间的关系，因此输出最关键的步骤，这些步骤对于代理收集的最终奖励最为关键。通过四个代表性的安全关键应用程序，我们从解释性、保真度、稳定性和效率的角度评估了AIRS。我们表明，AIRS可以胜过其他可解释的DRL方法。我们还展示了AIRS的实用性，证明我们的解释可以促进DRL模型的故障偏移，帮助用户建立对模型决策的信任，甚至协助识别不当的奖励设计。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-36-yu-jiahao.pdf

144、Aegis: Mitigating Targeted Bit-flip Attacks against Deep Neural Networks

最近，比特翻转攻击（BFAs）引起了相当大的关注，攻击者可以篡改少量模型参数位来破坏深度神经网络（DNN）的完整性。为了缓解这种威胁，提出了一批防御方法，重点关注非定向情况。不幸的是，它们要么需要额外的可信应用程序，要么会使模型更容易受到有针对性的BFA攻击的影响。针对有针对性的BFA攻击，更加隐秘和有目的性，目前还没有很好的防御方法。

在这项工作中，我们提出了Aegis，一种新颖的防御方法，用于缓解有针对性的BFA攻击。核心观察是现有的有针对性攻击集中于翻转某些重要层中的关键位。因此，我们设计了一个动态退出机制，将额外的内部分类器（IC）附加到隐藏层。这种机制使输入样本能够从不同层中提前退出，有效地扰乱攻击者的攻击计划。此外，动态退出机制在每次推理时随机选择IC进行预测，以显著增加自适应攻击的攻击成本，其中所有防御机制都对攻击者透明。我们还提出了一种强韧性训练策略，通过在IC训练阶段模拟BFAs来适应攻击场景，以增加模型的韧性。针对四个知名数据集和两种流行的DNN结构进行广泛评估，结果显示Aegis可以有效地缓解不同的最新有针对性攻击，将攻击成功率降低了5-10倍，明显优于现有的防御方法。我们开源了Aegis的代码。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-246-wang-jialai.pdf

145、Adversarial Training for Raw-Binary Malware Classifiers

机器学习（ML）模型在将原始可执行文件（二进制文件）分类为恶意或良性方面显示出很高的准确性。这使得基于ML的分类方法在学术和现实世界的恶意软件检测中的影响越来越大，这是网络安全的一个重要工具。然而，以前的工作通过创建恶意二进制文件的变体（被称为对抗性例子）引起了人们的警惕，这些变体以一种保留功能的方式被改造以逃避检测。在这项工作中，我们研究了使用对抗性训练方法来创建恶意软件分类模型的有效性，这些模型对一些最先进的攻击更加强大。为了训练我们最强大的模型，我们大大提高了创建对抗性例子的效率和规模，使对抗性训练变得切实可行，这在以前的原始二进制恶意软件检测器中还没有做到。然后，我们分析了不同长度的对抗性训练的效果，以及分析了各种类型的攻击的训练效果。我们发现，数据增强并不能阻止最先进的攻击，但使用其他离散领域中使用的通用梯度引导方法，确实可以提高鲁棒性。我们还表明，在大多数情况下，通过对同一攻击的低效版本进行对抗性训练，可以使模型对恶意软件领域的攻击更加稳健。在最好的情况下，我们将一个最先进的攻击的成功率从90%降低到5%。我们还发现，用某些类型的攻击进行训练可以提高对其他类型攻击的鲁棒性。最后，我们讨论了从我们的结果中获得的启示，以及如何使用它们来更有效地训练强大的恶意软件检测器。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-146-lucas.pdf

146、ACon^2: Adaptive Conformal Consensus for Provable Blockchain Oracles

具有智能合约的区块链是分布式分类帐系统，通过只允许智能合约的确定性操作，在分布式节点之间实现块状态一致性。然而，智能合约的强大功能是通过与随机的离链数据交互实现的，这反过来打开了破坏块状态一致性的可能性。为了解决这个问题，使用一个预言机智能合约来提供一个单一的外部数据一致来源；但是，同时这也引入了一个单点故障，即预言机问题。为了解决预言机问题，我们提出了一种自适应依从共识（ACon2）算法，它通过最近在在线不确定性量化学习方面取得的进展，从多个预言机合约中导出数据的共识集。有趣的是，共识集在分布转移和拜占庭对手下提供了所需的正确性保证。我们在两个价格数据集和一个以太坊案例研究中展示了所提出算法的有效性。特别是，所提出算法的Solidity实现表明，所提出算法的潜在实用性，这意味着在线机器学习算法可用于解决区块链安全问题。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-552-park-sangdon.pdf

147、Abuse Vectors: A Framework for Conceptualizing IoT-Enabled Interpersonal Abuse

技术支持的人际虐待（IPA）是一个普遍存在的问题。施虐者，通常是亲密伴侣，使用间谍软件等工具对受害幸存者进行监视和骚扰。不幸的是，有 anecdotal evidence表明，智能互联设备，如家庭恒温器、摄像头和蓝牙物品寻找器等，也可能被用于针对IPA的受害幸存者。为了解决涉及智能设备的虐待问题，我们必须了解支持IPA的智能设备生态系统。因此，在这项工作中，我们对用于IPA的智能设备进行了大规模的定性分析。我们系统地爬取谷歌搜索结果，揭示了讨论施虐者如何利用智能设备实施IPA的网页。通过分析这些网页，我们确定了32种用于IPA的设备，并详细描述施虐者通过这些设备进行监视和骚扰的各种策略。然后，我们设计了一个简单而强大的框架——虐待向量，将物联网启用的IPA概念化为四个总体模式：隐蔽监视、未经授权的访问、重新利用和预期用途。通过这个视角，我们确定了解决每个物联网虐待向量所需的必要解决方案，并鼓励安全社区采取行动。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-149-stephenson.pdf

148、A Plot is Worth a Thousand Words: Model Information Stealing Attacks via Scientific Plots

构建先进的机器学习（ML）模型需要专业知识和多次试验，以发现最佳的结构和超参数设置。先前的研究表明，模型信息可以被利用来协助其他攻击，例如成员推断、生成对抗性示例。因此，这些信息，如超参数，应该保持机密。众所周知，攻击者可以利用目标ML模型的输出来窃取模型的信息。在本文中，我们发现了一种新的模型信息窃取攻击的侧信道，即广泛用于展示模型性能并易于访问的模型科学绘图。我们的攻击方法简单明了。我们利用影子模型训练技术为攻击模型生成训练数据，该攻击模型本质上是一个图像分类器。对三个基准数据集进行广泛评估表明，我们提出的攻击方法可以有效地推断基于卷积神经网络（CNN）的图像分类器的架构/超参数，只要从它生成的科学绘图。我们还揭示了攻击的成功主要是由于科学绘图的形状，进一步证明了这些攻击在各种情况下都是具有鲁棒性的。考虑到攻击方法的简单和有效性，我们的研究表明，科学绘图确实构成了模型信息窃取攻击的有效侧信道。为了减轻这些攻击，我们提出了几种防御机制，可以降低原始攻击的准确率，同时保持绘图的实用性。然而，这些防御仍然可以被自适应攻击所绕过。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-28-zhang-boyang.pdf

149、A Large Scale Study of the Ethereum Arbitrage Ecosystem

以太坊区块链迅速成为复杂金融生态系统的中心，由去中心化交易所（DEXs）驱动。这些交易所构成了一个多元化的资本市场，任何人都可以在其中将一种代币换成另一种代币。套利交易是自由资本市场中正常且预期的现象，实际上，近期的一些研究发现了去中心化交易所上的这些交易。不幸的是，现有的研究在我们对整个系统的理解上留下了重要的知识空白，这阻碍了对套利的安全性、稳定性和经济影响的研究。为了解决这个问题，我们对28个月的时间进行了两次大规模测量。首先，我们设计了一种新颖的套利识别策略，能够分析比以前的工作多10倍的DEX应用。这揭示了380万次套利，总收益为3.21亿。其次，我们设计了一种新颖的套利机会检测系统，这是第一个支持大规模现代复杂价格模型的系统。该系统发现了40亿次套利机会，每周可产生约395个以太币的利润（在撰写本文时约为50万美元）。我们观察到两个关键洞察，证明了这些测量的有用性：（1）越来越高的收入比例支付给矿工，这威胁了共识的稳定性；（2）套利机会偶尔会持续几个区块，这意味着价格预言机操纵攻击的成本可能比预期的要低。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-515-mclaughlin.pdf

150、A Data-free Backdoor Injection Approach in Neural Networks

最近，对深度神经网络（DNNs）的后门攻击得到了广泛的研究，这种攻击使得植入后门的模型在良性样本上表现良好，而在受控样本（带有触发器）上表现恶劣。几乎所有现有的后门攻击都需要访问原始训练/测试数据集或与主任务相关的数据来将后门注入目标模型，这在许多场景下是不现实的，例如，私有训练数据。在本文中，我们提出了一种“无数据”的新颖后门注入方法。我们收集与主任务无关的替代数据，并通过过滤掉冗余样本来减少其数量，以提高后门注入的效率。我们设计了一种新颖的损失函数，用于使用替代数据将原始模型微调为植入后门的模型，并优化微调以平衡后门注入和主任务性能。我们对各种深度学习场景进行了广泛实验，例如图像分类、文本分类、表格分类、图像生成和多模态，使用不同的模型，如卷积神经网络（CNNs）、自动编码器、Transformer模型、表格模型以及多模态DNNs。评估结果表明，我们的无数据后门注入方法可以有效地嵌入后门，攻击成功率接近100％，在主任务上的性能降级是可以接受的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-573-lv.pdf

151、“Security is not my field, I’m a stats guy”: A Qualitative Root Cause Analysis of Barriers to Adversarial Machine Learning Defenses in Industry

对抗性机器学习（AML）有可能泄露训练数据、强制任意分类，并严重降低机器学习模型的整体性能，这些问题都被学术界和企业视为严重问题。尽管如此，开创性的研究发现，大多数组织对这些威胁的防范不足。虽然AML防御不足通常归因于缺乏知识，但尚不清楚为什么这些缓解措施在工业项目中无法实现。为了更好地理解部署AML防御不足的原因，我们对数据科学家和数据工程师进行了半结构化访谈（n=21），探讨了哪些障碍阻碍了这些防御的有效实施。我们发现，实践者部署防御的能力主要受到三个因素的影响：对这些概念缺乏制度动力和教育资源，无法充分评估他们的AML风险并做出相应的决策，以及组织结构和目标不利于实施，而是支持其他目标。我们最后讨论了公司和实践者如何更加了解这些风险并做好应对准备的实际建议。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-324-mink.pdf

152、“Millions of people are watching you”: Understanding the Digital-Safety Needs and Practices of Creators

本文、标题和摘要将在研讨会的第一天，即2023年8月9日，对公众公开。

153、“Employees Who Don’t Accept the Time Security Takes Are Not Aware Enough”: The CISO View of Human-Centred Security

在较大的组织中，保护员工的安全控制和策略通常由首席信息安全官（CISO）负责管理。在研究、行业和政策方面，越来越多的努力将人类行为干预和影响原则与CISO的实践联系起来，尽管这些领域本身是复杂的。在这里，我们探讨了以人为本安全（HCS）的概念在暴露于实践需求后的生存情况：在一项行动研究方法中，我们与n=30位瑞士CISO社区成员进行了为期8个月的五次研讨会，讨论了HCS。我们对在讨论过程中所记录的超过25个小时的笔记进行了编码和分析。我们发现，CISOs首先将HCS视为市场上可用的产品，即安全意识和网络钓鱼模拟。虽然他们经常将责任转移到管理层（要求更多支持）或员工（责备他们），但我们看到缺乏权力和孤岛思维，使得CISOs无法考虑实际的人类行为和安全对员工造成的摩擦。我们得出结论：行业最佳实践和HCS研究的最新进展是不一致的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-110-hielscher.pdf

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/2078/