网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结（下）

注：本文由ChatGPT与Claude联合生成

77、IvySyn: Automated Vulnerability Discovery in Deep Learning Frameworks

我们提出了IvySyn，这是第一个能够完全自动发现深度学习（DL）框架中内存错误漏洞的框架。IvySyn利用本地API的静态类型特性，自动执行基于变异的类型感知模糊测试，以对低级内核代码进行测试。给定一组触发本地DL（C/C++）代码中内存安全（和运行时）错误的有害输入，IvySyn会自动合成高级语言（例如Python）中的代码片段，通过更高级别的API传播错误触发输入。这些代码片段实际上充当“漏洞证明”，因为它们证明了本地代码中存在漏洞，攻击者可以通过各种高级别的API来攻击它们。我们的评估表明，IvySyn在有效性和效率方面都显著优于过去的方法，能够在流行的DL框架中发现漏洞。具体而言，我们使用IvySyn测试了TensorFlow和PyTorch。尽管仍处于早期原型阶段，但IvySyn已经帮助TensorFlow和PyTorch框架开发人员识别和修复了61个以前未知的安全漏洞，并分配了39个唯一的CVE编号。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-125-christou.pdf

78、It's all in your head(set): Side-channel attacks on AR/VR systems

随着增强现实/虚拟现实（AR/VR）系统的越来越普及，安全和隐私问题引起了学术界和工业界的关注。本文展示了AR/VR系统容易受到软件发起的侧信道攻击的影响；恶意应用程序无需任何特殊权限即可推断出用户交互、其他并发应用程序甚至周围环境的私人信息。我们开发了一些针对不同类型私人信息的侧信道攻击。具体而言，我们展示了三种攻击受害者交互的方式，成功地恢复了受害者的手势、语音命令和虚拟键盘上的按键，精度超过90%。我们还展示了一种应用指纹识别攻击，其中间谍可以识别受害者启动的应用程序。最后，我们展示了一种攻击，演示了对现实世界环境中的旁观者进行感知并估计旁观者距离的能力，平均绝对误差（MAE）为10.3厘米。我们认为我们的攻击威胁是紧迫的；它们扩展了我们对这些新兴系统所面临威胁模型的理解，并为开发新的AR/VR系统提供了信息，使其能够抵御这些威胁。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-131-zhang-yicheng.pdf

79、Intender: Fuzzing Intent-Based Networking with Intent-State Transition Guidance

意图驱动的网络（IBN）通过关注网络运营商希望网络执行的任务，而不是如何实现这些配置，从而将网络配置复杂性抽象出来。虽然这种抽象化简了网络管理挑战，但迄今为止，很少关注IBN的新安全问题，这些问题对整个网络的正确操作产生不利影响。为了激发这种安全问题的普遍存在，我们通过研究ONOS网络操作系统中代表性IBN实现的现有错误报告，系统化IBN的安全挑战。我们发现，61%的与IBN相关的错误是语义错误，这些错误难以有效地被最先进的漏洞发现工具检测到，如果不是不可能。

为了解决现有限制，我们提出了Intender，这是第一个针对IBN的语义感知模糊测试框架。Intender利用网络拓扑信息和意图-操作依赖关系（IOD）来有效地生成测试输入。Intender引入了一种新的反馈机制，即意图状态转换引导（ISTG），它跟踪意图状态的转换历史。我们使用ONOS评估了Intender，并发现12个漏洞，其中11个是CVE指定的安全关键漏洞，影响网络范围的控制平面完整性和可用性。与最先进的模糊测试工具AFL，Jazzer，Zest和PAZZ相比，Intender生成的有效模糊测试输入多达78.7倍，覆盖率高达2.2倍，检测到的独特错误高达82.6倍。IOD可减少73.02%的冗余操作，并使有效操作的时间增加10.74%。使用ISTG的Intender与使用代码覆盖率引导相比，可导致意图状态转换增加1.8倍。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-285_kim-jiwon.pdf

80、InfinityGauntlet: Expose Smartphone Fingerprint Authentication to Brute-force Attack

每天都有数十亿的智能手机指纹认证（SFA）用于解锁、隐私和支付。现有的SFA威胁包括攻击者呈现（PA）和一些特定情况下的漏洞。前者需要了解受害者的指纹信息（例如潜在指纹），可以通过活体检测和安全策略来减轻威胁。后者需要额外的条件（例如第三方屏幕保护、root权限），仅对个别智能手机型号可利用。

在本文中，我们进行了对SFA的第一次普遍零知识攻击调查，无需了解受害者的任何信息。我们提出了一个名为InfinityGauntlet的新型指纹暴力攻击，可在现成的智能手机上实现。首先，我们发现不同制造商、操作系统和指纹类型的SFA系统中存在设计漏洞，以实现无限制的认证尝试。然后，我们使用SPI MITM绕过活体检测并进行自动尝试。最后，我们定制了合成指纹生成器，以获得有效的指纹暴力字典。

我们设计并实现了低成本的设备来启动InfinityGauntlet。一个概念验证案例研究证明，InfinityGauntlet可以在不需要受害者任何信息的情况下，在不到一个小时内成功进行指纹暴力攻击。此外，对代表性智能手机的经验分析显示了我们工作的可扩展性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-15-chen-yu.pdf

81、Improving Real-world Password Guessing Attacks via Bi-directional Transformers

密码猜测攻击是现实世界中普遍存在的问题，可以被概念化为近似文本令牌的概率分布的努力。自然语言处理（NLP）领域的技术自然而然地适用于密码猜测。其中，双向变压器以其利用双向上下文捕捉文本细微差别的能力脱颖而出。

为了进一步改进密码猜测攻击，我们提出了一种基于双向变压器的猜测框架，称为PassBERT，它将预训练/微调范式应用于密码猜测攻击。我们首先准备了一个预训练密码模型，其中包含了一般密码分布的知识。然后，我们设计了三种攻击特定的微调方法，以将预训练密码模型调整到以下实际攻击场景：（1）条件密码猜测，即在给定部分密码的情况下恢复完整密码；（2）有针对性的密码猜测，即利用个人信息破解特定用户的密码；（3）自适应基于规则的密码猜测，即为单词（即基本密码）选择自适应的变形规则以生成规则变形的密码候选项。实验结果表明，我们微调后的模型在这三种攻击中分别比最先进的模型表现优异14.53％，21.82％和4.86％，证明了双向变压器在下游猜测攻击中的有效性。最后，我们提出了一个混合密码强度计，以减轻这三种攻击带来的风险。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-398-xu-ming.pdf

82、ICSPatch: Automated Vulnerability Localization and Non-Intrusive Hotpatching in Industrial Control Systems using Data Dependence Graphs

使操作技术（OT）和信息技术（IT）设备之间进行广泛的互通所带来的范式转变，使得典型的IT世界中的漏洞可以传播到OT方面。因此，过去通过空气隔离提供的安全层被移除，使得OT设备的安全补丁成为必须的硬性要求。传统的补丁程序需要设备重新启动以加载修补后的代码到主内存中，这对于控制关键过程的OT设备来说并不适用，因为它会导致停机时间，需要在内存中进行漏洞修补。此外，这些控制二进制文件通常由内部专有编译器编译，进一步阻碍了补丁程序的开发过程，并使OT供应商对快速漏洞发现和补丁开发产生依赖。目前最先进的热修补方法仅专注于固件和/或实时操作系统。因此，在本文中，我们开发了ICSPatch，这是一个使用数据依赖图（DDG）自动化控制逻辑漏洞定位的框架。借助DDG的帮助，ICSPatch可以在控制应用程序中定位漏洞。作为第二个独立步骤，ICSPatch可以在可编程逻辑控制器的主内存中直接非侵入性地热修补控制应用程序中的漏洞，同时保持可靠的连续操作。为了评估我们的框架，我们在不同的关键基础设施部门的24个易受攻击的控制应用程序二进制文件的合成数据集上对ICSPatch进行了测试。结果表明，ICSPatch可以成功地定位所有漏洞并相应地生成补丁。此外，该补丁在执行周期中增加的延迟增加可以忽略不计，同时保持正确性和对漏洞的保护。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-265-rajput.pdf

83、How to Cover up Anomalous Accesses to Electronic Health Records

医院日志中的非法访问检测系统执行事后检测，而不是运行时访问限制，以允许在紧急情况下广泛访问。我们研究了针对大型医院一年的访问日志的对抗机器学习策略对此类检测系统的有效性。我们研究了一系列基于图的异常检测系统，包括基于启发式的和基于图神经网络（GNN）的模型。我们发现，入侵攻击可以成功地欺骗检测系统，在目标访问的评估期间注入伪装访问（即用于掩盖目标访问的访问）。我们还表明，这种入侵攻击可以在不同的检测算法之间转移。另一方面，我们发现污染攻击，在模型训练阶段中注入覆盖访问，除非攻击者具备超过10,000个访问的能力或在训练算法中对覆盖访问施加高权重，否则不会有效地误导训练过的检测系统。为了检查结果的普适性，我们还将我们的攻击应用于LANL网络横向移动数据集上的最先进的检测模型，并观察到类似的结论。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-359-xu-xiaojun.pdf

84、How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic

绕过审查的基石之一是完全加密的协议，它们加密有效载荷的每个字节，试图“看起来像没有什么”。2021年11月初，中国的“长城防火墙”（GFW）部署了一种新的审查技术，可以实时被动地检测并随后阻止完全加密的流量。GFW的新审查能力影响了一大批流行的绕过审查协议，包括但不限于Shadowsocks、VMess和Obfs4。尽管中国长期以来一直在积极探测此类协议，但这是关于纯被动检测的首次报告，导致反审查社区质疑如何可能进行检测。

在本文中，我们测量和表征了GFW用于审查完全加密的流量的新系统。我们发现，审查者并没有直接定义什么是完全加密的流量，而是应用了粗糙但高效的启发式方法来豁免不太可能是完全加密的流量的流量，然后阻止其余未豁免的流量。这些启发式方法基于常见协议的指纹、集合位的分数以及可打印的ASCII字符的数量、分数和位置。我们的互联网扫描揭示了GFW检查的流量和IP地址。我们在一所大学的网络监听点上模拟推断出的GFW检测算法，以评估其综合性和误报率。我们展示了证据，表明我们推断出的规则覆盖了GFW实际使用的内容。我们估计，如果广泛应用，它可能会作为附带损害阻止大约0.6％的正常互联网流量。

我们对GFW的新审查机制的理解帮助我们得出了几个实用的绕过策略。我们负责任地向不同反审查工具的开发人员披露了我们的发现和建议，帮助数百万用户成功地避开这种新形式的阻止。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-234-wu-mingshi.pdf

85、How Library IT Staff Navigate Privacy and Security Challenges and Responsibilities

图书馆为缺乏计算和互联网资源的用户提供关键的IT服务。我们进行了12次半结构化采访，以了解图书馆IT员工的隐私和安全协议及政策、实施这些协议和政策所面临的挑战以及这与他们的用户之间的关系。我们使用森（Sen）的能力途径来框架我们的研究结果，并发现图书馆IT员工主要关注保护他们的用户免受外部威胁-警察、政府当局和第三方的侵犯。尽管他们致力于保护用户的隐私，但图书馆IT员工经常不得不在提供易于使用、流畅、功能齐全的互联网技术或第三方资源、保护图书馆基础设施和确保用户隐私之间进行复杂的权衡。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-119-luo-alan.pdf

86、HOLMES: Efficient Distribution Testing for Secure Collaborative Learning

使用安全多方计算（MPC），拥有敏感数据的组织（例如医疗保健、金融或执法机构）可以在不向彼此透露数据的情况下，对它们的联合数据集进行机器学习模型训练。同时，安全计算限制了对联合数据集的操作，这阻碍了对其质量的计算评估。如果没有这样的评估，部署联合训练的模型可能是非法的。例如欧洲联盟的《通用数据保护条例》（GDPR）等法规要求组织对其机器学习模型所造成的错误、偏见或歧视负法律责任。因此，在安全协作学习中，测试数据质量成为一个不可或缺的步骤。但是，使用当前技术进行分布测试的成本过高，这在我们的实验中得到了证明。

我们提出了HOLMES协议，用于高效地执行分布测试。在我们的实验中，与三个非平凡的基准线相比，HOLMES在经典分布测试方面实现了超过10倍的加速，而在多维测试方面则可达到104倍。HOLMES的核心是一种混合协议，它将MPC与零知识证明以及一种新的ZK友好的、天然的遗忘算法集成在一起，这两种算法都具有明显较低的计算复杂度和具体执行成本。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-385-chang-ian.pdf

87、High Recovery with Fewer Injections: Practical Binary Volumetric Injection Attacks against Dynamic Searchable Encryption

可搜索对称加密使得在加密数据库上进行私密查询成为可能，但也可能导致信息泄露。攻击者可以利用这些泄漏来发起注入攻击（Zhang等人，USENIX Security'16），以从查询中恢复底层关键字。现有注入攻击的性能强烈依赖于泄漏信息或注入的数量。在本文中，我们提出了两种利用二进制体积方法的新注入攻击，即BVA和BVMA。我们通过利用已知的关键字使攻击者注入更少的文件，通过观察查询结果的体积揭示查询。我们的攻击可以在不利用目标查询和客户数据库分布的情况下挫败经过深入研究的防御措施（例如阈值计数措施、填充）。我们在实际数据集和实际查询中对所提出的攻击进行了实证评估。结果显示，我们的攻击在最好情况下可以获得高达80%以上的恢复率，并且即使在具有少量注入（<20个文件）的大规模数据集中，也可以获得约60%的恢复率。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-397-zhang-xianglong.pdf

88、Hiding in Plain Sight: An Empirical Study of Web Application Abuse in Malware

Web应用程序提供了各种实用程序，这些实用程序被恶意软件滥用作为传统的攻击者控制的服务器的替代品。挫败这些Web应用程序参与的（WAE）恶意软件需要事件响应者和Web应用程序提供者之间的快速协作。不幸的是，我们的研究发现，协作中的延迟使得WAE恶意软件得以繁衍。我们开发了Marsea，一个自动化的恶意软件分析流水线，研究WAE恶意软件并实现快速修复。在给定的10K个恶意软件样本中，Marsea揭示了893个WAE恶意软件，涉及29个Web应用程序的97个家族。我们的研究发现，自2020年以来，WAE恶意软件数量增加了226%，而恶意软件作者开始减少对攻击者控制的服务器的依赖。实际上，我们发现，依赖于攻击者控制的服务器的WAE恶意软件数量减少了13.7%。迄今为止，我们已经使用Marsea与Web应用程序提供者协作，关闭了50%的恶意Web应用程序内容。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-318-yao-mingxuan.pdf

89、Hidden Reality: Caution, Your Hand Gesture Inputs in the Immersive Virtual World are Visible to All!

在使用虚拟现实（VR）设备进行远程学习、游戏和虚拟会议等各种应用时，文本输入是不可避免的任务。VR用户在各种应用程序中输入密码/ PIN 来登录其用户帐户，并键入常规文本来撰写电子邮件或浏览互联网。在VR设备上的输入活动被认为对直接观察攻击是有抵抗力的，因为沉浸式环境中的虚拟屏幕对于物理接近的其他人员来说并不直接可见。本文介绍了一种基于视频的侧信道攻击Hidden Reality（HR），该攻击展示了：虽然在VR设备上的虚拟屏幕不在攻击者的直接视线中，但间接的观察可能会被利用来窃取用户的私人信息。

Hidden Reality（HR）攻击利用用户在虚拟屏幕上键入文本时的手势视频剪辑来解密各种键入场景下的文本，包括键入的PIN码和密码。在一个包含368个视频剪辑的大语料库上进行的实验分析显示，Hidden Reality模型可以成功地解密超过75%的文本输入。我们攻击模型的高成功率促使我们进行了用户研究，以了解用户在虚拟现实中的行为和安全感知。分析表明，超过95%的用户没有意识到虚拟现实设备上的任何安全威胁，并认为沉浸式环境对于数字攻击是安全的。我们的攻击模型挑战了用户在沉浸式环境中虚假的安全感，并强调在VR空间需要更严格的安全解决方案。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-476-gopal.pdf

90、Hey Kimya, Is My Smart Speaker Spying on Me? Taking Control of Sensor Privacy Through Isolation and Amnesia

虽然智能音箱和其他语音助手正变得越来越普遍，但它们始终处于待机状态的特性仍然引发了重大的隐私关注。为解决这些问题，我们提出了Kimya，一个加固框架，允许设备供应商提供强大的数据隐私保证。具体而言，Kimya保证麦克风数据仅用于本地处理，并且除非生成用户可审计的通知，否则会立即丢弃。因此，Kimya使设备对其数据保留行为负责。此外，Kimya不仅适用于语音助手，还适用于所有具有常备、事件触发传感器的设备。我们为ARM Cortex-M实现了Kimya，并将其应用于唤醒词检测引擎。我们的评估表明，Kimya引入的开销较低，可用于受限环境，并且不需要硬件修改。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-51-de-vaere.pdf

91、HECO: Fully Homomorphic Encryption Compiler

近年来，全同态加密（FHE）在性能方面取得了几个突破和进展，从而实现了性能的飞跃。如今，性能已经不再是采用FHE的主要障碍。相反，开发高效的FHE应用程序的复杂性目前限制了FHE的实际和规模化部署。最近出现了几个FHE编译器，以简化FHE开发。然而，这些编译器中没有一个回答如何自动将命令式程序转换为安全和高效的FHE实现。这是一个需要解决的根本问题，然后我们才能现实地期望更广泛地使用FHE。自动化这些转换是具有挑战性的，因为FHE中的操作受到限制，并且它们的性能特征不直观，需要将程序彻底转换以实现高效性。此外，现有工具都是单olithic的，并专注于个别优化。因此，它们未能完全满足端到端FHE开发的需求。在本文中，我们提出了HECO，一种新的端到端FHE编译器设计，它接受高级命令式程序并生成高效且安全的FHE实现。在我们的设计中，我们对FHE开发采取了更广泛的视野，将优化范围扩展到了现有工具专注的加密挑战之外。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-578-viand.pdf

92、Going through the motions: AR/VR keylogging from user head motions

增强现实/虚拟现实（AR/VR）是继个人计算机到移动设备后普及计算的下一步。AR/VR的应用不断增长，包括教育和虚拟工作空间，增加了用户输入私人文本的机会，例如密码或敏感企业信息。在这项工作中，我们展示了前景中输入的文本被背景应用程序推断出来的严重安全风险，而不需要任何特殊权限。关键的洞察是，用户在虚拟键盘上输入时，头部会以微妙的方式移动，这些运动信号足以推断出用户输入的文本。我们开发了一个系统，TyPose，提取这些信号并自动推断受害者正在输入的单词或字符。一旦收集到传感器信号，TyPose使用机器学习在时间上分割运动信号，以确定单词/字符的边界，并对单词/字符本身进行推断。我们在商用AR/VR头戴式显示器上进行的实验评估表明，无论是在使用多个用户数据进行训练的情况下（82％的前5个单词分类准确率），还是针对特定受害者进行个性化的攻击（92％的前5个单词分类准确率），该攻击都是可行的。我们还展示了降低头部跟踪采样率或精度的第一防线防御是无效的，这表明需要更复杂的缓解措施。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-173-slocum.pdf

93、GAP: Differentially Private Graph Neural Networks with Aggregation Perturbation

本文研究了在差分隐私（DP）下学习图神经网络（GNN）的问题。我们提出了一种基于聚合扰动（GAP）的新型差分隐私GNN，通过向GNN的聚合函数添加随机噪声来统计混淆单个边缘（边缘级隐私）或单个节点及其所有相邻边（节点级隐私）的存在。为了适应私有学习的具体需求，GAP的新架构由三个独立模块组成：（i）编码器模块，在不依赖边缘信息的情况下学习私有节点嵌入；（ii）聚合模块，在基于图形结构计算有噪声的聚合节点嵌入；（iii）分类模块，在对私有聚合进行节点分类的同时，无需进一步查询图形边缘。与以往方法相比，GAP的主要优势在于它可以从多跳邻域聚合中受益，并且除了训练的隐私预算外，在推断时可以保证边缘级和节点级DP而不需要额外的成本。我们使用Rényi DP分析了GAP的形式隐私保证，并在三个真实世界图形数据集上进行了实证实验。我们证明GAP在准确性和隐私保护方面的权衡比现有最先进的DP-GNN方法和朴素的基于MLP的基线更好。我们的代码公开在https://github.com/sisaman/GAP。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-196-sajadmanesh.pdf

94、FreeEagle: Detecting Complex Neural Trojans in Data-Free Cases

深度神经网络的特洛伊攻击，也称为后门攻击，是人工智能的典型威胁。带有特洛伊木马的神经网络在处理干净输入时表现正常。但是，如果输入包含特定触发器，则带有特洛伊木马的模型将具有攻击者选择的异常行为。尽管存在许多后门检测方法，但大多数方法假定防御者可以访问一组干净的验证样本或带有触发器的样本，这在某些关键的现实情况下可能不成立，例如防御者是模型共享平台的维护者。因此，在本文中，我们提出了FreeEagle，第一种无数据后门检测方法，可以有效地检测深度神经网络上的复杂后门攻击，而不需要依赖任何干净样本或带有触发器的样本的访问。对各种数据集和模型架构的评估结果表明，FreeEagle对各种复杂的后门攻击都很有效，甚至胜过一些最先进的非无数据后门检测方法。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-85-fu-chong.pdf

95、Forming Faster Firmware Fuzzers

本文的标题和摘要正在保密中，并将于2023年8月9日研讨会的第一天向公众发布。

96、Formal Analysis of SPDM: Security Protocol and Data Model version 1.2

DMTF是一个由IT基础架构主要行业参与者组成的标准化组织，包括AMD、阿里巴巴、博通、思科、戴尔、谷歌、华为、IBM、英特尔、联想和NVIDIA，旨在实现互操作性，例如包括云、虚拟化、网络、服务器和存储。它目前正在标准化一种名为SPDM的安全协议，旨在保护线路通信并启用设备鉴别，尤其是明确为通信硬件组件服务。

SPDM协议继承了IETF的TLS 1.3的要求和设计思想。然而，它的状态机和记录处理方式有很大的不同和更复杂。虽然当前版本的SPDM的架构、规范和开源库是公开可用的，但它们包括任何形式的显著安全分析。

在这项工作中，我们开发了SPDM协议版本1.2.1的三种模式的第一批正式模型，并形式化分析了它们的主要安全属性。

安全消息应用程序的构建块，例如Signal的X3DH和Double Ratchet（DR）协议，已经得到了研究界的广泛关注。它们已经被证明在存在妥协的情况下仍满足强安全属性，如前向保密（FS）和后置妥协安全（PCS）。然而，在应用层面缺乏这些属性的正式研究。虽然研究工作已经在单个拉链链的上下文中研究了这些属性，但是在消息应用程序中，两个人之间的对话实际上可能是多个拉链链合并的结果。

在这项工作中，我们启动了安全消息的形式化分析，考虑到会话处理层，并将我们的方法应用于Sesame，Signal的会话管理。我们首先通过实验展示了Signal在双重拉链的使用下，仍存在被克隆攻击者破坏PCS的实际情况。我们确定了这是由Signal的会话处理层所造成的。然后，我们设计了一个Signal会话处理层的形式化模型，可用于使用Tamarin证明器的自动验证，并使用该模型重新发现PCS违规，并提出了两种可证明安全的机制，以提供更强的保证。

低功耗蓝牙（BLE）是主流蓝牙标准，BLE安全连接（BLC-SC）配对是一种协议，用于验证两个蓝牙设备并在它们之间派生共享密钥。尽管BLE-SC配对使用了经过深入研究的加密原语来保证其安全性，但最近的一项研究揭示了该协议中的逻辑缺陷。

在本文中，我们开发了BLE-SC配对协议的第一个全面的形式化模型。我们的模型符合最新的蓝牙规范版本5.3，并覆盖规范中的所有关联模型，以发现由不同关联模型之间的相互作用引起的攻击。我们还通过设计一个低熵密钥预言机，部分放松传统符号分析方法中的完美密码假设，以检测由于密钥错误派生而引起的攻击。我们的分析确认了两种现有的攻击，并揭示了一种新的攻击。我们提出了一种对BLE-SC配对协议中发现的缺陷进行修复的对策，并讨论了向后兼容性。此外，我们扩展了我们的模型以验证对策，结果表明它在我们扩展的模型中是有效的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-525-cremers.pdf

97、Fine-grained Poisoning Attack to Local Differential Privacy Protocols for Mean and Variance Estimation

虽然本地差分隐私（LDP）可以保护个人用户的数据免受不受信任的数据管理者的推断，但最近的研究表明，攻击者可以从用户端发起数据毒化攻击，将精心制作的虚假数据注入LDP协议中，以最大程度地扭曲数据管理者的最终估计结果。在这项工作中，我们进一步推进了这一认识，提出了一种新的细粒度攻击，使攻击者能够微调和同时操纵平均值和方差估计，这是许多真实世界应用程序的流行分析任务。为了实现这个目标，攻击利用了LDP的特性，将假数据注入到本地LDP实例的输出域中。我们称这种攻击为输出毒化攻击（OPA）。我们观察到一种安全-隐私的一致性，即小隐私损失增强了LDP的安全性，这与之前的已知安全-隐私权衡相矛盾。我们进一步研究了一致性，并揭示了数据毒化攻击对LDP的威胁景观的更全面的视角。我们对我们的攻击进行了全面评估，与直觉上提供虚假输入给LDP的基线攻击进行了比较。实验结果表明，OPA在三个真实世界数据集上优于基线攻击。我们还提出了一种新的防御方法，可以从污染的数据收集中恢复结果的准确性，并提供了安全LDP设计的见解。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-421-li-xiaoguang.pdf

98、Fact-Saboteurs: A Taxonomy of Evidence Manipulation Attacks against Fact-Verification Systems

虚假信息和误导信息对我们的安全和安全构成了重大的全球威胁。为了应对在线虚假信息的规模，研究人员一直在努力通过检索和验证相关证据来自动化事实检查。然而，尽管有很多进展，对这些系统可能面临的攻击向量进行全面评估仍然缺乏。特别是，自动化事实验证过程可能会受到它试图对抗的精确虚假信息运动的攻击。在这项工作中，我们假设对在线证据进行自动篡改以通过伪装相关证据或种植误导性证据来破坏事实检查模型的对手。我们首先提出一个探索性分类法，涵盖这两个目标和不同威胁模型维度。在此指导下，我们设计并提出了几种潜在的攻击方法。我们表明，可以微调证据中与主张相关的片段并生成多样化的与主张对齐的证据。因此，在分类法的许多不同排列中，我们高度降低了事实检查的性能。这些攻击也能够抵抗后期修改主张的影响。我们的分析进一步暗示了模型在面对相互矛盾的证据时可能存在潜在限制。我们强调这些攻击可能会对此类模型的可视化和人类参与的使用场景产生有害影响，最后讨论了未来防御的挑战和方向。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-95-abdelnabi.pdf

99、FABRID: Flexible Attestation-Based Routing for Inter-Domain Networks

目前，互联网无法为最终用户提供有关路径转发设备的透明度和控制。特别是，网络设备信息的缺乏降低了路径转发的可信度，并防止需要特定路由器功能的最终用户应用程序达到其全部潜力。此外，无法影响流量的转发路径会导致应用程序通过不希望的路由进行通信，而具有更理想属性的备选路径仍无法使用。

在这项工作中，我们提出了FABRID，一个系统，它使应用程序能够灵活地转发流量，潜在地在符合用户定义的偏好的多条路径上进行选择，其中有关转发设备的信息由自治系统（ASes）公开透明地证明。每个AS都可以选择这些信息的粒度，以保护它们不泄漏敏感的网络详细信息，而嵌入在用户数据包中的偏好的保密性和真实性通过高效的加密操作进行保护。我们通过在全球SCION网络测试平台上部署FABRID来展示其可行性，并展示了在商品硬件上的高吞吐量。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-135-krahenbuhl.pdf

100、Eye-Shield: Real-Time Protection of Mobile Device Screen Information from Shoulder Surfing

本文、标题和摘要处于禁止发布状态，将于2023年8月9日（星期三）的研讨会第一天向公众发布。

101、Extending a Hand to Attackers: Browser Privilege Escalation Attacks via Extensions

作为攻击目标，Web浏览器可以从用户那里窃取安全和隐私敏感的数据，例如在线银行和社交网络凭据。因此，浏览器采用最小特权原则（PoLP）来最小化受损时的损害，即多进程架构和网站隔离。我们专注于浏览器扩展，这是第三方程序，可以扩展现代浏览器（Chrome，Firefox和Safari）的功能。浏览器还将PoLP应用于扩展架构; 即，两个主要的扩展组件被分开，其中一个组件被授予更高的特权，另一个组件被授予较低的特权。

在本文中，我们首先分析扩展的安全方面。分析发现，当前的扩展架构对扩展开发人员施加了严格的安全要求，这些要求很难满足。特别是，由于违反要求，40个扩展中发现了59个漏洞，允许攻击者执行特权升级攻击，包括UXSS（通用跨站脚本）和在扩展中窃取密码或加密货币。令人担忧的是，扩展被Chrome和Firefox用户的一半和三分之一以上使用。此外，许多存在漏洞的扩展极为流行，拥有超过1000万用户。

为了解决当前扩展架构的安全限制，我们提出了FistBump，一种新的扩展架构，以加强PoLP执行。FistBump在网页和内容脚本之间采用强大的进程隔离，因此设计上满足了前面提到的安全要求，从而消除了所有已知漏洞。此外，FistBump的设计保持了扩展的向后兼容性；因此，扩展可以在FistBump上运行而不需要修改。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-44-kim-young-min.pdf

102、Exorcising "Wraith": Protecting LiDAR-based Object Detector in Automated Driving System from Appearing Attacks

自动驾驶系统依赖于3D物体检测器从LiDAR点云中识别可能的障碍物。然而，最近的研究表明，攻击者可以使用一些假点（即出现攻击）来伪造预测结果中不存在的汽车。通过去除统计离群值，现有的防御措施被设计用于特定攻击或受预定义启发式规则的偏见。为了更全面地缓解这种情况，我们首先系统地检查了以前出现攻击的机制：他们的共同弱点在于制作假障碍物的局部部分与真实障碍物相比存在明显差异，违反了深度和点密度之间的物理关系。

在本文中，我们提出了一种新的即插即用的防御模块，它与训练的基于LiDAR的物体检测器并行工作，以消除那些局部部分的物体性较低的伪障碍物，即它属于真实物体的程度。我们的模块的核心是一个局部物体性预测器，它明确地将深度信息纳入模型中，以模拟深度和点密度之间的关系，并使用物体性得分预测障碍物的每个局部部分。广泛的实验表明，我们提出的防御在大多数情况下消除了三种已知出现攻击中至少70％的伪造汽车，而最好的先前防御只消除了不到30％的伪造汽车。同时，在相同情况下，我们的防御对车辆的AP /精度产生的开销比现有的防御更小。此外，我们在百度Apollo开源系统的基于模拟的闭环控制驾驶测试中验证了我们提出的防御的有效性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-190-xiao-qifan.pdf

103、Every Vote Counts: Ranking-Based Training of Federated Learning to Resist Poisoning Attacks

联邦学习（FL）允许不受信任的客户端协同训练一个称为全局模型的共同机器学习模型，而无需共享其私有/专有训练数据。然而，FL容易受到恶意客户端的污染，他们旨在通过在FL的训练过程中贡献恶意更新来阻碍全局模型的准确性。

我们认为攻击现有FL系统的污染攻击的关键因素是客户端可选择的模型更新空间过大。为了解决这个问题，我们提出了联邦排名学习（FRL）。FRL将客户端更新的空间从标准FL中的模型参数更新（一个浮点数的连续空间）减少到参数排名的空间（一个整数值的离散空间）。为了能够使用参数排名（而不是参数权重）来训练全局模型，FRL利用了最近超级掩蔽训练机制的思想。

具体来说，FRL客户端根据其本地训练数据对随机初始化的神经网络的参数进行排名，而FRL服务器使用投票机制来聚合客户端提交的参数排名。

直观地说，我们基于投票的聚合机制可以防止污染客户端对全局模型进行重大的对抗性修改，因为每个客户端只有一票！我们通过分析证明和实验展示了FRL对污染攻击的鲁棒性，并展示了其高通信效率。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-475-mozaffari.pdf

104、Eos: Efficient Private Delegation of zkSNARK Provers

简明的零知识证明（即zkSNARKs）是强大的加密工具，使证明者能够说服验证者某个陈述是正确的，而不泄露任何附加信息。它们具有有吸引力的隐私特性，引起了许多学术和工业界的兴趣。

不幸的是，现有的生成zkSNARKs的系统非常昂贵，这限制了这些证明可以使用的应用程序。一种方法是利用强大的云服务器来生成证明。然而，现有的技术（例如DIZK）通过向云机器公开秘密信息来牺牲隐私。这对于zkSNARKs的许多应用程序（如去中心化私人货币和计算系统）是有问题的。

在这项工作中，我们设计和实现了具有通用设置的zkSNARK的隐私保护委托协议。我们的协议使证明者能够将证明生成委托给一组工作者，因此如果至少有一个工作者不与其他工作者勾结，就不会向任何工作者泄露私人信息。我们的协议在不依赖重量级加密工具的情况下实现对恶意工作者的安全性。

我们在各种计算和带宽设置中实施和评估了我们的委托协议，展示了我们的协议具有具体的效率。与本地证明相比，使用我们的协议从最近的智能手机中委托证明生成可以将端到端延迟降低多达26倍，将委托者的活动计算时间降低多达1447倍，并使证明能够证明多达256倍更大的实例。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-492-chiesa.pdf

105、ELASM: Error-Latency-Aware Scale Management for Fully Homomorphic Encryption

由于其定点算术和类似SIMD的向量化，在允许对加密数据进行计算的全同态加密（FHE）方案中，RNS-CKKS广泛用于隐私保护的机器学习服务。先前的工作部分自动化了RNS-CKKS定点算术所需的令人望而生畏的规模管理任务，但没有考虑输出错误，这阻止了用户探索更好的误差-延迟权衡。

本文提出了一种新的误差和延迟感知的RNS-CKKS FHE方案的规模管理（ELASM）方案。通过主动控制密文的规模，可以有效地使误差对错误的影响更小，因为误差是RNS-CKKS操作引入的缩放噪声。ELASM探索不同的规模管理计划，将放大操作重新用作误差减少操作，估计每个计划的输出误差和延迟，并迭代地找到最小化误差-延迟成本函数的最佳计划。此外，本文提出了一个新的规模与噪声比（SNR）参数，并为不同的RNS-CKKS操作引入了细粒度的噪声感知水线（最小规模要求），开辟了进一步改善误差-延迟权衡的新机会。

本文在ELASM编译器中实现了所提出的思想，以及一个强制执行RNS-CKKS约束（包括基于SNR的噪声感知水线）的新的FHE语言和类型系统。对于十个机器和深度学习基准测试，ELASM找到了更好的误差和延迟权衡（更低的Pareto曲线）比先进的解决方案如EVA和Hecate。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-147-lee-yongwoo.pdf

106、Educators’ Perspectives of Using (or Not Using) Online Exam Proctoring

新冠疫情的爆发改变了教育的格局，导致远程监考工具的使用量增加，这些工具旨在监控学生在课堂外进行考试时的情况。虽然之前的研究探讨了学生对在线监考工具的隐私和安全方面的担忧，但教育工作者的观点还未被充分探讨。值得注意的是，教育工作者是课堂上的决策者，他们选择哪些远程监考服务以及认为适当的观察水平。为了探讨教育工作者如何在保护学生安全和隐私与远程考试要求之间取得平衡，我们向一所大型私立大学的超过3,400名在2020/21学年教授在线课程的教师发送了调查请求。我们收到了n = 125份回复，其中21%的受访教育工作者在远程学习期间使用了在线考试监考服务，其中有35%打算在全面恢复面授教学时继续使用这些工具。使用考试监考服务的教育工作者通常对其监控能力感到满意。然而，教育工作者担心学生与考试监考公司分享某些类型的信息，特别是当监考服务收集可识别信息以验证学生身份时。我们的结果表明，许多教育工作者开发了不需要在线监考的替代性评估方法，而那些使用在线监考服务的教育工作者通常会考虑学生隐私可能面临的潜在风险与考试监考服务的实用性或必要性之间的权衡。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-159-balash.pdf

107、Duoram: A Bandwidth-Efficient Distributed ORAM for 2- and 3-Party Computation

我们设计、分析和实现了Duoram，一种快速且带宽高效的分布式ORAM协议，适用于安全的2-和3方计算设置。Duoram利用（2,2）-分布点函数(DPFs)来紧凑地表示PIR和PIR写入查询 - 但是它具有许多创新，可以在实践中大幅降低通信成本并显着加速，即使对于规模适中的实例也是如此。具体而言，Duoram引入了一种新颖的方法，通过仅对向量长度对数的通信来评估某些秘密共享向量的点积。因此，对于具有n个可寻址位置的内存，Duoram可以使用仅O（mlgn）个通信字来执行一系列任意交错的读取和写入，而Floram需要O（m√n）个字。此外，大多数工作可以在数据独立的预处理阶段完成，仅需要O（m）个字的在线通信成本来执行序列 - 即每个内存访问的恒定在线通信成本。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-339-vadapalli.pdf

108、Don’t be Dense: Efficient Keyword PIR for Sparse Databases

本文介绍了SparsePIR，一种单服务器关键字私有信息检索（PIR）构造，可用于稀疏数据库的查询。在其核心，SparsePIR基于一种新颖的编码算法，将稀疏数据库条目编码为线性组合，同时与重要的PIR优化（包括递归）兼容。SparsePIR实现了响应开销，其开销是当前关键字PIR方案的一半，而不需要长期客户端存储线性大小的映射。我们还介绍了两个变体，SparsePIRg和SparsePIRc，它们进一步减小了服务器数据库的大小，但代价是增加的编码时间和小的额外客户端存储。我们的框架使得可以用与标准PIR基本相同的成本执行关键字PIR。最后，我们还展示了SparsePIR可用于构建批处理关键字PIR，并将响应开销减半，而无需任何客户端映射。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-392-patel.pdf

109、Diving into Robocall Content with SnorCall

未经请求的批量电话呼叫 - 称为“机器人电话” - 几乎超过了合法呼叫，使电话用户不堪重负。尽管绝大多数这些电话是非法的，但它们也是短暂的。虽然电话服务提供商、监管机构和研究人员可以轻松获取通话元数据，但他们没有工具可以以所需的大规模调查电话内容。本文介绍了SnorCall，一个框架，可扩展且高效地从机器人电话中提取内容。SnorCall利用Snorkel框架，让领域专家编写简单的标签函数，以高精度对文本进行分类。我们将SnorCall应用于一个包含232,723个机器人电话的文本语料库中，该语料库覆盖了23个月的时间。除了许多其他发现外，SnorCall还使我们能够首次估计不同诈骗和合法机器人电话主题的普遍性，确定这些电话中提到的组织，估计诈骗电话中征求的平均金额，识别运动之间共享的基础设施，并监测与选举相关的政治电话的上升和下降趋势。因此，我们展示了监管机构、运营商、反机器人电话产品供应商和研究人员可以使用SnorCall获取机器人电话内容和趋势的强大和准确的分析，从而带来更好的防御。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-344-prasad.pdf

110、DiffSmooth: Certifiably Robust Learning via Diffusion Models and Local Smoothing

扩散模型已被利用进行对抗净化，从而为标准模型提供经验证和认证的鲁棒性。另一方面，不同的鲁棒训练平滑模型已被研究用于提高认证鲁棒性。因此，自然而然地引发了一个问题：扩散模型能否用于在这些鲁棒训练平滑模型上实现改进的认证鲁棒性？在这项工作中，我们首先理论上证明了扩散模型恢复的实例在一定概率下处于原始实例的有界邻域内；并且“一次性”去噪扩散概率模型（DDPM）可以在温和的对抗攻击下提高鲁棒性。接着，我们提出了一种新颖的认证鲁棒性训练框架，称为AR-DDPM，它利用DDPM作为模型生成器，并同时考虑对抗性和非对抗性噪声，以提高模型的鲁棒性和泛化性能。我们在CIFAR-10和CIFAR-100数据集上对AR-DDPM进行了广泛的评估，并通过与其他先进的认证鲁棒性方法进行比较，展示了其优越性。最后，我们还对AR-DDPM在物体检测任务中的应用进行了探索，并在PASCAL VOC 2007数据集上获得了令人印象深刻的结果。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-540-zhang-jiawei.pdf

111、Did the Shark Eat the Watchdog in the NTP Pool? Deceiving the NTP Pool’s Monitoring System

NTP池已成为现代互联网服务和应用的关键基础设施。它通过自愿加入的成千上万的时间服务器，为数百万分布式（异构）系统提供时间。尽管已经采取了许多措施来提高NTP的精度、可靠性和安全性，但不幸的是，NTP池却吸引了相对较少的关注。在本文中，我们对NTP池安全性进行了全面分析，特别是对NTP池监视系统进行了分析，该系统监视参与服务器的正确性和响应性。我们首先研究了欺骗池健康检查系统以从池中删除合法时间服务器的战略性攻击。然后，通过使用监视服务器和注入到池中的时间服务器进行实证分析，我们展示了我们的方法的可行性，展示了它们的有效性，并讨论了其影响。最后，我们讨论设计一个新的池监控系统以缓解这些攻击的影响。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-520-kwon.pdf

112、Detecting Multi-Step IAM Attacks in AWS Environments via Model Checking

随着云服务在IT专业人员中的不断普及，由于误配置、资源暴露或允许恶意行为者升级权限等潜在安全漏洞的增加，人们也越来越关注安全问题。模型检测是一种已知的方法，用于验证系统的有限状态布尔模型是否满足某些属性，其中模型和属性是用形式逻辑描述的。如果不满足这些属性，可以生成一个导致违规状态的有限跟踪。

在本文中，我们提出了一种方法，从Amazon Web Services（AWS）的身份和访问管理（IAM）组件构建一个有限状态布尔模型，以及从攻击目标（例如读取机密的S3桶对象）构建一个属性。我们运行模型检查器，检测某些初始设置是否允许攻击者通过应用IAM操作升级权限并在一个或多个步骤中达到目标。我们展示了我们的方法可以发现实际AWS环境中的现有误配置，并且可以在不到一分钟的时间内检测包含数十个AWS帐户和数百个资源的设置中的多步攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-348-shevrin.pdf

113、Detecting and Handling IoT Interaction Threats in Multi-Platform Multi-Control-Channel Smart Homes

智能家居涉及多种实体，如物联网设备、自动化应用、人类、语音助手和陪伴应用。这些实体在同一物理环境中相互交互，可能会产生不良甚至危险的结果，称为物联网交互威胁。现有的交互威胁研究仅考虑自动化应用，忽略了其他物联网控制通道，如语音命令、陪伴应用和物理操作。其次，智能家居越来越常用多个物联网平台，每个平台都有部分设备状态的视图，并可能发出冲突的命令。第三，与检测交互威胁相比，对其处理的研究要少得多。之前的工作使用通用的处理策略，不太可能适用于所有家庭。我们提出了IoTMediator，为多平台多控制通道的家庭提供准确的威胁检测和针对威胁进行定制处理。我们在两个实际家庭中进行评估，证明IoTMediator明显优于现有的最新工作。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-185-chi-haotian.pdf

114、Design of Access Control Mechanisms in Systems-on-Chip with Formal Integrity Guarantees

许多SoC采用系统级硬件访问控制机制，以确保安全关键操作不能被电路的不太可信的组件篡改。虽然有许多设计和验证技术可用于开发访问控制系统，但对此类系统中新漏洞的不断发现表明需要一种详尽的验证方法来发现和消除这些弱点。本文提出了一种正式验证方法UPEC-OI，该方法详尽地涵盖了SoC级别访问控制系统的完整性漏洞。该方法基于迭代地检查一个2安全间隔属性，其公式不需要任何明确的攻击场景说明。UPEC-OI返回的反例可以为访问控制硬件的设计者提供有关可能的攻击渠道的有价值信息，使他们能够进行精确定位的修复。我们提出了一种基于验证驱动的开发方法，该方法在形式上保证了开发的SoC访问控制机制具有完整性安全性。我们在OpenTitan的Earl Grey SoC上进行了一个案例研究，其中我们添加了一个SoC级别访问控制机制以模拟威胁。发现UPEC-OI对于保证机制的完整性至关重要，并且对于实际规模的SoC来说是可行的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-247-mehmedagic.pdf

115、Defining "Broken": User Experiences and Remediation Tactics When Ad-Blocking or Tracking-Protection Tools Break a Website’s User Experience

为了对抗网络上普遍存在的广告和第三方跟踪，用户使用阻止工具-广告拦截和跟踪保护浏览器扩展和内置功能。不幸的是，阻止工具可能会导致网站的非广告、非跟踪元素退化或失败，这种现象被称为破坏。例如，缺少图像、按钮无法使用和页面无法加载等。虽然文献经常讨论破坏，但之前的工作没有系统地映射并消除破坏的用户体验范围，也没有试图理解用户如何体验、优先级和尝试修复破坏。我们填补了这些空白。首先，通过对十个流行的阻止工具的18,932个扩展商店评论和GitHub问题报告进行质性分析，我们开发了38种特定类型的破坏和15种相关缓解策略的新分类法。为了理解破坏的主观经验，我们进行了一项95个参与者的调查。几乎所有参与者都经历过各种类型的破坏，并采用了各种具有变量效果的策略，以应对特定类型破坏在特定环境下的情况。不幸的是，参与者很少通知能够修复根本原因的任何人。我们讨论了我们的分类法和结果如何提高自动检测和修复破坏的全面性和优先级。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-83-nisenoff.pdf

116、DDRace: Finding Concurrency UAF Vulnerabilities in Linux Drivers with Directed Fuzzing

并发使用后释放（UAF）漏洞在Linux驱动程序中占据了大部分UAF漏洞。虽然已经提出了许多解决方案来查找并发错误或UAF漏洞，但其中很少直接应用于有效查找并发UAF漏洞。本文提出了第一个并发定向灰盒模糊测试解决方案DDRACE，可有效地在Linux驱动程序中发现并发UAF漏洞。首先，我们将候选的use-after-free位置识别为目标位置，并提取相关的并发元素以减少定向模糊测试的探索空间。其次，我们设计了一种新的与漏洞相关的距离度量和一个交错优先级方案，以指导模糊测试更好地探索UAF漏洞和线程交错。最后，为了使测试用例可重现，我们设计了一种自适应内核状态迁移方案，以协助连续模糊测试。我们实现了DDRACE的原型，并在上游Linux驱动程序上进行了评估。结果表明DDRACE在发现并发use-after-free漏洞方面是有效的。它找到了4个未知漏洞和8个已知漏洞，比其他最新的解决方案更有效。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-193-yuan-ming.pdf

117、CSHER: A System for Compact Storage with HE-Retrieval

同态加密（HE）是一种保护正在使用数据的有前途的技术，在近年来的实现实际运行时性能方面取得了相当大的进展。然而，HE所带来的高存储开销仍然阻碍了其大规模采用。在这项工作中，我们提出了一种新的存储解决方案，采用两个服务器模型解决了与HE相关的高存储开销问题，同时保持了严格的数据保密性。我们在运行于AWS EC2实例和AWS S3存储的概念验证系统中对我们的解决方案进行了实证评估，展示了存储大小与存储AES密文的零开销，并且具有10微秒的平均端到端运行时间。此外，我们还在多个云上进行了实验，即每个服务器位于不同的云上，展示了类似的结果。作为一个核心工具，我们引入了第一个完美秘密共享方案，具有快速的实数同态重构；这可能是一个独立的重要领域。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-327-akavia.pdf

118、Controlled Data Races in Enclaves: Attacks and Detection

本文介绍了控制数据竞争攻击，这是一种新的攻击类型，针对受到可信执行环境（例如Intel SGX）保护的程序。控制数据竞争攻击类似于控制通道攻击，攻击者控制底层操作系统并操纵信封线程的调度以及中断和异常的处理。控制数据竞争攻击有两个特别重要的原因：首先，传统上非确定性数据竞争漏洞可以被确定性地触发，并在SGX信封的上下文中被利用进行安全违规。其次，攻击者可以同时调用旨在单线程信封，从而触发独特的交错模式，在传统设置中不会发生。为了检测现实世界中信封二进制文件中的控制数据竞争漏洞（包括与SGX库链接的代码），我们提出了一种基于锁集的二进制分析检测算法。我们已经在一个名为SGXRacer的工具中实现了我们的算法，并使用四个SGX SDK和八个开源SGX项目进行了评估，识别出源自476个共享变量的1,780个数据竞争。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-434-chen-sanchuan.pdf

119、Cipherfix: Mitigating Ciphertext Side-Channel Attacks in Software

可信执行环境（TEEs）提供了在云中运行工作负载的环境，而无需信任云服务提供商，通过提供额外的硬件辅助安全保证。然而，主存储器加密作为保护免受系统级攻击者读取TEE内容和物理外部攻击者的关键机制是不足的。最近的Cipherleaks攻击通过分析由于确定性内存加密导致的密文模式，从TEE受保护的实现中推断出秘密数据。被称为密文侧信道的潜在漏洞既不受现代防范措施（如恒定时间代码）的保护，也不受硬件修复的保护。

因此，在本文中，我们提出了一种基于软件的插件方案，可以加固现有的二进制文件，使它们可以在易受密文侧信道攻击的TEE下安全执行，无需重新编译。我们将污点跟踪与静态和动态二进制仪器结合起来，以找到敏感的内存位置，并通过在写入内存之前对秘密数据进行掩码处理来减轻泄漏。通过这种方式，尽管内存加密仍然是确定性的，我们消除了加密内存中任何秘密相关模式。我们展示了我们的概念验证实现可以保护各种恒定时间实现免受密文侧信道攻击，并具有合理的开销。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-614-wichelmann.pdf

120、Catch You and I Can: Revealing Source Voiceprint Against Voice Conversion

声音转换（VC）技术可以被恶意方滥用，将他们的音频转换成类似目标说话者的声音，使得人类或说话者验证/识别系统难以追踪来源说话者。本文尝试首次从高信用的语音转换方法合成的音频中恢复源语音特征。然而，从转换后的音频中揭示出源说话者的特征是具有挑战性的，因为语音转换操作旨在解开原始特征并注入目标说话者的特征。为了实现我们的目标，我们开发了Revelio，一种表示学习模型，它可以有效地从转换后的音频样本中提取源说话者的语音特征。我们为Revelio配备了一个精心设计的差分校正算法，以消除目标说话者的影响，通过去除与目标说话者的语音特征平行的表示组件。我们进行了大量的实验，评估了Revelio在VQVC、VQVC+、AGAIN和BNE转换的音频中恢复语音特征的能力。实验验证了Revelio能够重建能够通过说话者验证和识别系统追踪到源说话者的语音特征。Revelio在跨性别转换、未知语言和电话网络下也表现出了强大的性能。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-226-deng-jiangyi.pdf

121、CarpetFuzz: Automatic Program Option Constraint Extraction from Documentation for Fuzzing

大规模的软件代码支持丰富多样的功能，同时也包含潜在的漏洞。模糊测试作为最流行的漏洞检测方法之一，不断发展，旨在通过覆盖更多的代码来发现更多的漏洞。然而，我们发现，即使使用最先进的模糊工具，仍然存在一些未经探索的代码，只能通过特定的程序选项组合来触发。简单地变异选项可能会生成许多无效组合，因为缺乏对选项之间约束关系的考虑。在本文中，我们利用自然语言处理（NLP）自动从程序文档中提取选项描述，并分析选项之间的关系（例如冲突、依赖），在过滤出无效组合后只留下有效组合进行模糊测试。我们实现了一个名为CarpetFuzz的工具，并评估了其性能。结果表明，CarpetFuzz可以准确地从文档中提取关系，精度为96.10%，召回率为88.85%。基于这些关系，CarpetFuzz将要测试的选项组合减少了67.91%。它帮助AFL发现了其他模糊工具无法发现的路径，增加了45.97%。在分析了20个流行的开源程序后，CarpetFuzz发现了57个漏洞，包括43个未公开的漏洞。我们还成功获得了30个漏洞的CVE ID。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-467-wang-dawei.pdf

122、Capstone: A Capability-based Foundation for Trustless Secure Memory Access

基于能力的内存隔离是一种有前途的新的架构原语。软件只能通过能力句柄而不是原始指针访问低级内存，这提供了一种自然的接口来执行安全限制。现有的基于能力的架构设计（例如CHERI）提供空间安全性，但无法扩展到其他安全敏感的内存模型。在本文中，我们提出了Capstone，一种更具表现力的基于能力的架构设计，支持在不依赖信任的情况下使用多种现有的内存隔离模型。我们展示了Capstone在特权边界是动态可扩展的环境中是非常适合的，其中时间和空间的内存共享/委派是需要平衡可用性问题的。Capstone的实现也非常高效。我们提供了一个实现草图，并通过评估展示了其在常见用例中的开销低于50%。我们还原型化了一个Capstone的功能仿真器，并使用它演示了六种真实世界内存模型的可运行实现，而无需信任软件组件：三种基于隔离的安全执行环境、一个线程调度器、一个内存分配器和Rust风格的内存安全，都在Capstone的接口内。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-52-yu-jason.pdf

123、CAPatch: Physical Adversarial Patch against Image Captioning Systems

快速增长的监视系统将使图像描述成为处理大量视频的必要技术，而正确的描述对于确保文本真实性至关重要。虽然先前的工作已经证明了用对抗补丁来愚弄计算机视觉模型的可行性，但是目前还不清楚这种漏洞是否会导致不正确的图像描述，其中涉及到图像特征提取后的自然语言处理。在本文中，我们设计了CAPatch，一种物理对抗补丁，可以对多模态图像描述系统产生错误的最终描述，即创建完全不同的句子或缺少关键字的句子。为了使CAPatch在物理世界中具有效果和实用性，我们提出了一种检测保证和注意力增强方法，以增加CAPatch的影响力，并提出了一种鲁棒性改进方法，以解决图像打印和捕获引起的补丁扭曲问题。在三种常用的图像描述系统（Show-and-Tell、Self-critical Sequence Training: Att2in和Bottom-up Top-down）上进行评估，证明了CAPatch在数字和物理世界中的有效性，志愿者在各种场景、服装和照明条件下佩戴印刷的补丁。在图像大小的5%的情况下，物理印刷的CAPatch可以实现连续攻击，攻击成功率高达73.1%以上的视频记录器。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-121-zhang-shibo.pdf

124、BunnyHop: Exploiting the Instruction Prefetcher

指令预取器是一个微架构组件，其任务是将程序代码带入指令高速缓存。为了预测哪些代码可能被执行，指令预取器依赖于分支预测器。在本文中，我们调查了现代Intel处理器中的指令预取器。我们首先提出了BunnyHop，一种技术，它使用指令预取器将分支预测信息编码为缓存状态。我们展示了如何使用BunnyHop对分支预测器进行低噪音攻击。具体来说，我们展示了如何在分支预测器上实现类似Flush+Reload和Prime+Probe的攻击，而不是在数据缓存上。然后我们展示了BunnyHop允许使用指令预取器作为混淆副手，在受害者内部强制缓存逐出的能力。我们利用这一点来展示了对同时受缓存着色和数据预取保护的AES实现的攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-539-zhang-zhiyuan.pdf

125、Bug Hunters’ Perspectives on the Challenges and Benefits of the Bug Bounty Ecosystem

为了改进漏洞赏金，了解漏洞猎人的动机、挑战和整体利益是非常重要的。我们通过三项研究来填补这一研究空白：通过自由列出调查（n=56）识别关键因素，通过较大规模的因素评分调查（n=159）对每个因素的重要性进行评级，并进行半结构化访谈以揭示细节（n=24）。在漏洞猎人列出的54个因素中，我们发现奖励和学习机会是最重要的好处。此外，我们发现范围是区分各个项目之间最重要的因素。令人惊讶的是，我们发现获得声誉是最不重要的激励因素之一。我们发现的挑战之一是沟通问题，如无回应和争议，是最重要的问题。我们提出建议，使漏洞赏金生态系统对更多的漏洞猎人友好，最终增加对未充分利用的市场的参与。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-81-akgul.pdf

126、BoKASAN: Binary-only Kernel Address Sanitizer for Effective Kernel Fuzzing

Kernel Address Sanitizer（KASAN）是在Linux内核中查找使用后释放和越界漏洞的宝贵工具，需要内核源代码进行编译时插装。为了将KASAN应用于闭源系统，我们应该开发一个仅限二进制的KASAN，这是具有挑战性的。一种使用二进制重写和处理器支持来运行二进制模块的KASAN的技术需要一个应用了KASAN的内核，因此仍需要内核源代码。动态插装为其提供了一种替代方法，但会大大增加性能开销，使内核模糊测试变得不切实际。

为了解决这些问题，我们提出了第一个实用的仅限二进制的KASAN，名为BoKASAN，它通过动态插装有效地对整个内核二进制进行地址消毒。我们的关键思想是选择性消毒，它识别要消毒的目标进程并钩住页面错误机制，显著减少动态插装的性能开销。我们的关键洞察力是内核漏洞与由模糊器创建的进程最相关。因此，BoKASAN故意消毒与这些进程相关的目标存储区域，并将其余部分保留未消毒以进行有效的内核模糊测试。

我们的评估结果显示，BoKASAN在闭源系统上是实用的，在仅限二进制的内核和模块上实现了与KASAN编译器级别性能相当的水平。与Linux内核上的KASAN相比，BoKASAN在Janus数据集中检测到的漏洞略微更多，在Syzkaller / SyzVegas数据集中检测到的漏洞略微更少；在5天模糊测试中发现相同数量的唯一漏洞，并执行了类似数量的基本块。对于Windows内核和Linux内核上的二进制模块，BoKASAN在发现漏洞方面也非常有效。消融结果表明，选择性消毒影响了这些结果。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-325-cho-mingi.pdf

127、Bleem: Packet Sequence Oriented Fuzzing for Protocol Implementations

协议实现是网络基础设施中必不可少的组成部分。实现中隐藏的缺陷很容易使设备容易受到攻击。因此，保证它们的正确性非常重要。然而，常用的漏洞检测技术，如模糊测试，由于反馈机制不足和协议状态空间探索技术不足而面临越来越大的挑战。

本文介绍了Bleem，一种面向协议实现漏洞检测的数据包序列定向黑盒模糊测试工具。Bleem不是专注于单个数据包生成，而是在序列级别上生成数据包。它通过非侵入式地分析系统输出序列提供有效的反馈机制，通过时时跟踪包括所有参与方的状态空间跟踪支持引导模糊测试，并利用交互式流量信息生成协议逻辑感知的数据包序列。我们在15个广泛使用的知名协议实现（如TLS和QUIC）上评估了Bleem。结果显示，与Peach等最先进的协议模糊测试工具相比，Bleem在24小时内实现了大幅度的分支覆盖率改进（高达174.93%）。此外，Bleem在著名协议实现中发现了15个安全关键漏洞，并分配了10个CVE。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-14-luo-zhengxiong.pdf

128、Black-box Adversarial Example Attack towards FCG Based Android Malware Detection under Incomplete Feature Information

基于函数调用图（FCG）的Android恶意软件检测方法近来因其良好的性能而受到越来越多的关注。然而，这些方法容易受到对抗性示例（AEs）的影响。本文设计了一种新型的针对FCG基础恶意软件检测系统的黑盒对抗性示例攻击，称为BagAmmo。为了误导目标系统，BagAmmo通过在恶意软件代码中插入“从未执行”的函数调用来有意地扰乱恶意软件的FCG特征。主要的挑战有两个。首先，对恶意软件功能进行扰动时，不应更改其功能。其次，缺失目标系统的信息（如图特征粒度和输出概率）。

为了保持恶意软件功能，BagAmmo采用try-catch陷阱来插入函数调用以扰乱恶意软件的FCG。在缺乏特征粒度和输出概率的情况下，BagAmmo采用生成对抗网络（GAN）的架构，并利用多种群共同进化算法（即Apoem）来生成所需的扰动。Apoem中的每个种群表示可能的特征粒度，当Apoem收敛时，可以实现真实的特征粒度。

通过对超过44k个Android应用程序和32个目标模型进行广泛实验，我们评估了BagAmmo的有效性、效率和抗干扰能力。BagAmmo在MaMaDroid、APIGraph和GCN上实现了超过99.9％的平均攻击成功率，并在概念漂移和数据不平衡的情况下仍表现良好。此外，BagAmmo在攻击成功率方面超越了最先进的攻击工具SRL。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-2-li-heng.pdf

129、Bilingual Problems: Studying the Security Risks Incurred by Native Extensions in Scripting Languages

脚本语言因其易用性和繁荣的软件生态系统而不断受到欢迎。这些语言通过设计提供崩溃和内存安全性。因此，开发人员不需要理解和预防像C代码中困扰的低级安全问题。然而，脚本语言通常允许本地扩展，一种从高级语言直接调用自定义C/C++代码的方式。虽然此功能承诺了多个好处，如增加性能或重用遗留代码，但它也可能破坏语言的保证，例如，崩溃安全性。

在本文中，我们首先提供了对三种流行脚本语言中本地扩展API安全风险的比较分析。此外，我们讨论了一种研究本地扩展API误用的新方法。然后，我们对npm进行了深入的研究，这是最容易受到本地扩展引入威胁的生态系统。我们展示了在33个npm软件包中，仅通过使用精心制作的输入调用其API就可以在嵌入库中产生未初始化内存读取、硬崩溃或内存泄漏的漏洞。此外，我们还发现了六个开源Web应用程序，其中弱对手可以远程部署此类漏洞利用。最后，我们为本文提出的工作分配了七个安全通告，其中大多数标记为高危。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-262_staicu.pdf

130、BalanceProofs: Maintainable Vector Commitments with Fast Aggregation

我们提出了BalanceProofs，第一个可维护的向量承诺，同时享有快速的证明聚合和验证。BalanceProofs的基本版本具有O(√nlogn)的更新时间和O(√n)的查询时间，其常数大小的聚合证明可以在毫秒级别内产生和验证。特别是，BalanceProofs将唯一已知的可维护和可聚合向量承诺方案Hyperproofs（USENIX SECURITY 2022）的聚合时间和聚合验证时间分别提高了多达1000倍和100倍。聚合证明的快速验证特别适用于诸如无状态加密货币之类的应用程序（并且是Hyperproofs的主要瓶颈），其中一次产生的余额聚合证明必须多次验证并且由大量节点进行验证。作为限制，与Hyperproofs相比，BalanceProofs的更新时间大约慢6倍，但始终保持在10到18毫秒的范围内。最后，我们通过引入一种分桶技术，在BalanceProofs中研究了证明大小、更新时间和证明计算和验证之间的有用权衡，并进行了广泛的评估以及与Hyperproofs的比较。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-440-wang-weijie.pdf

131、Automated Exploitable Heap Layout Generation for Heap Overflows Through Manipulation Distance-Guided Fuzzing

生成可利用的堆布局是产生堆溢出的工作利用堆原语，这些原语是从目标程序中识别出来的，作为操作堆布局的功能单元。为了灵活使用原语，先前的工作仅关注特定的程序类型或拥有分派器循环结构的程序。除此之外，对于通用程序而言，自动生成可利用的堆布局是困难的，因为在显式和灵活使用原语方面存在困难。

本文提出了Scatter，以一种无原语的方式为通用程序生成可利用的堆布局，用于堆溢出。Scatter的核心是一个模糊器，它由一个新的操作距离引导，该距离测量堆布局空间中受害对象遭到损坏的距离。为了使基于模糊测试的方法实用化，Scatter利用一组技术来提高效率并处理堆管理器在现实环境中引入的副作用。我们的评估表明，Scatter可以成功为10个通用程序中的27个堆溢出生成126个可利用的堆布局。"

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-581-zhang-bin.pdf

132、Automated Cookie Notice Analysis and Enforcement

在线网站使用cookie提示来引导用户同意隐私法规（如GDPR和CCPA）所要求的内容。先前的工作表明，这些提示旨在以操纵用户的方式设计，使用户做出有利于网站的选择，从而将用户的隐私置于风险之中。在本文中，我们提出了CookieEnforcer，这是一个新的系统，用于自动发现cookie提示并提取一组指令，以便禁用所有非必要的cookie。为了实现这一目标，我们首先构建了一个自动cookie提示检测器，该检测器利用HTML元素的呈现模式来识别cookie提示。接下来，我们分析cookie提示，并预测所需的操作集，以禁用所有不必要的cookie。这是通过将问题建模为序列到序列任务来完成的，其中输入是机器可读的cookie提示，输出是要执行的点击集。我们通过端到端的准确度评估展示了CookieEnforcer的功效，表明它可以在91%的情况下生成所需的步骤。通过用户研究，我们还展示了CookieEnforcer可以显著减少用户的工作量。最后，我们对来自Tranco列表的前100k个网站的CookieEnforcer行为进行了表征，展示了其稳定性和可扩展性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-389-khandelwal.pdf

133、autofz: Automated Fuzzer Composition at Runtime

通过开发各种模糊测试技术应用于软件漏洞检测，已经变得越来越流行。然而，矛盾的是，这些模糊器的多样性也使得选择最适合复杂实际程序的模糊器变得困难，我们称之为选择负担。社区试图通过创建一组标准基准来比较和对比模糊器在各种应用程序上的性能，但结果总是次优的决策——平均表现最佳的模糊器并不能保证对用户感兴趣的目标的最佳结果。

为了解决这个问题，我们提出了一个名为autofz的自动化、非侵入性元模糊器，通过动态组合最大限度地发挥现有最先进的模糊器的优势。对于最终用户而言，这意味着，与其花费时间选择要采用的模糊器（或采用多个模糊器进行混合），他们可以使用autofz来自动选择最佳的模糊器组合。autofz的核心是一个基于遗传算法的优化引擎，它通过动态组合已有的多个模糊器，以最大化发现新漏洞的可能性。我们通过对实际应用程序的评估证明了autofz的有效性和效率。我们发现，autofz在发现新漏洞方面比单个模糊器表现更好，并且比手动选择模糊器更有效。此外，autofz还提高了漏洞发现的速度，并减少了选择负担。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-446-fu.pdf

134、AutoFR: Automated Filter Rule Generation for Adblocking

广告拦截依赖于过滤列表，这些列表由过滤列表作者的社区手动策划和维护。过滤列表的策划是一个费力的过程，难以扩展到大量网站或随着时间的推移。在这篇论文中，我们介绍了AutoFR，一个强化学习框架，用于完全自动化过滤规则的创建和评估。我们设计了一个基于多臂老虎机算法的算法，用于生成过滤规则，以便在控制阻止广告和避免视觉破损之间的权衡。我们在数千个网站上测试AutoFR，并表明它是高效的：为感兴趣的网站生成过滤规则只需几分钟。与EasyList的87%相比，AutoFR能有效地生成过滤规则，可以阻止86%的广告，同时实现可比的视觉破损。此外，AutoFR生成的过滤规则可以很好地推广到新网站。我们设想AutoFR可以在大规模过滤规则生成方面协助广告拦截社区。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-13-le-hieu.pdf

135、Authenticated private information retrieval

本文介绍了认证私有信息检索的协议。这些方案使客户端能够从远程数据库服务器获取记录，以便 (a) 服务器不了解客户端读取的记录，以及 (b) 客户端可以获得 "真实" 的记录或检测到服务器的不当行为并安全地终止。这两个属性对于许多应用程序至关重要。标准的私有信息检索方案要么不能确保这种输出真实性，要么需要具有诚实多数的多个数据库副本。相反，我们提供了多服务器方案，只要有一个服务器是诚实的，就可以保护安全性。此外，如果客户端可以从带外获得数据库的简短摘要，那么我们的方案只需要一个服务器。在OpenPGP密钥服务器的350万个密钥（3 GiB）的数据库上进行认证私有PGP公钥查找，使用两个不串通的服务器，计算时间不到1.2核秒，基本与未经认证的私有信息检索所需时间相当。我们的认证单服务器方案比最先进的未经认证单服务器方案贵30-100倍，尽管它们实现了无法比拟的更强的完整性属性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-78-colombo.pdf

136、AURC: Detecting Errors in Program Code and Documentation

在程序代码和文档中检测错误是计算机安全中的关键问题。以前的研究通过广泛的代码或文档引导分析显示出有希望的漏洞发现性能。然而，最先进的技术有以下明显的局限性：(i) 他们假设文档是正确的，并将违反文档的代码视为错误，因此无法找到文档的缺陷和代码的错误，如果API有缺陷的文档或没有文档。(ii) 它们利用多数投票来判断不一致的代码片段，并将偏离者视为错误，因此无法应对正确用法是少数或所有用例都是错误的情况。在本文中，我们提出了AURC，一个静态框架，用于检测返回检查错误的代码错误和文档缺陷。我们观察到在API调用中有三个对象参与，即文档、调用者（调用API的代码）和被调用者（API的源代码）。这三个对象的相互证实消除了对上述假设的依赖。AURC包含一个上下文敏感的向后分析来处理被调用者，一个基于预训练模型的文档分类器，以及一个收集调用者的if语句条件的容器。在交叉检查被调用者、调用者和文档的结果后，AURC将其交付给正确性推断模块，以推断出有缺陷的部分。我们在十个流行的代码库上评估了AURC。AURC发现了529个新的可能导致安全问题的漏洞，如堆缓冲区溢出和敏感信息泄露，以及224个新的文档缺陷。维护者承认我们的发现，并接受了222个代码补丁和76个文档补丁。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-437-hu-peiwei.pdf

137、Attacks are Forwarded: Breaking the Isolation of MicroVM-based Containers Through Operation Forwarding

人们提议使用虚拟化技术来加强容器之间的隔离。在设计中，每个容器都运行在一个轻量级的虚拟机（称为microVM）中。MicroVM基础上的容器既享有microVM的安全性，又具有容器的高效性，因此在公共云上得到了广泛应用。

然而，在本文中，我们展示了一种新的攻击面，可以用来破坏microVM基础容器的隔离，称为操作转发攻击。我们的关键观察是，microVM基础容器的某些操作被转发到主机系统调用和主机内核函数。攻击者可以利用操作转发来利用主机内核的漏洞并耗尽主机资源。为了充分了解操作转发攻击的安全风险，我们根据其功能将microVM基础容器的组件分为三层，并提出相应的攻击策略来利用每层的操作转发。此外，我们针对Kata容器和Firecracker基础容器设计了八种攻击，并在本地环境、AWS和阿里云上进行了实验。我们的结果表明，攻击者可以触发潜在的权限升级，降低93.4%的IO性能和75.0%的CPU性能，并甚至使主机崩溃。我们进一步提出安全建议以减轻这些攻击。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-591-xiao-jietao.pdf

138、ARMore: Pushing love back into binaries

静态重写可以在安全关键环境中以低开销进行晚期状态代码更改（例如添加缓解措施、移除不必要的代码或进行代码覆盖测试）。迄今为止，大多数静态重写研究都集中在x86体系结构上。然而，基于ARM的设备的普及和大量处理的个人数据（例如健康和传感器数据）要求在ARM平台上具有高效的内省和分析能力。针对aarch64上的独特挑战，我们介绍了ARMore，它是第一个为任意aarch64二进制文件提供高效、稳健和无启发式的静态二进制重写程序，可以生成可重组装汇编代码。ARMore引入的关键改进使得间接控制流恢复成为一种选择，而不是一种必要性。未覆盖目标的成本只会导致额外分支的小开销，而不是崩溃。ARMore可以重写不同语言和编译器的二进制文件（甚至包括任意手写汇编），包括PIC和非PIC代码，带有或不带有符号，包括C++和Go二进制文件的异常处理，以及包含混合数据和文本的二进制文件。ARMore是完全正确的，因为它不依赖于任何关于输入二进制文件的假设。ARMore也很高效：它不采用任何昂贵的动态转换技术，在我们评估的基准测试中，开销可以忽略不计（<1%）。我们的AFL++覆盖测试插件使得对闭源aarch64二进制文件进行模糊测试的速度比现有技术（AFL-QEMU）快三倍，并且我们在闭源软件中发现了58个唯一的崩溃。ARMore是唯一一款静态重写程序，其重写的二进制文件可以正确通过所有SQLite3和coreutils测试用例以及97.5%的Debian软件包自动化测试。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-168-di-bartolomeo.pdf

139、ARI: Attestation of Real-time Mission Execution Integrity

随着自主安全关键的物理系统（CPS）的自主性在我们的日常生活中的普及，它们的安全变得越来越重要。远程证明是一种强大的机制，可以实现对系统完整性的远程验证。尽管最近的发展使得在IoT操作上高效证明成为可能，但建立在实时物理控制循环之上并独立执行任务的自主系统却带来了新的独特挑战。

在本文中，我们提出了一种新的安全属性，即实时任务执行完整性（RMEI），以提供正确和及时执行任务的证明。尽管它是一种有吸引力的属性，但测量它可能会对实时自主系统产生限制性开销。为了解决这个挑战，我们提出了基于策略的隔离室证明，以在测量的详细程度和运行时开销之间进行权衡。为了进一步减少对实时响应的影响，我们开发了多种技术来提高性能，包括定制的软件插桩和通过重新执行实现的时间恢复。我们实现了ARI的原型，并在五个CPS平台上评估了其性能。我们进行了一项涉及21个具有不同技能的开发人员的用户研究，以了解我们解决方案的可用性。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-482-wang-jinwen.pdf

140、ARGUS: Context-Based Detection of Stealthy IoT Infiltration Attacks

物联网应用领域、设备多样性和连接性正在迅速增长。物联网设备控制着智能家居、智能城市和智能工厂中的各种功能，使得这些设备成为攻击者的有吸引力的目标。另一方面，不同应用场景的大量变异以及设备的固有异质性使得可靠地检测异常物联网设备行为并将其与良性行为区分开来非常具有挑战性。现有的检测攻击方法大多局限于直接危及单个IoT设备的攻击，或者需要预定义的检测策略。它们不能检测利用物联网系统的控制平面触发意外/恶意上下文中的行动的攻击，例如在智能家居居民离开时打开智能锁。

在本文中，我们解决了这个问题，并提出了ARGUS，这是第一个自学习入侵检测系统，用于检测针对物联网环境的上下文攻击，其中攻击者恶意调用IoT设备操作以达到其目标。ARGUS基于环境中IoT设备的状态和操作来监视上下文设置。我们使用无监督的深度神经网络（DNN）对典型的上下文设备行为进行建模，并检测在异常上下文设置中发生的操作。这种无监督的方法确保ARGUS不仅局限于检测先前已知的攻击，而且能够检测新的攻击。我们在异构的真实智能家居环境中评估了ARGUS，并为每个设置至少实现了99.64％的F1分数，假阳性率（FPR）最多为0.03％。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-354-rieger.pdf

141、Araña: Discovering and Characterizing Password Guessing Attacks in Practice

远程密码猜测攻击仍然是帐户被攻击的最大来源之一。了解和描述攻击者策略对于改进安全至关重要，但由于登录服务的敏感性和良性和恶意登录请求的地面真实标签的缺乏，迄今为止这样做一直很具有挑战性。我们进行了一项深入的测量研究，针对两所大型大学的猜测攻击。利用两所大学超过3400万个登录请求的丰富数据集以及数千个妥协报告，我们能够开发出一种新的分析流程，以识别29个攻击群集，其中许多涉及以前未知的妥协。我们的分析提供了迄今为止最丰富的关于从登录服务中看到的密码猜测攻击的调查。我们相信我们的工具可以帮助安全专业人员更好地理解密码猜测攻击的策略和趋势，从而加强账户安全。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-22-islam.pdf

142、An Input-Agnostic Hierarchical Deep Learning Framework for Traffic Fingerprinting

深度学习已经证明在交通指纹探测中探索数据包时间和大小特征方面很有前途。虽然深度学习以自动特征提取而闻名，但面临着交通异质性（即原始数据包时间和大小）和所需输入的同质性（即输入特定性）之间的差距。为了解决这个差距，我们设计了一个输入不可知的分层深度学习框架，用于交通指纹探测，可以将全面的异构交通特征层次化地抽象为同质向量，以便现有的神经网络进一步分类。广泛的评估表明，我们的框架仅使用一种范例，不仅支持异构交通输入，而且在广泛的交通指纹探测任务中与现有方法相比实现了更好或相当的性能。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-598-qu-jian.pdf

143、AIRS: Explanation for Deep Reinforcement Learning based Security Applications

最近，我们见证了深度强化学习（DRL）在许多安全应用中的成功，从恶意软件变异到自私的区块链挖掘。就像所有其他机器学习方法一样，解释性的缺乏限制了其广泛的采用，因为用户难以建立对DRL模型决策的信任。在过去的几年中，已经提出了不同的方法来解释DRL模型，但不幸的是，它们通常不适用于安全应用程序，其中解释的保真度、效率和模型调试的能力在很大程度上缺乏。

在这项工作中，我们提出了AIRS，一个通用框架，用于解释基于深度强化学习的安全应用程序。与以前的作品不同，它不是针对代理的当前操作指出重要特征，而是在步骤级别上进行解释。它建模了DRL代理所取的关键步骤与最终奖励之间的关系，因此输出最关键的步骤，这些步骤对于代理收集的最终奖励最为关键。通过四个代表性的安全关键应用程序，我们从解释性、保真度、稳定性和效率的角度评估了AIRS。我们表明，AIRS可以胜过其他可解释的DRL方法。我们还展示了AIRS的实用性，证明我们的解释可以促进DRL模型的故障偏移，帮助用户建立对模型决策的信任，甚至协助识别不当的奖励设计。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-36-yu-jiahao.pdf

144、Aegis: Mitigating Targeted Bit-flip Attacks against Deep Neural Networks

最近，比特翻转攻击（BFAs）引起了相当大的关注，攻击者可以篡改少量模型参数位来破坏深度神经网络（DNN）的完整性。为了缓解这种威胁，提出了一批防御方法，重点关注非定向情况。不幸的是，它们要么需要额外的可信应用程序，要么会使模型更容易受到有针对性的BFA攻击的影响。针对有针对性的BFA攻击，更加隐秘和有目的性，目前还没有很好的防御方法。

在这项工作中，我们提出了Aegis，一种新颖的防御方法，用于缓解有针对性的BFA攻击。核心观察是现有的有针对性攻击集中于翻转某些重要层中的关键位。因此，我们设计了一个动态退出机制，将额外的内部分类器（IC）附加到隐藏层。这种机制使输入样本能够从不同层中提前退出，有效地扰乱攻击者的攻击计划。此外，动态退出机制在每次推理时随机选择IC进行预测，以显著增加自适应攻击的攻击成本，其中所有防御机制都对攻击者透明。我们还提出了一种强韧性训练策略，通过在IC训练阶段模拟BFAs来适应攻击场景，以增加模型的韧性。针对四个知名数据集和两种流行的DNN结构进行广泛评估，结果显示Aegis可以有效地缓解不同的最新有针对性攻击，将攻击成功率降低了5-10倍，明显优于现有的防御方法。我们开源了Aegis的代码。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-246-wang-jialai.pdf

145、Adversarial Training for Raw-Binary Malware Classifiers

机器学习（ML）模型在将原始可执行文件（二进制文件）分类为恶意或良性方面显示出很高的准确性。这使得基于ML的分类方法在学术和现实世界的恶意软件检测中的影响越来越大，这是网络安全的一个重要工具。然而，以前的工作通过创建恶意二进制文件的变体（被称为对抗性例子）引起了人们的警惕，这些变体以一种保留功能的方式被改造以逃避检测。在这项工作中，我们研究了使用对抗性训练方法来创建恶意软件分类模型的有效性，这些模型对一些最先进的攻击更加强大。为了训练我们最强大的模型，我们大大提高了创建对抗性例子的效率和规模，使对抗性训练变得切实可行，这在以前的原始二进制恶意软件检测器中还没有做到。然后，我们分析了不同长度的对抗性训练的效果，以及分析了各种类型的攻击的训练效果。我们发现，数据增强并不能阻止最先进的攻击，但使用其他离散领域中使用的通用梯度引导方法，确实可以提高鲁棒性。我们还表明，在大多数情况下，通过对同一攻击的低效版本进行对抗性训练，可以使模型对恶意软件领域的攻击更加稳健。在最好的情况下，我们将一个最先进的攻击的成功率从90%降低到5%。我们还发现，用某些类型的攻击进行训练可以提高对其他类型攻击的鲁棒性。最后，我们讨论了从我们的结果中获得的启示，以及如何使用它们来更有效地训练强大的恶意软件检测器。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-146-lucas.pdf

146、ACon^2: Adaptive Conformal Consensus for Provable Blockchain Oracles

具有智能合约的区块链是分布式分类帐系统，通过只允许智能合约的确定性操作，在分布式节点之间实现块状态一致性。然而，智能合约的强大功能是通过与随机的离链数据交互实现的，这反过来打开了破坏块状态一致性的可能性。为了解决这个问题，使用一个预言机智能合约来提供一个单一的外部数据一致来源；但是，同时这也引入了一个单点故障，即预言机问题。为了解决预言机问题，我们提出了一种自适应依从共识（ACon2）算法，它通过最近在在线不确定性量化学习方面取得的进展，从多个预言机合约中导出数据的共识集。有趣的是，共识集在分布转移和拜占庭对手下提供了所需的正确性保证。我们在两个价格数据集和一个以太坊案例研究中展示了所提出算法的有效性。特别是，所提出算法的Solidity实现表明，所提出算法的潜在实用性，这意味着在线机器学习算法可用于解决区块链安全问题。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-552-park-sangdon.pdf

147、Abuse Vectors: A Framework for Conceptualizing IoT-Enabled Interpersonal Abuse

技术支持的人际虐待（IPA）是一个普遍存在的问题。施虐者，通常是亲密伴侣，使用间谍软件等工具对受害幸存者进行监视和骚扰。不幸的是，有 anecdotal evidence表明，智能互联设备，如家庭恒温器、摄像头和蓝牙物品寻找器等，也可能被用于针对IPA的受害幸存者。为了解决涉及智能设备的虐待问题，我们必须了解支持IPA的智能设备生态系统。因此，在这项工作中，我们对用于IPA的智能设备进行了大规模的定性分析。我们系统地爬取谷歌搜索结果，揭示了讨论施虐者如何利用智能设备实施IPA的网页。通过分析这些网页，我们确定了32种用于IPA的设备，并详细描述施虐者通过这些设备进行监视和骚扰的各种策略。然后，我们设计了一个简单而强大的框架——虐待向量，将物联网启用的IPA概念化为四个总体模式：隐蔽监视、未经授权的访问、重新利用和预期用途。通过这个视角，我们确定了解决每个物联网虐待向量所需的必要解决方案，并鼓励安全社区采取行动。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-149-stephenson.pdf

148、A Plot is Worth a Thousand Words: Model Information Stealing Attacks via Scientific Plots

构建先进的机器学习（ML）模型需要专业知识和多次试验，以发现最佳的结构和超参数设置。先前的研究表明，模型信息可以被利用来协助其他攻击，例如成员推断、生成对抗性示例。因此，这些信息，如超参数，应该保持机密。众所周知，攻击者可以利用目标ML模型的输出来窃取模型的信息。在本文中，我们发现了一种新的模型信息窃取攻击的侧信道，即广泛用于展示模型性能并易于访问的模型科学绘图。我们的攻击方法简单明了。我们利用影子模型训练技术为攻击模型生成训练数据，该攻击模型本质上是一个图像分类器。对三个基准数据集进行广泛评估表明，我们提出的攻击方法可以有效地推断基于卷积神经网络（CNN）的图像分类器的架构/超参数，只要从它生成的科学绘图。我们还揭示了攻击的成功主要是由于科学绘图的形状，进一步证明了这些攻击在各种情况下都是具有鲁棒性的。考虑到攻击方法的简单和有效性，我们的研究表明，科学绘图确实构成了模型信息窃取攻击的有效侧信道。为了减轻这些攻击，我们提出了几种防御机制，可以降低原始攻击的准确率，同时保持绘图的实用性。然而，这些防御仍然可以被自适应攻击所绕过。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-28-zhang-boyang.pdf

149、A Large Scale Study of the Ethereum Arbitrage Ecosystem

以太坊区块链迅速成为复杂金融生态系统的中心，由去中心化交易所（DEXs）驱动。这些交易所构成了一个多元化的资本市场，任何人都可以在其中将一种代币换成另一种代币。套利交易是自由资本市场中正常且预期的现象，实际上，近期的一些研究发现了去中心化交易所上的这些交易。不幸的是，现有的研究在我们对整个系统的理解上留下了重要的知识空白，这阻碍了对套利的安全性、稳定性和经济影响的研究。为了解决这个问题，我们对28个月的时间进行了两次大规模测量。首先，我们设计了一种新颖的套利识别策略，能够分析比以前的工作多10倍的DEX应用。这揭示了380万次套利，总收益为3.21亿。其次，我们设计了一种新颖的套利机会检测系统，这是第一个支持大规模现代复杂价格模型的系统。该系统发现了40亿次套利机会，每周可产生约395个以太币的利润（在撰写本文时约为50万美元）。我们观察到两个关键洞察，证明了这些测量的有用性：（1）越来越高的收入比例支付给矿工，这威胁了共识的稳定性；（2）套利机会偶尔会持续几个区块，这意味着价格预言机操纵攻击的成本可能比预期的要低。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-515-mclaughlin.pdf

150、A Data-free Backdoor Injection Approach in Neural Networks

最近，对深度神经网络（DNNs）的后门攻击得到了广泛的研究，这种攻击使得植入后门的模型在良性样本上表现良好，而在受控样本（带有触发器）上表现恶劣。几乎所有现有的后门攻击都需要访问原始训练/测试数据集或与主任务相关的数据来将后门注入目标模型，这在许多场景下是不现实的，例如，私有训练数据。在本文中，我们提出了一种“无数据”的新颖后门注入方法。我们收集与主任务无关的替代数据，并通过过滤掉冗余样本来减少其数量，以提高后门注入的效率。我们设计了一种新颖的损失函数，用于使用替代数据将原始模型微调为植入后门的模型，并优化微调以平衡后门注入和主任务性能。我们对各种深度学习场景进行了广泛实验，例如图像分类、文本分类、表格分类、图像生成和多模态，使用不同的模型，如卷积神经网络（CNNs）、自动编码器、Transformer模型、表格模型以及多模态DNNs。评估结果表明，我们的无数据后门注入方法可以有效地嵌入后门，攻击成功率接近100％，在主任务上的性能降级是可以接受的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-573-lv.pdf

151、“Security is not my field, I’m a stats guy”: A Qualitative Root Cause Analysis of Barriers to Adversarial Machine Learning Defenses in Industry

对抗性机器学习（AML）有可能泄露训练数据、强制任意分类，并严重降低机器学习模型的整体性能，这些问题都被学术界和企业视为严重问题。尽管如此，开创性的研究发现，大多数组织对这些威胁的防范不足。虽然AML防御不足通常归因于缺乏知识，但尚不清楚为什么这些缓解措施在工业项目中无法实现。为了更好地理解部署AML防御不足的原因，我们对数据科学家和数据工程师进行了半结构化访谈（n=21），探讨了哪些障碍阻碍了这些防御的有效实施。我们发现，实践者部署防御的能力主要受到三个因素的影响：对这些概念缺乏制度动力和教育资源，无法充分评估他们的AML风险并做出相应的决策，以及组织结构和目标不利于实施，而是支持其他目标。我们最后讨论了公司和实践者如何更加了解这些风险并做好应对准备的实际建议。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-324-mink.pdf

152、“Millions of people are watching you”: Understanding the Digital-Safety Needs and Practices of Creators

本文、标题和摘要将在研讨会的第一天，即2023年8月9日，对公众公开。

153、“Employees Who Don’t Accept the Time Security Takes Are Not Aware Enough”: The CISO View of Human-Centred Security

在较大的组织中，保护员工的安全控制和策略通常由首席信息安全官（CISO）负责管理。在研究、行业和政策方面，越来越多的努力将人类行为干预和影响原则与CISO的实践联系起来，尽管这些领域本身是复杂的。在这里，我们探讨了以人为本安全（HCS）的概念在暴露于实践需求后的生存情况：在一项行动研究方法中，我们与n=30位瑞士CISO社区成员进行了为期8个月的五次研讨会，讨论了HCS。我们对在讨论过程中所记录的超过25个小时的笔记进行了编码和分析。我们发现，CISOs首先将HCS视为市场上可用的产品，即安全意识和网络钓鱼模拟。虽然他们经常将责任转移到管理层（要求更多支持）或员工（责备他们），但我们看到缺乏权力和孤岛思维，使得CISOs无法考虑实际的人类行为和安全对员工造成的摩擦。我们得出结论：行业最佳实践和HCS研究的最新进展是不一致的。

PDF下载：https://www.usenix.org/system/files/sec23fall-prepub-110-hielscher.pdf

原文始发于微信公众号（漏洞战争）：网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结（下）