学术期刊网 > 学术资讯 > BCS2021:InForSec 网络空间安全国际学术成果分享论坛成功举办

BCS2021:InForSec 网络空间安全国际学术成果分享论坛成功举办

学术期刊网 学术资讯 2021-08-28

8 月 27 日,北京网络安全大会(BCS 2021)议程进入第二日,由 InForSec 主办的网络空间安全国际学术成果分享论坛正式举办。本次论坛议题为 " 网络安全国际四大顶会学术成果分享 ",来自加州大学尔湾分校的助理教授陈齐、蚂蚁安全对抗技术部负责人曲和、蚂蚁金服隐私计算高级算法专家王力等多位业内人士及学者,,共同探讨人工智能安全及漏洞入侵防范等国际前沿技术研究。

BCS2021:InForSec 网络空间安全国际学术成果分享论坛成功举办

会议第一部分的议题为 " 信息物理系统安全 "。来自加州大学尔湾分校的助理教授陈齐指出,自动驾驶(AD)技术因其在驾驶安全性、效率和移动性方面的显著优势而一直受到国际追捧。在该技术中,AI 感知决策极为关键,它决定了驾驶决策的安全性,如避免碰撞和保持车道,因此其中的任何安全问题都可能直接影响道路安全。他分享了其最新研究,通过两个关键 AI 模块:感知和定位,发现多种可攻破工业级自动驾驶 AI 的新型物理层攻击(比如激光雷达攻击、恶意形状的路面障碍物、路面污渍等等),造成严重交通隐患。他还介绍了更广泛意义的智能交通中 AI 安全性的最新研究,尤其是车联网技术的研究。

近年来,指纹认证在移动设备越来越受欢迎,被称为最受用户青睐的身份认证方式。然而,在实际使用的环节中,它易受到展示攻击(Presentation attack)的威胁。对此,众多研究学者提出了基于软件和硬件的方法以防御展示攻击,这些方法的关注更多的是指纹活体检测,无法防御指纹认证中被忽视的木偶攻击。

关于如何 " 使用行为特征技术增强指纹认证以抵御木偶攻击 ",武汉大学国家网络安全学院博士生吴聪在会上分享了他们的设计方案——一种基于行为特征的指纹认证增强方案 FINAUTH。当用户在执行指纹认证的时候,通过分析指尖触摸(fingertip-touch)的行为特征,即可判断当前输入指纹的用户是否为合法用户。FINAUTH 仅依赖于的移动设备上常见传感器,不会给用户带来额外的操作负担。

移动应用开发过程中嵌入了大量的第三方库,它们丰富了移动应用的功能,但是也引入了许多安全风险,例如从移动设备及应用后端服务器窃取用户隐私数据。中国科学院大学博士生王基策研究揭示了一个新的严重威胁用户隐私的攻击向量——恶意第三方库攻击集成于同一应用程序中的其他第三方库,以获取用户隐私数据(Malicious Cross-library Data Harvesting)。通过检测 Google Play 市场上的 130 万个移动应用,发现 "42 个恶意库从 16 个流行的第三方库中窃取数据,影响了超过 19000 个应用,研究进一步揭示了这种数据收集行为背后的地下生态系统、它们独特的数据收集策略及其重要影响。"

论坛第二部分的议题为 " 软件安全 ",来自蚂蚁集团安全对抗技术部的林以,带来了题为《APICRAFT: Fuzz Driver Generation for Closed-source SDK Libraries(USENIX Security 2021)》的演讲。闭源 SDK 库的 fuzz driver 生成常常面临两大挑战:一是闭源 SDK 库仅有有限的信息可被提取;二是 API 函数之间语义关系复杂,但仍需要保证其正确性。为了解决这些挑战,他们提出了 APICRAFT,一种自动化 fuzz driver 生成技术。通过将 APICRAFT 实现为 fuzz driver 自动化生成框架,并使用来自 macOS SDK 的五个攻击面对其进行评估。在评估中,APICRAFT 生成的 fuzz driver 表现出比手动编写的更出色的代码覆盖率,平均提高了 64%。

开发者在调用 API 时,需要遵守软件库文档中所规定的约束。违背 API 的调用假设被称之为 API 误用,其会造成严重的软件安全问题。中国科学院信息工程研究所研究生吕涛研究了如何更加高效地检测 API 误用。考虑到自然语言处理技术的快速发展以及其在各个领域产生的显著效果,基于该技术提出了一套系统性的方法来自动化地提取调用假设并将其转化为验证代码,以发现与调用假设相违背的应用程序代码(即 API 误用)。

由于密态计算的复杂度高、通信量大,导致在实际应用中性能难以符合要求,蚂蚁金服隐私计算高级算法专家王力发表了题为《高性能隐私保护机器学习算法》的演讲,并介绍了如何结合机器学习和多方安全计算的计算特性,提升隐私保护机器学习的安全性和计算性能,在保证算法实用性的情况下,做到可证安全。

近年来,兴起以 AFL 为代表的 Coverage-based Greybox Fuzzing 技术。然而,AFL 在测试时会分配过多的能量(即种子变异产生的测试用例的数量)给执行高频路径的低质量种子,从而浪费了大量的计算资源。此外,当前研究领域对 Coverage-based Greybox Fuzzing 技术的调度算法方面的研究还不够深入。对此,国防科技大学计算机学院博士研究生乐泰提出了一种基于 Adversarial Multi-Armed Bandit 的变异式模型来对 Coverage-based Greybox Fuzzing 中的调度过程进行建模。并在 AFL 基础上实现了一款自适应能量节约型 Greybox Fuzzer —— EcoFuzz。乐泰曾将 EcoFuzz 与其他 10 个工具在 14 个真实程序和 LAVA-M 上进行了对比测试,此次参会,他向大家分享了该实验结果," 相较于 AFL,EcoFuzz 能够在减少 32% 测试用例生成数量的情况下,达到 214% 的路径覆盖率。此外,EcoFuzz 还发现了 GNU Binutils 和其他软件中的 12 个漏洞。我们还扩展了 EcoFuzz 来测试一些物联网设备,并在 SNMP 组件中发现了一个新漏洞。"

BCS2021:InForSec 网络空间安全国际学术成果分享论坛成功举办杂志位列学术资讯
广告位
下一篇:没有了