网络空间安全领域顶级会议技术成果分析推荐 (NDSS 2021篇)

一、引言

NDSS 2021会议共发表87篇论文（录取比例15.2%），创新成果涉及互联网安全、移动无线网络安全、数据安全、密码、人工智能安全、硬件安全、软件安全、区块链安全、安全分析、物联网安全以及无人系统安全等众多领域。其中23篇论文研究工作得到了美国国防部高级研究计划局（DARPA）、美国陆军研究办公室（ARO）、美国海军研究办公室（ONR）以及美国空军研究实验室（AFRL）等美国军方机构项目支持，典型成果包括创新发展了多类安全分析技术发现了多类新型安全脆弱性，发展了多类社交网络安全性隐私性保障技术，发展了高效能的具备高隐私保障能力的神经网络技术，发展了高效APT取证技术以及发展了软件供应链安全检测技术等。

二、安全分析技术

NDSS 2021会议共发表87篇论文（录取比例15.2%），创新成果涉及互联网安全、移动无线网络安全、数据安全、密码、人工智能安全、硬件安全、软件安全、区块链安全、安全分析、物联网安全以及无人系统安全等众多领域。其中23篇论文研究工作得到了美国国防部高级研究计划局（DARPA）、美国陆军研究办公室（ARO）、美国海军研究办公室（ONR）以及美国空军研究实验室（AFRL）等美国军方机构项目支持，典型成果包括创新发展了多类安全分析技术发现了多类新型安全脆弱性，发展了多类社交网络安全性隐私性保障技术，发展了高效能的具备高隐私保障能力的神经网络技术，发展了高效APT取证技术以及发展了软件供应链安全检测技术等。

1.《WINNIE:利用合成和快速克隆对Windows应用程序进行模糊测试》（WINNIE: FuzzingWindows Applications with Harness Synthesis and Fast Cloning）

针对的问题：如何针对Windows应用进行Fuzzing测试。

现有解决方案的不足：由于Windows系统的封闭性、图形化和无克隆机制等条件限制，现有的Fuzzing主要集中于类Unix系统上，对Windows系统使用受限。

提出的创新方案的概述：作者构建了一个端到端WINNIE系统，包含两个组件：可从二进制文件中自动合成工具的生成器，以及一个高效的Windows forkserver。主要工作流程是：首先，在多个输入条件下运行目标程序，并收集执行路径，选取适合进行Fuzzing的函数和库；然后，由生成器搜索执行路径，收集到对目标库的所有函数调用，并提取形成工具框架；最后，尝试确定不同函数调用和参数之间的关系，以构建一个完整的工具。为了对Windows系统实现一个高效的fork-server，作者对空文档Windows API进行了识别分析，这些API支持类似于Unix系统的copy- write fork（读写复刻）操作，构造了第一个在Windows系统上的fuzzing fork的实际版本。

达到的效果：作者在59个可执行文件上应用了WINNIE，包括Visual Studio、ACDSee、ultraISO和EndNote。与当前最先进的Fuzzing工具WinAFL对比，经改进的fuzzer的执行速度比WinAFL快了26.6倍，发现的基本块比WinAFL多了3.6个。针对59个可执行文件， WINNIE成功地从32个二进制文件中发现了61个漏洞，而WinAFL只支持29个文件。

局限性：使用线束测试程序会限制所选特性的覆盖范围， WINNIE无法在路径中找到未预见特性的任何代码。因此，API设置的跟踪覆盖范围可能限制最大代码覆盖范围；产生的线束的数量受所跟踪的输入数量的限制。

资助来源：美海军研究办公室（ONR）（项目代号N00014-18-1-2662、N00014-15-1-2162）；美国国防部高级研究计划局（DARPA）（项目代号HR00112090034）。

开源情况：

https://github.com/sslab-gatech/winnie

推荐理由：模糊测试（Fuzzing）是一种新兴的软件测试技术，用于自动验证程序功能和发现安全漏洞。我们发现，最近几年，Fuzzing技术成为国际网络安全领域“四大顶会”讨论的最热点技术之一，创新成果不断涌现。本文以构建fork-server的思路解决制约Fuzzing应用于Windows系统的瓶颈问题，思路具有创新性。尤其是在与WinAFL的对比试验中，WINNIE系统展现了更快的执行速度和更佳的测试性能，值得学习和借鉴。

2.《XDA:使用迁移学习进行精确、鲁棒的反编译》（XDA: Accurate,Robust Disassembly with Transfer Learning）

针对的问题：反编译具有相当难度，因为剥离后的二进制文件缺少了符号表和源代码信息，反编译器难以从不完全信息中近似地恢复程序框架。对二进制文件如何进行高效的反编译是本文研究重点。

现有解决方案的不足：许多流行的反编译程序，如IDA Pro，在对二进制文件的反编译任务中，错误识别了高达58%的函数边界和4%的汇编指令，正确率较低。此外，许多用于检测函数的启发式方法需要持续手动地维护大型数据库，例如IDA Pro当前用于识别常用库函数的数据库大小超过41MB，而Ghidra则超过179MB。也有研究探索了使用机器学习来解决这些挑战，但面临精确性和鲁棒性的挑战。

提出的创新方案的概述：作者创新提出了XDA 框架，它可以学习二进制代码中不同的上下文相关性，并将这些知识迁移到反编译任务中，采用了两步迁移学习进行反编译：首先对模型进行预训练，基本理解机器代码；然后对其进行微调，完成反编译。作者也证实了掩码语言模型（Masked Language Modeling）是一种行之有效的预训练模型，可以使模型彻底理解机器代码的属性，帮助恢复函数边界和汇编指令。

达到的效果：研究者以两个反编译任务（恢复函数边界和汇编指令，使用来自于SPEC CPU2017、SPEC CPU2006和BAP语料集中的3121个二进制文件）来评估XDA性能。XDA在恢复功能边界和指令方面分别达到99.0%和99.7%的F1分数，在这两个任务上都超过了之前最好水平。在速度方面，比手工编写的反编译程序（如IDA Pro）快38倍。

局限性：需进一步应用优化。

资助来源：美国海军研究办公室（ONR）（项目代号N00014-17-1-2010、N00014-16-1-2263）。

开源情况：https://github.com/CUMLSec/XDA

推荐理由：反编译是将可执行文件变成源程序的过程，在软件调试、漏洞分析中具有重要作用。反编译工具分为两类，一类是动态分析工具OD、DEBUG、x64Dbg等，一类是静态分析工具IDA Pro、C32Asm等，这些工具长期占据主流位置，性能难以突破。本项成果在精确性、鲁棒性、效率等方面可以说是对原有工具的大幅提升，值得进一步研究。

3. 《NETPLIER：通过网络消息序列进行网络协议逆向分析》（NETPLIER:Probabilistic Network Protocol Reverse Engineering from Message Traces）

针对的问题：网络协议逆向分析在网络空间安全领域中应用广泛，包括脆弱性扫描、攻击检测、恶意代码分析等。很多应用使用自研私有网络通信协议，几乎只能通过该协议产生的网络消息对其进行分析。需要高效的基于协议产生的网络消息集合对协议进行逆向分析的技术。

现有解决方案的不足：当前技术难以处理大量信息，并且处理中引入不确定性，从而导致逆向分析结果不准确。

提出的创新方案概述：研究发现网络协议逆向分析成功的关键是准确识别出协议中规定了网络消息类型的那个关键字（keyword）字段。当前的关键字字段识别方法会引入不少不确定性。提出的方法首先利用多序列对齐技术对齐所有消息，然后从对齐的字段集中识别关键字字段。使用随机变量来表示每个字段关键字字段的可能性。在随机变量和消息观测值之间构建一个联合分布。然后进行概率推理，确定最有可能是关键字字段的部分，并按照对消息进行聚类，从而恢复消息格式和协议状态机。

达到的效果：实现了原型NETPLIER，并应用在网络协议逆向分析研究中经常使用的10个协议，与此前技术进行比较。比较结果表明，NETPLIER可以实现100%的同质性和97.9%的完整性，而此前最先进的技术只能实现约92%的同质性和52.3%的完整性。为了验证通用性，使用NETPLIER对实际物联网设备中使用的无线物理层协议和多种未知协议进行逆向分析。对GoogleNest物联网智能应用协议进行逆向分析，从而能够操纵由该应用控制的空调装置，另外对一个近期一个恶意软件C&C协议进行分析，从而能够暴露其隐藏的恶意行为。

局限性：对于加密网络消息难以应用。

资助来源：美国海军研究办公室（ONR）（项目代号N000141712045、N000141410468、N000141712947），美国情报高级研究计划局（IARPA）（项目代号W911NF-19-S-0012）。

开源情况：https://github.com/netplier-tool/NetPlier

推荐理由：网络空间新应用不断涌现，这些新应用常常使用自研私有协议。对这些私有协议进行准确的逆向分析，对于很多网络空间安全任务具备基础性价值。本文创新发展了一种基于网络消息的协议逆向分析技术，能够大幅提升协议逆向准确性，值得安全研发人员参考借鉴并尝试应用，进一步综合其它分析技术继续完善多类场景下的私有协议逆向分析。

三、人工智能安全技术

1. 《对基于深度学习的推荐系统的数据中毒攻击》（Data Poisoning Attacks to Deep Learning Based Recommender Systems）

针对的问题：基于邻域的、基于关联规则的、基于矩阵分解的和基于深度学习的推荐系统，均已在工业上得到了应用。其中，基于深度学习的推荐系统以其优越的性能越来越受到人们的青睐，但是系统攻击者试图操纵推荐系统，以便其选择的目标项被推荐给许多用户。该研究针对基于深度学习的推荐数据中毒攻击进行了系统的研究。

现有解决方案的不足：现有的数据中毒攻击要么对推荐系统算法不可知，要么对传统的推荐系统算法进行优化。尽管基于深度学习的推荐系统受到越来越多的关注，并已在工业中得到了广泛应用，但它们对数据中毒攻击的安全性在很大程度上是未知的。

提出的创新方案概述：将具有精心设计的评级的假用户注入推荐系统，将设计的攻击描述为一个优化问题，由于该优化问题是一个非凸整数规划问题，课题组开发了多种技术来近似求解优化问题。

达到的效果：通过在三个真实数据集上的实验证明了攻击有效性，且性能优于现有攻击。

局限性：存在其他一些针对数据中毒攻击的检测和防御机制。

资助来源：略。

开源情况：未开源。

推荐理由：该研究证明了对基于深度学习的推荐系统的数据中毒攻击可通过结合多种启发式表示为优化问题，该攻击可以有效地促进攻击者选择的目标被推荐给更多的普通用户，优于现有的攻击，即使攻击者无法访问目标推荐系统的神经网络结构，并且只能访问部分用户项交互矩阵，攻击仍然有效，即使部署了基于评分的检测器，攻击仍然有效并优于现有攻击。该研究可为未来开发新的方法来检测虚假用户和设计新的推荐系统，以及更强大的数据中毒攻击提供参考。

2. 《基于差异比较的实用化黑盒数据成员推断攻击》（Practical Blind Membership Inference Attack via DifferentialComparisons）

针对的问题：数据成员推断（MI）攻击是深度神经网络等人工智能面临的一类安全问题，攻击通过推断给定的数据样本是否被用于训练，从而对用户隐私造成影响。当前的黑盒MI攻击效能较低，需要设计高效能黑盒MI攻击。

现有解决方案的不足：当前黑盒MI攻击主要有两种类型，即基于替代模型的攻击和没有替代模型的攻击。前者效能很大程度上取决于替代模型的质量，后者由于真实数据成员信息缺乏，难以做出有效推断。

提出的创新方案概述：提出了一种名为BLINDMI的MI攻击，其中最大的原创性是提出了差异比较。BLINDMI首先通过将现有样本转化为新样本，生成一个具有非成员的数据集，然后以迭代的方式将样本从目标数据集差异化地移动到生成的非成员集。如果样本的差异移动增加了设定的距离，BLINDMI就会将样本视为非成员，从而判断数据样本是否属于训练数据集。

达到的效果：通过与最先进的MI攻击算法进行比较，对BLINDMI进行评估。评估结果表明，在一些数据集上，如Purchase-50和Birds-200，在黑盒情况下，即攻击者不知道目标模型架构和目标数据集真实情况标签的环境下，BLINDMI与最先进的MI攻击算法相比，F1-score提高了近20%。另外，BLINDMI可以击败当前最先进的MI攻击防御机制。

局限性：缺乏针对BLINDMI的高效防御机制。

资助来源：美国国家科学基金会（NSF）（项目代号CNS-18-54000、CNS-19-37786）。

开源情况：https://github.com/hyhmia/BlindMI

推荐理由：数据成员推断攻击是当前人工智能技术面临的一项严重的隐私威胁。本文创新提出的黑盒攻击，比此前最好攻击的效能大幅提升，并且能够突破当前针对此类攻击的防御机制。本文值得人工智能安全研发人员借鉴，尤其需要设计新型防御机制，填补空白，对抗此类新型攻击。

3.《POSEIDON：具备隐私保障能力的联邦学习》（POSEIDON:Privacy-Preserving Federated Neural Network Learning）

针对的问题：为了训练得到高准确率的大型机器学习模型，需要大量训练数据。不同机构掌握有不同的数据，这些数据结合起来才有可能训练得到好的模型。然而，金融、医疗等行业机构，由于数据隐私等考虑，很多并不希望将其珍贵的数据用于模型训练。当前正在飞速发展的多方联邦学习机制，允许多个分立的机构在其自己的数据上训练本地模型，然后通过本地模型参数上传与融合等机制，获得一个高质量的全局模型。由于近期研究发现联邦学习机制面临模型更新污染攻击等新型安全问题，迫切需要具备高隐私保障能力的联邦学习机制。

现有解决方案的不足：当前联邦学习机制的高隐私保障能力，主要依赖差分隐私与传统密码技术。但是差分隐私的保障能力依赖一些具体参数，传统密码技术又可能面临未来量子计算的威胁。

提出的创新方案概述：提出了POSEIDON，使用基于格的多方同态加密进行神经网络训练。POSEIDON依靠小批量梯度下降，并在整个训练过程中保持权重和梯度处于加密态，从而保护神经网络模型的中间更新不受任何一方的干扰。POSEIDON还可以将生成的加密模型用于对数据进行私密推断。

达到的效果：实验结果表明，POSEIDON能够达到与集中式训练或不能保障隐私的分布式训练方法类似的精度，并且其计算和通信开销与参与方数目呈线性扩展。POSEIDON在MNIST数据集上训练了一个3层神经网络，有784个特征和60K样本，分布在10个参与方中，训练时间不到2小时。

局限性：效能无法满足实用需求，需要不断创新提高。

资助来源：略。

开源情况：未开源。

推荐理由：联邦学习是近几年高速发展的人工智能技术，在大规模分布式学习中有广阔应用前景。为了应对联邦学习中遇到的训练数据、模型参数泄漏等安全问题，业界正在不断创新具备高度隐私保障能力的联邦学习机制。本文是业界第一个具备抗量子计算能力的联邦学习技术，能够保护参与方数据、中间模型更新和最终模型权重等信息。本文非常值得人工智能安全研发人员参考，该技术应用前景非常广阔，但要达到实用要求的效能也非一日之功，需要做出较为重大的创新，机遇与挑战同在。

声明：本文来自网安思考，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。