网络安全学术顶会——CCS '23 论文清单与摘要

1、“Get in Researchers; We’re Measuring Reproducibility”: A Reproducibility Study of Machine Learning Papers in Tier 1 Security Conferences

可复现性对科学的进展至关重要；它增强了对看似矛盾结果的信心，并拓展了已知发现的边界。计算机安全天然具备创建可促进计算复现性的工具的优势，即他人可以相对简单地使用他人的代码和数据独立重现结果。尽管安全界最近对可复现性的关注有所增加，但尚未进行过独立而全面的可复现性现状测量。在本文中，我们进行了第一次这样的研究，针对过去十年（2013-2022年）发表在顶级安全会议上的机器学习安全论文产生的可复现性工件。我们对近750篇论文、它们的代码库和数据集进行了间接和直接可复现性的测量研究。我们的分析显示，在引入顶级会议的工件评估委员会之前和之后，工件的可用性之间没有统计上显著的差异。然而，基于三年的结果，通过该过程的工件的工作率要高于未通过的工件。根据我们收集到的结果，我们提供了数据驱动的建议，以改进我们的社区中的可复现性，包括我们研究中观察到的五个常见问题。通过这样做，我们证明在计算机安全研究中仍然需要取得重要进展。

论文链接：https://doi.org/10.1145/3576915.3623130

2、“I just stopped using one and started using the other”: Motivations, Techniques, and Challenges When Switching Password Managers

本文探讨了美国密码管理器（PM）用户在切换PM时的动机、切换时采用的技术以及他们在整个过程中遇到的挑战。通过筛选调查（n = 412）和主要调查（n = 54），我们发现基于浏览器的PM是最广泛使用的，其中大多数用户使用PM的动机是便利性。不幸的是，密码重复使用的情况仍然很普遍。大多数切换PM的参与者这样做是出于可用性的原因，但也受到成本的驱动，因为第三方PM的全部功能通常需要订阅费用。一些切换PM的人也受到最近的安全漏洞的驱动，比如2022年秋季在LastPass上报告的情况，导致一些参与者对LastPass和PM总体上失去了信任。大多数切换PM的人主要采用手动技术来转移他们的密码，例如将凭据从之前的PM复制粘贴到新的PM中，尽管大多数PM都提供了批量自动转移凭据的方式。在切换过程中的辅助帮助有限，不到一半的切换者在切换过程中接受到了指导。根据这些发现，我们向PM提出了一些建议，以改善他们的整体用户体验和使用情况，包括征求并采纳用户的定期反馈，以及使PM设置更容易被终端用户访问和定制。

论文链接：https://doi.org/10.1145/3576915.3623150

3、“Make Them Change it Every Week!”: A Qualitative Exploration of Online Developer Advice on Usable and Secure Authentication

在Web和其他领域上，可用且安全的身份验证至关重要。虽然基于密码的身份验证仍然广泛使用，但用户在处理潜在的数百个在线账户及其密码时遇到困难。替代方案或扩展，如多因素身份验证，也面临着自己的挑战，并且只得到了有限的采用。对于开发人员来说，在安全性和可用性之间找到合适的平衡是具有挑战性的。以往的研究发现，开发人员在编写代码时使用在线资源来获取安全决策的信息。与其他领域类似，关于身份验证的开发人员建议在网上广泛可得，包括博客文章、Stack Overflow上的讨论、研究论文或OWASP或NIST等机构的指南。我们是第一个探索影响终端用户可用安全性的开发人员身份验证建议的研究者。通过对18名专业Web开发人员进行调查，我们获取了406份文档，并对其中的272份建议进行了深入的定性分析。我们的目标是了解在线建议的可访问性和质量，并提供关于在线建议如何对（不）安全和（不）可用的身份验证产生影响的见解。我们发现建议零散分布，对于开发人员来说，找到可推荐且一致的建议是一项挑战，等等。最常见的建议是基于密码的身份验证，但对于更现代化的替代方案的建议较少。不幸的是，许多建议是有争议的（例如，复杂的密码策略），过时的（例如，强制定期更改密码）或相互矛盾的，可能导致不可用或不安全的身份验证。根据我们的调查结果，我们向开发人员、建议提供者、官方机构和学术界提出了如何改进开发人员在线建议的建议。

论文链接：https://doi.org/10.1145/3576915.3623072

4、“We’ve Disabled MFA for You”: An Evaluation of the Security and Usability of Multi-Factor Authentication Recovery Deployments

多因素身份验证旨在通过添加硬件令牌或使用移动应用程序生成的一次性密码等其他因素来增强基于密码的身份验证的安全性。然而，这种增加的身份验证安全性也带来了潜在的缺点，可能导致账户和资产的丧失。如果用户出于任何原因失去了对其额外身份验证因素的访问权限，他们将无法登录其账户。因此，提供多因素身份验证的服务应该采取措施，使用户能够从失去对额外因素的访问权限中恢复，既安全又易于使用。在这项工作中，我们调查了多因素身份验证恢复程序的安全性和用户体验，并将其部署与帮助和支持页面上的描述进行了比较。首先，我们评估了1,303个提供多因素身份验证的网站的官方帮助和支持页面，并收集了有关其恢复程序的记录信息。其次，我们选择了71个网站，创建了账户，设置了多因素身份验证，并对其恢复程序的安全性和用户体验进行了深入调查。我们发现许多网站部署了不安全的多因素身份验证恢复程序，并且在获得与账户关联的电子邮件地址的访问权限时，允许我们绕过和禁用多因素身份验证。此外，我们经常观察到我们的深入分析与官方帮助和支持页面之间存在差异，这意味着旨在帮助用户的信息通常是不正确或过时的。根据我们的调查结果，我们提供了关于多因素身份验证恢复的最佳实践建议。

论文链接：https://doi.org/10.1145/3576915.3623180

5、A Generic Methodology for the Modular Verification of Security Protocol Implementations

安全协议是现代IT系统的重要构建模块。它们的设计或实现中微妙的缺陷可能危及整个系统的安全性。因此，通过形式验证来证明不存在这些缺陷是非常重要的。目前的大部分工作都集中在协议模型的验证上，但这还不足以证明它们的实现确实是安全的。针对协议实现的验证技术（例如通过代码生成或模型提取）通常对所使用的编程语言和代码设计施加严格限制，这可能导致次优的实现。在本文中，我们提出了一种在协议实现层面上对强安全性属性进行模块化验证的方法。我们的方法利用最先进的验证逻辑和工具，支持各种实现和编程语言。我们通过验证Go语言实现的Needham-Schroeder-Lowe协议、Diffie-Hellman密钥交换协议和WireGuard协议的内存安全和安全性来证明其有效性，其中包括WireGuard协议的前向保密和可注入协议。我们还展示了我们的方法对特定语言或程序验证器的无偏见，以C语言的原型实现为例。

论文链接：https://doi.org/10.1145/3576915.3623105

6、A Good Fishman Knows All the Angles: A Critical Evaluation of Google’s Phishing Page Classifier

钓鱼是最常见的网络攻击之一。为了提供在线保护，钓鱼检测已经集成到主流浏览器中。谷歌Chrome的钓鱼检测器每周报告数百万次钓鱼攻击。然而，已经证实该检测器容易受到规避攻击。目前，谷歌已经升级了Chrome/Chromium的钓鱼检测器，引入了基于CNN的图像分类器。新一代检测器的鲁棒性尚不清楚。如果它可以被绕过，数十亿用户将面临复杂的攻击者。本文通过有针对性的规避测试对谷歌的钓鱼检测器进行了关键评估，并研究了相应的防御技术。首先，我们提出了一种针对钓鱼图像分类器的三阶段规避方法。实验证明，使用提出的方法生成的对抗性钓鱼页面可以完全绕过检测器。与此同时，钓鱼页面仍然保持其视觉效果。其次，我们介绍了两种增强钓鱼检测模型的防御技术。结果显示，即使使用轻量级的防御方法也可以显著提高模型的鲁棒性。我们的研究揭示了谷歌的新一代钓鱼分类器对有针对性的规避攻击非常脆弱。熟练的钓鱼者知道如何愚弄分类器。数十亿Chrome用户面临潜在的钓鱼攻击。为了提高其鲁棒性，应引入必要的安全增强措施。

论文链接：https://doi.org/10.1145/3576915.3623199

7、A Novel Analysis of Utility in Privacy Pipelines, Using Kronecker Products and Quantitative Information Flow

我们将Kronecker产品和定量信息流相结合，为复杂隐私管道中效用的细粒度验证提供了一种新的形式化分析。这种组合解释了隐私保护管道效用行为中的一个令人惊讶的异常现象 - 有时隐私减少也会导致效用的降低。我们使用Ghosh等人引入的贝叶斯分析标准效用度量来产生可行且严谨的证明，以解释导致这种异常现象的细粒度统计行为。更一般地说，我们提供了一种用于效用的形式分析工具，与现有的隐私形式分析相辅相成。我们在一些常见的隐私保护设计上展示了我们的结果。

论文链接：https://doi.org/10.1145/3576915.3623081

8、A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries

为了保护加密实现免受侧信道漏洞的影响，开发人员必须采用常数时间编程实践。由于这些实践可能容易出错，因此提出了许多侧信道检测工具。尽管如此，此类漏洞仍然需要手动在加密库中进行发现。尽管Jancar等人最近的一篇论文表明开发人员很少进行侧信道检测，但现有的检测工具是否能够首先发现这些漏洞尚不清楚。为了回答这个问题，我们调查了文献并建立了一个包含34个侧信道检测框架的分类。我们提供的分类比较了多个标准，包括使用的方法、分析的可伸缩性以及考虑的威胁模型。然后，我们在一组有前景的5个检测工具上构建了一个统一的常见基准，用于代表性的加密操作。这个基准使我们能够更好地比较每个工具的能力以及它们的分析可伸缩性。此外，我们还提供了最近发布的侧信道漏洞的分类。然后，我们在重现其中一部分漏洞以及它们出现的上下文的基准测试中对每个选定的工具进行测试。我们发现现有的工具在发现漏洞时可能会遇到各种问题，主要是缺乏对SIMD指令、隐式流和内部秘密生成的支持。基于我们的发现，我们为研究界和加密库开发人员提出了一系列建议，旨在提高侧信道检测工具的有效性。

论文链接：https://doi.org/10.1145/3576915.3623112

9、A Thorough Evaluation of RAMBAM

掩码技术被广泛认为是对抗侧信道分析（SCA）攻击最强大和可靠的对策，已在各种加密算法中进行了广泛研究，特别是AES。然而，应用此类对策所带来的实现成本可能是显著的，甚至在某些情况下由于面积和延迟开销的考虑以及确保结果设计的安全性所需的新鲜随机性，可能是不可行的。这些开销大部分源于在存在物理缺陷（如毛刺和过渡）的情况下维护安全性的能力。在多个具有开销权衡的方案中，RAMBAM是在CHES~2022上提出的，它在时钟周期数量方面具有极低的延迟。它专用于AES，并利用有限域元素的冗余表示来增强对被动和主动物理攻击的保护。在本文中，我们对这种技术进行了深入研究并提供了全面的分析。原作者报告称，成功发动攻击所需的迹数随冗余表示的大小呈指数增长。然而，我们从理论的角度来检查他们的方案。更具体地说，我们调查了RAMBAM与成熟的布尔掩码之间的关系，并基于此证明了RAMBAM的不安全性。通过示例和使用案例，我们评估了该方案在实践中的信息泄漏，并使用验证工具证明RAMBAM在理论和实践中都不能提供足够的抵御SCA攻击的保护。通过真实世界的实验证实，我们还强调，如果没有整合专用设施，RAMBAM设计容易受到故障注入攻击的影响，尽管对抗复杂攻击向量（即SIFA）提供了一定程度的保护。

论文链接：https://doi.org/10.1145/3576915.3623190

10、ACABELLA: Automated (Crypt)analysis of Attribute-Based Encryption Leveraging Linear Algebra

属性基加密（ABE）是一种流行的公钥加密类型，通过密码学手段强制执行访问控制，并促使了许多用例的提出。为了满足环境的要求，通常会引入定制方案。然而，设计安全方案以及验证其安全性都被公认为非常困难。其中几个方案已经被证明存在漏洞，使它们在实际部署中具有危险性。为了克服这些缺点，我们引入了ACABELLA。ACABELLA简化了基于配对的ABE方案的安全证明的生成和验证过程。它包括一个易于手动验证的安全证明框架和一个高效生成这些安全证明的自动化工具。生成这样的安全证明通常只需几秒钟。输出易于理解，证明可以手动验证。特别是，由ACABELLA生成的安全证明的验证归结为进行简单的线性代数运算。ACABELLA工具是开源的，也可以通过Web界面获得。借助它，专家可以通过验证或反驳其方案的安全性声明来简化证明过程，从而确保其选择的ABE方案是安全的。

论文链接：https://doi.org/10.1145/3576915.3616576

11、ADEM: An Authentic Digital EMblem

在武装冲突时期，红十字、红新月和红水晶的标志被用来标记物理基础设施。这使得军事单位能够识别这些资产受到国际人道法保护，以避免对其发动攻击。在本文中，我们解决了一个新颖的安全问题，即如何通过数字标志将这种保护扩展到数字、网络连接的基础设施上。数字标志具有一系列独特的安全要求，包括身份验证、问责制以及我们称之为隐秘检查的属性。隐秘检查意味着希望将资产认证为受保护的人必须能够这样做，而不会透露他们可能攻击未受保护实体的事实。在本文中，我们（i）定义了数字标志的要求，强调安全要求，（ii）提出了ADEM，这是一个分散设计，实现了类似于红十字、新月和水晶的物理标志的数字标志，（iii）提供了一个全面的威胁模型和分析，ADEM在面对主动网络对手时能够提供强大的安全保证。除了我们的安全分析外，ADEM还在国际红十字会的邀请下，在一系列领域专家会议上进行了评估。我们报告了我们收到的反馈意见，这些反馈意见支持我们的论点，即ADEM不仅在理论上有趣，而且在实践中与限制网络空间中受保护方遭受攻击相关。

论文链接：https://doi.org/10.1145/3576915.3616578

12、AIM: Symmetric Primitive for Shorter Signatures with Stronger Security

基于MPC-in-the-Head（MPCitH）范式的后量子签名方案近来引起了广泛关注，因为它们的安全性完全依赖于底层原语的单向性，为后量子密码学中的困难假设提供了多样性。最近，使用在大域上操作的简单代数S盒设计了MPCitH友好的密码算法，以提高生成的签名方案的性能。由于它们具有简单的代数结构，因此对抗代数攻击的安全性需要进行全面研究。在本文中，我们改进了基于二进制扩展域上幂映射的S盒的代数密码分析，以及基于这些S盒的密码原语。特别是，对于Gröbner基攻击于ⅇ2，我们通过实验证明，从底层S盒获得的布尔二次方程的确切数量对于正确估计基于正则性程度的理论复杂性至关重要。类似地，当从S盒中发现并使用所有可能的二次方程时，XL攻击可能更快。这种改进的密码分析导致了基于代数S盒的密码原语更精确的代数分析。考虑到改进的代数密码分析，我们提出了一种新的单向函数，称为AIM，作为一种MPCitH友好的对称原语，对抗代数攻击具有很高的抵抗力。AIM的安全性在代数、统计、量子和常规攻击方面进行了全面分析。AIM与BN++证明系统结合，产生了一种新的签名方案，称为AIM。我们的实现表明，就签名大小和签名时间而言，AIM在基于对称原语的现有签名方案方面表现出色。

论文链接：https://doi.org/10.1145/3576915.3616579

13、ASMesh: Anonymous and Secure Messaging in Mesh Networks Using Stronger, Anonymous Double Ratchet

大多数安全信使都有单一的集中式服务提供商，在用户之间传递密文以实现异步通信。然而，在某些情况下，如审查网络中的大规模抗议活动，依赖集中式提供商是致命的。网状信使试图通过构建用户客户端执行密文中继任务的自组网络来解决这个问题。然而，最近对广泛部署的网状信使的分析发现严重的安全漏洞（Albrecht等人CT-RSA’21和USENIX Security’22）。为了支持安全网状信使的设计，我们为网状消息传递提供了一种新的、更完整的安全模型。我们的模型捕获了前向和后妥协安全，以及前向和后妥协匿名性，这两者在这种情况下尤为重要。我们还确定了新的、更强的保密目标，这些目标由于网状网络的特殊特性（例如，延迟通信、分布式网络和对手）而可以实现。最后，我们开发了一种名为ASMesh的新协议，该协议可证明满足这些安全目标。为此，我们重新审视了Signal的Double Ratchet，并提出了非平凡的增强。最重要的是，我们增加了一种机制，提供前向和后向匿名性。因此，我们的协议在用户过去和未来的破坏下有效地提供了强保密性和匿名性。我们的大部分结果也适用于传统消息传递。我们证明了协议的安全性，并在模拟的网状网络中评估了它们的性能。最后，我们开发了一个概念验证实现。

论文链接：https://doi.org/10.1145/3576915.3616615

14、Abraxas: Throughput-Efficient Hybrid Asynchronous Consensus

状态机复制（SMR）协议通常会为了网络延迟的弹性而牺牲性能。特别是，异步SMR协议可以容忍任意网络延迟，但在网络快速时牺牲吞吐量/延迟，而部分同步协议在快速网络中具有良好性能，但如果网络经历高延迟，则无法取得进展。现有的混合协议对任意网络延迟具有弹性，在网络快速时具有良好的性能，但如果网络在快速和慢速之间反复切换，例如在通常快速但具有间歇性消息延迟的网络中，则会出现高开销（“颠簸”）。我们提出了Abraxas，这是一种通用的方法，可以从任何“快速”协议Πfast和异步协议Πslow构建混合协议，以实现（1）在任意网络行为下与Πslow等效的安全性和性能，以及（2）在条件有利时与Πfast等效的性能。我们使用Πfast（Jolteon）和Πslow（2-chain VABA）的最佳现有协议对Abraxas进行实例化，并通过实验证明，由此产生的协议显著优于之前的混合协议Ditto。

论文链接：https://doi.org/10.1145/3576915.3623191

15、Accio: Variable-Amount, Optimized-Unlinkable and NIZK-Free Off-Chain Payments via Hubs

支付通道中心（PCH）是实现用户对之间快速链下支付的有前景的解决方案。它们通过使用不可信的转轮在付款人和收款人之间传递支付，并具有低成本和高可扩展性的优点。然而，最近支持可变支付金额的隐私保护支付通道中心解决方案存在有限的不可链接性，例如容易受到中止攻击。此外，该解决方案利用零知识证明，这给计算时间和通信开销带来了巨大的成本。因此，如何设计支持可变金额支付和不可链接性，但尽可能减少使用高成本密码工具的PCH，对于链下支付的大规模实际应用具有重要意义。本文通过深入研究不可链接性并构建新的密码工具，提出了具有优化不可链接性的可变金额支付通道中心解决方案Accio。我们提供了详细的Accio协议，并在通用可组合框架下正式证明了其安全性和隐私性。我们的原型演示了其可行性，评估表明Accio在通信和计算成本方面优于其他最先进的工作。

论文链接：https://doi.org/10.1145/3576915.3616577

16、AdCPG: Classifying JavaScript Code Property Graphs with Explanations for Ad and Tracker Blocking

广告和跟踪服务 (ATS) 屏蔽一直保护着数百万互联网用户的隐私，使其免受隐私入侵的跟踪行为。之前的研究提出使用图表示法来模拟加载网络资源中的结构关系，然后根据该图表示法进行 ATS 节点分类。然而，这些基于上下文的 ATS 分类方法存在以下问题：(1)由于 ATS 资源加载的上下文不同，分类不一致；(2)分类结果缺乏可解释性，使得难以确定 ATS 分类的代码级原因。我们提出了 AdCPG，一个针对 ATS 分类的图神经网络 (GNN) 框架。我们的方法侧重于对 JavaScript (JS) 内容进行分类，而不是考虑网络资源的加载上下文。给定 JS 文件，AdCPG 利用其代码属性图 (CPG)，对这些 CPG 进行图分类，这些 CPG 模拟了这些 JS 文件的语义和结构信息。为了为 ATS 分类提供解释，AdCPG 使用 GNN 解释器突出显示了对将 JS 文件分类为 ATS 贡献最大的 JS 代码。AdCPG 在 Tranco 前 10K 网站上实现了 98.75% 的准确率，表明仅使用 JS 内容就可实现高性能。部署后，AdCPG 从 500 个域中识别出 650 个 JS 文件，这些文件未被任何 ATS 过滤器列表和以前的 ATS 分类工具检测到。AdCPG 在识别 ATS 资源方面起着补充作用，同时提供代码级解释，最大限度地减少了验证 ATS 分类结果所需的工程工作。

论文链接：https://doi.org/10.1145/3576915.3623084

17、Adaptively Secure (Aggregatable) PVSS and Application to Distributed Randomness Beacons

公开可验证的秘密共享（PVSS）是一种基本的原始技术，允许通过公开可验证的记录T在n个参与方之间共享秘密S。现有的（高效的）PVSS仅被证明可以对抗静态对手，这些对手必须在协议执行之前选择谁来破坏。因此，任何建立在这种PVSS方案之上的协议（例如，分布式随机性信标）都继承了这一限制。为了克服这一障碍，我们重新审视了自适应破坏下的PVSS的安全性，并令人惊讶地发现，文献中的许多协议已经以有意义的方式实现了这一目标：我们提出了可聚合PVSS的新安全定义，即允许将多个记录同态组合成一个紧凑的聚合记录AT，共享它们各自秘密的总和。我们的概念表明，如果AT共享的秘密包含来自诚实生成的记录的至少一个贡献，则它应该是不可预测的。然后我们证明，几个现有的方案在代数群模型中满足这个概念，以对抗适应性破坏。为了激励我们的新概念，我们证明它意味着两个最近的随机信标协议SPURT（S&P '22）和OptRand（NDSS '23）的适应性安全性，这两个协议建立在满足我们的不可预测性概念的可聚合PVSS方案之上。对于安全参数λ，我们的结果将同步网络（具有t < n/2的破坏）和部分同步网络（具有t < n/3的破坏）中已知的最佳适应性安全随机信标协议的通信复杂度提高到O(λn2)。

论文链接：https://doi.org/10.1145/3576915.3623106

18、Aggregate Signatures with Versatile Randomization and Issuer-Hiding Multi-Authority Anonymous Credentials

匿名证书（AC）在以用户为中心的身份管理中提供隐私。它们使用户能够匿名认证，只显示必要的属性。随着去中心化系统（如自主权身份）的兴起，对去中心化环境中高效AC系统的需求也在增长。然而，依靠传统的AC系统，用户在从不同的发行者那里获得证书时需要出示独立的证书，导致复杂性增加。AC系统最好支持多权威，以便有效地呈现来自不同发行者的多个证书。另一个重要属性是发行者隐藏，确保发行者的身份保持隐蔽，只显示对验证者政策的遵守。这防止了基于证书发行者唯一组合的唯一标识。到目前为止，还没有AC方案同时满足这两个属性。本文介绍了发行人隐藏多机构匿名证书（IhMA），利用了两种新的签名原语：带有可随机化标签和公钥的聚合签名和聚合Mercurial签名。我们基于这些原语提供了两种具有不同权衡的IhMA构造，并相信它们将具有超越IhMA的应用。除了为我们的原语定义符号和严格的安全定义外，我们还提供了可证明安全和高效的结构，并提供了基准测试来展示实际效率。

论文链接：https://doi.org/10.1145/3576915.3623203

19、Alert Alchemy: SOC Workflows and Decisions in the Management of NIDS Rules

基于签名的网络入侵检测系统（NIDS）和网络入侵防御系统（NIPS）以及使其能够检测威胁的规则仍然是网络防御的核心。这些规则允许安全运营中心（SOC）正确防御网络，但我们几乎不知道如何从组织的角度创建、评估和管理规则。在这项工作中，我们分析了围绕网络入侵检测规则的创建、管理和获取的过程。为了理解这些过程，我们采访了17名在托管安全服务提供商（MSSPs）或其他组织工作的专业人员，这些组织提供网络监控服务或内部进行网络监控。我们发现了许多关键因素，如规则特异性和警报总数以及误报，这些因素指导SOC进行规则管理过程。网络监控过程的这些低级方面在先前的工作中通常被视为不可改变的，这些工作主要侧重于设计通过动态减少 SOC 分析人员需要筛选的有噪声警报的数量来处理产生的警报流的系统。相反，我们提出了解决这些低级方面的几个建议，以帮助提高警报质量，并允许 SOC 更好地优化工作流程和可用资源的使用。这些建议包括提高规则的特异性，明确定义从检测到规则开发的反馈循环，以及建立组织流程以改善隐性知识的传递。

论文链接：https://doi.org/10.1145/3576915.3616581

20、Amplification by Shuffling without Shuffling

受差分隐私洗牌模型的最新发展的启发，我们提出了一种新的近似洗牌功能，称为Alternating Shuffle，并提供了一个在单服务器威胁模型中实现交替洗牌的协议，其中对手观察到所有通信。与该威胁模型中的先前洗牌协议不同，我们协议的每个客户端通信量仅在客户端数量的次线性增长。此外，我们研究了我们协议的具体效率，并证明它相对于先前的（近似）洗牌协议可以将每个客户端的通信量提高一到多个数量级。我们还展示了与均匀洗牌类似的交替洗牌的差分隐私放大结果，并证明了基于Ishai等人（FOCS’06）构建的基于洗牌的安全求和协议在交替洗牌下仍然安全。在这个过程中，我们还开发了一个在单服务器威胁模型中进行精确洗牌的协议，每个客户端的摊销对数级通信，这可能具有独立的研究价值。

论文链接：https://doi.org/10.1145/3576915.3623215

21、Analyzing the Real-World Security of the Algorand Blockchain

Algorand共识协议在理论和实践方面都很有趣。在理论方面，为了实现自适应安全，它引入了玩家可替换性的新概念，协议的每一步都由一个不同的随机选择的委员会执行，其成员在发送他们的第一个也是唯一一个消息之前保持秘密。该协议在任意网络条件下提供一致性，在间歇性网络分区下提供活跃性。在实践方面，该协议用于保护Algorand加密货币，在撰写本文时，其总价值约为8.5亿。使用的Algorand协议与Algorand已发表文献中描述的协议有很大不同。尽管它很重要，但它缺乏正式分析。在这项工作中，我们描述并分析了Algorand共识协议，该协议目前部署在Algorand的生态系统中。我们通过表征网络条件和参数设置来证明整体协议框架是可靠的，在该框架下，协议可以被证明是安全的。

论文链接：https://doi.org/10.1145/3576915.3623167

22、AntiFake: Using Adversarial Audio to Prevent Unauthorized Speech Synthesis

深度神经网络和生成式人工智能的快速发展促进了现实语音合成的增长。虽然这项技术具有改善生活的巨大潜力，但它也导致了“DeepFake”的出现，合成语音可能被滥用，以欺骗人类和机器用于邪恶目的。为了应对这一不断发展的威胁，人们对通过DeepFake检测来减轻这一威胁产生了浓厚的兴趣。作为对现有工作的补充，我们建议采取预防措施，引入防伪，这是一种防御机制，依靠对抗性示例来防止未经授权的语音合成。为了确保可转移到攻击者未知的合成模型，我们采用集成学习方法来提高优化过程的泛化能力。为了验证所提出系统的有效性，我们使用真实的DeepFake语音样本对五个最先进的合成器进行了反假评估。实验表明，即使对未知的黑盒模型，防伪也能达到95%以上的保护率。我们还进行了24人参与的可用性测试，以确保该解决方案可供不同人群使用。

论文链接：https://doi.org/10.1145/3576915.3623209

23、Are we there yet? An Industrial Viewpoint on Provenance-based Endpoint Detection and Response Tools

基于来源的端点检测和响应（P-EDR）系统被认为对未来的高级持续威胁（APT）防御至关重要。尽管学术界提出了许多改进P-EDR系统的新技术，但目前尚不清楚行业是否会采用P-EDR系统以及行业对P-EDR系统的改进要求。为此，我们对P-EDR系统的有效性和局限性进行了第一套系统研究。我们的研究包括四个部分：一对一访谈、在线问卷调查、相关文献调查和系统测量研究。我们的研究表明，所有行业专家都认为P-EDR系统比传统的端点检测和响应（EDR）系统更有效。然而，行业专家担心P-EDR系统的运营成本。此外，我们的研究揭示了学术界和工业界之间的三个重大差距：（1）忽视了客户端开销；（2）报警分流成本和解释成本不平衡；（3）服务器端内存消耗过多。本文的研究结果提供了客观数据，说明了P-EDR系统的有效性，以及在工业中采用P-EDR系统需要多少改进。

论文链接：https://doi.org/10.1145/3576915.3616580

24、Assume but Verify: Deductive Verification of Leaked Information in Concurrent Applications

我们考虑的问题是指定和证明有意泄露信息的非平凡并发程序的安全性。我们提出了一种方法，将问题分解为：（a）证明程序只泄露通过假设注释进行过解密的信息，这些注释已经广泛用于演绎程序验证；（b）根据声明性安全策略对解密进行审计。我们展示了如何通过扩展现有的程序逻辑SecCSL来强制执行条件（a），以及如何通过证明一组简单的蕴含关系来检查条件（b）。挑战的一部分是定义相应的语义健全性标准，并将其形式化连接到逻辑规则和策略审计。我们在一个自动活动的程序验证器中支持我们的方法论，我们将其应用于根据一系列解密策略验证各种案例研究程序的实现。

论文链接：https://doi.org/10.1145/3576915.3623141

25、Asymptotically Faster Multi-Key Homomorphic Encryption from Homomorphic Gadget Decomposition

同态加密（HE）是一种允许我们对加密数据进行任意计算的密码系统。然而，标准HE有一个缺点，即权限集中在密钥所有者身上，因为计算只能在同一密钥下加密的密文上进行。为了解决这个问题，正在研究多密钥同态加密（MKHE），它是HE的一种变体，支持对可能在不同密钥下加密的密文进行计算。尽管它能够为多方提供隐私，但现有的MKHE方案由于乘法的成本而性能不佳，乘法的成本至少随着所涉及的密钥数量呈二次方增长。在这篇论文中，我们重新审视了Chen等人（ACM CCS 2019）在CKKS和BFV的MKHE方案上的工作，并显著提高了它们的性能。具体来说，我们重新设计了多密钥乘法算法，实现了与密钥数量成线性关系的渐近最优复杂度。我们的构造依赖于一种新的工具分解概念，我们称之为同态工具分解，其中算术运算可以在分解后的向量上执行，并保证其功能。最后，我们实现了我们的MKHE方案，并展示了其基准。例如，我们的多密钥CKKS乘法分别在8、16和32个密钥时，仅需要0.5、1.0和1.9秒，而之前的工作需要1.6、5.9和23.0秒。

论文链接：https://doi.org/10.1145/3576915.3623176

26、Attack Some while Protecting Others: Selective Attack Strategies for Attacking and Protecting Multiple Concepts

机器学习模型容易受到对抗性攻击。现有的研究主要关注攻击场景。在实践中，一个数据集可能用于学习不同的概念，并且攻击者可能有动机攻击某些概念，但保护其他概念。例如，攻击者可能篡改一个用于预测“年龄”模型的个人资料图片，使其预测为“年轻”，而“吸引力”模型仍然预测为“漂亮”。在这项工作中，我们通过实证研究表明，攻击一个学习任务的分类器可能会对同一数据上学习其他任务的分类器产生负面影响。这引发了一个有趣的研究问题：是否可能在保护同一数据上训练的其他分类器的同时攻击一组分类器？

对上述问题的回答对于测试时攻击学习模型的复杂性有着有趣的启示，例如避免违反逻辑约束。例如，对高中生的图像的攻击不应导致这些图像被归类为30岁的人群。这种年龄错误分类可能引起警报，并容易暴露攻击。在本文中，我们通过开发新颖的攻击技术来回答这个研究问题，这些技术可以同时攻击一组学习模型并保护其他模型。对于线性分类器，我们提供了一个理论框架，以找到生成此类对抗性示例的最优解。利用这个理论框架，我们在深度学习任务的背景下开发了一种“多概念”攻击策略。我们的结果表明，我们的技术可以在许多不同的设置中成功攻击目标类别，同时保护“受保护”类别，而这是现有的仅针对测试时攻击的策略所无法实现的。

论文链接：https://doi.org/10.1145/3576915.3623177

27、BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses

蓝牙是一种普遍的无线通信技术。数十亿台设备在敏感应用中使用蓝牙并交换私人数据。蓝牙的安全性取决于蓝牙标准及其两种安全机制：配对和会话建立。之前的工作，包括标准本身，都没有分析这些机制的未来和前向保密保证，例如，如果蓝牙配对和会话建立保护过去和未来的会话，而对手破坏了当前的会话。为了解决这一差距，我们提出了六种新型攻击，定义为BLUFFS攻击，破坏蓝牙会话的前向和未来保密性。我们的攻击使设备模拟和机器中间跨会话成为可能，只需要破坏一个会话密钥。这些攻击利用我们在蓝牙标准中发现的与单边和可重复会话密钥推导相关的两个新漏洞。由于这些攻击在架构层面上影响蓝牙，因此无论受害者的硬件和软件细节（如芯片、堆栈、版本和安全模式）如何，它们都是有效的。我们还发布了BLUFFS，这是一种低成本工具包，用于执行和自动检查我们攻击的有效性。该工具包采用七个原始补丁，通过动态修补我们逆向工程的闭源蓝牙固件来操纵和监视蓝牙会话密钥推导。我们通过评估来自流行硬件和软件供应商的十七种不同蓝牙芯片（十八种设备）和支持最流行的蓝牙版本，证明我们的攻击对蓝牙生态系统具有关键和大规模的影响。在我们的实证研究结果的激励下，我们开发并成功测试了一种增强的蓝牙密钥推导功能，该功能通过设计阻止我们的六种攻击及其四种根本原因。我们展示了如何有效地将我们的修复整合到蓝牙标准中，并讨论了替代的实现级缓解措施。我们负责任地向蓝牙SIG披露了我们的贡献。

论文链接：https://doi.org/10.1145/3576915.3623066

28、Batchman and Robin: Batched and Non-batched Branching for Interactive ZK

Vector Oblivious Linear Evaluation (VOLE)支持快速且可扩展的交互式零知识（ZK）证明。尽管VOLE基于ZK的最近改进，将证明语句编译为控制流混淆形式（例如电路）仍然导致昂贵的证明。一个突出这种低效的有用场景是当语句是一个子句的析取(\mathcal{L}_1 \lor \cdots \lor \mathcal{L}_B)时。通常，ZK要求支付处理所有B个分支的代价。之前的工作已经展示了如何避免这种通信上的代价，但是在计算上仍存在问题。

我们的主要结果(\mathsf{Batchman})是基于VOLE的批处理析取的渐进和具体高效的ZK。也就是说，它适用于包含R个重复相同析取的语句。这对于在ZK中模拟CPU步骤非常重要。我们的证明者和验证者的复杂度只有(\bigO(RB + R|\C| + B|\C|))，其中(|\C|)是B个分支中的最大电路大小。之前的工作的计算复杂度按比例缩放(RB|\C|)。对于非批处理的析取，我们还构建了基于VOLE的ZK协议(\mathsf{Robin})，它在通信上具有高效性。对于小字段和统计安全参数(\lambda)，该协议的通信效率相对于先前的最新技术（(\mathsf{Mac’n’Cheese})，Baum等人，CRYPTO’21）提高了多达(\lambda)倍。

我们的实现超越了先前的最新技术。例如，与(\mathsf{Mac’n’Cheese})（布尔值，单个析取）相比，我们的改进达到了6倍的提升，并且对于算术批处理析取，我们的实验结果显示，相对于(\mathsf{QuickSilver})（Yang等人，CCS’21）的改进高达70倍，相对于(\mathsf{AntMan})（Weng等人，CCS’22）的改进高达36倍。

论文链接：https://doi.org/10.1145/3576915.3623169

29、Black Ostrich: Web Application Scanning with String Solvers

保护Web应用程序仍然是一个紧迫的挑战。不幸的是，Web爬虫和安全扫描的现有技术仍然无法满足深度爬取的需求。一个主要障碍是爬虫在Web应用程序要求特定格式的数据（例如电子邮件、电话号码或邮政编码）时，其有限的能力无法通过输入验证检查。本文提出了一种名为Black Ostrich的有原则的深度Web爬取和扫描方法。其关键思想是为Web爬取提供字符串约束求解能力，以从Web应用程序中的正则表达式模式动态推断出合适的输入，并通过输入验证检查。为了实现这种约束求解器的使用，我们开发了基于自动机的技术来处理JavaScript正则表达式。我们实现了我们的方法，将Ostrich约束求解器与Black Widow Web爬虫进行扩展和组合。我们在一个包含8820个独特验证模式的数据集上评估了Black Ostrich，这些模式来自于Common Crawl和Tranco top 100K的2021年7月数据。针对这些表单和与模式对应的输入元素的重建，我们证明Black Ostrich相比于最先进的扫描器，可以实现对表单验证的99%覆盖率，而最先进的扫描器平均只有36%的覆盖率。此外，在使用这些模式的66,377个域中，我们解决了66,309个（99%），而其他扫描器的综合工作只覆盖了52,632个（79%）。我们进一步展示了我们的方法可以通过对三个开源应用程序进行评估来提高覆盖率。我们的实证研究包括对电子邮件验证模式的研究，我们发现在825个找到的电子邮件验证模式中，有213个（26%）宽松地允许XSS注入有效负载的存在。

论文链接：https://doi.org/10.1145/3576915.3616582

30、Blink: Link Local Differential Privacy in Graph Neural Networks via Bayesian Estimation

图神经网络（GNN）由于其在各种图推理任务中学习节点嵌入的优越能力而越来越受欢迎，但对其进行训练可能会引发隐私问题。为了解决这个问题，我们提出在去中心化节点上使用链接局部差分隐私，从而能够与不受信任的服务器协作，在不泄露任何链接存在的情况下训练GNN。我们的方法在链接和图度上分别花费隐私预算，以便服务器更好地使用贝叶斯估计对图拓扑进行去噪，减轻LDP对训练后的GNN的准确性的负面影响。我们限制了推断的链接概率与真实图拓扑的平均绝对误差。然后，我们提出了两种不同的LDP机制，它们在不同的隐私设置下相互补充，其中一种机制在较低的隐私预算下估计较少的链接，以避免在不确定性较高时出现误报链接估计，而另一种机制利用更多的信息，在相对较高的隐私预算下表现更好。此外，我们提出了一种混合变体，结合了这两种策略，能够在不同的隐私预算下表现更好。广泛的实验表明，在各种隐私预算下，我们的方法在准确性方面优于现有方法。

论文链接：https://doi.org/10.1145/3576915.3623165

31、Boosting the Performance of High-Assurance Cryptography: Parallel Execution and Optimizing Memory Access in Formally-Verified Line-Point Zero-Knowledge

尽管在开发高保证、经过验证的密码协议实现方面取得了显著进展，但此类实现通常面临巨大的性能开销，特别是由形式验证和可执行代码的自动提取引起的开销。在这篇论文中，我们通过提出一种基于涵盖并行和内存访问的多种通用优化的形式化处理来加速此类经过验证的实现，从而解决了计算机辅助密码学面临的一些核心性能挑战。我们使用线点零知识（LPZK）协议作为案例研究，说明了我们用于解决此类性能瓶颈的技术。我们的出发点是使用EasyCrypt形式化和合成的LPZK的新的经过验证的实现；我们的第一个实现是为了减少证明工作，而不考虑提取的可执行代码的性能。然后，我们展示了如何以三种不同的方式优化这种（自动）提取的代码，以获得3000倍的速度提升，从而与lpzkv2的LPZK的手动实现性能相匹配。我们通过首先修改算法规范，然后采用可证明安全的并行执行模型，最后优化内存访问结构来获得这样的性能增益。所有优化首先在EasyCrypt中进行了形式化验证，然后可执行代码从形式化的每一步自动合成。对于每个优化，我们分析了由此产生的性能增益，并解决了计算机辅助安全证明面临的挑战，以及使用这种优化自动合成可执行代码面临的挑战。

论文链接：https://doi.org/10.1145/3576915.3616583

32、COMBINE: COMpilation and Backend-INdependent vEctorization for Multi-Party Computation

近年来，多方计算（MPC）的编程技术取得了重大进展，使多方计算更接近实践和更广泛的适用性。典型的MPC编程框架侧重于前端语言设计（如Wysteria、Viaduct、SPDZ），或后端协议设计和实现（如ABY、MOTION、MP-SPDZ）。我们提出了一种MPC编译工具链的方法，该方法通过模仿经典编译器的编译方法，实现中间（即独立于机器）优化，从而产生重大改进。我们提出了一种中间语言，我们称之为MPC-IR，可以看作是（丰富）静态单赋值（SSA）形式的模拟。MPC-IR实现了后端独立优化，与经典编译器中的独立于机器的优化非常相似。为了展示我们的方法，我们专注于一个特定的后端独立优化，SIMD矢量化：我们设计了一种新的基于经典编译器的MPC-IR自动SIMD矢量化。为了展示后端独立性和优化质量，我们使用支持多种MPC协议（即MOTION和MP-SPDZ）的两个主流后端框架来评估我们的方法，并显示出全面的显著改进。

论文链接：https://doi.org/10.1145/3576915.3623181

33、Capacity: Cryptographically-Enforced In-Process Capabilities for Modern ARM Architectures

积极探索了进程内隔离和访问控制，以提供进程内安全域的就地高效隔离。许多工作提出了利用硬件功能的隔离方案，最值得注意的是在x86上使用称为用户空间保护密钥（PKU）的基于页面的内存隔离功能。不幸的是，现代ARM架构没有等效功能。相反，新的ARM架构引入了指针认证（PA）和内存标记扩展（MTE），将引用验证模型用于内存安全和运行时漏洞缓解。我们认为这些功能在隔离环境中未得到充分探索，它们可以经过改造以实现基于能力的进程内访问控制方案。本文提出了一种新的硬件辅助进程内访问控制设计Capacity，它包含基于能力的安全原则。Capacity连贯地整合了ARM上已经表现出能力固有特征的新硬件安全功能。它支持域中敏感对象的生命周期保护 - 从它们从文件系统导入到它们在内存中的位置。通过使用唯一的PA密钥对进程内域进行身份验证，Capacity将文件描述符和内存指针转换为经过加密身份验证的引用，并完全通过其程序检测框架和高效的系统调用监视器来调解引用使用。我们评估了启用了Capacity的NGINX Web服务器原型和其他将敏感资源隔离到不同域中的常见应用程序。我们的评估表明，Capacity对单线程Web服务器产生了约17%的低性能开销，对多线程Web服务器产生了13.54%的低性能开销。

论文链接：https://doi.org/10.1145/3576915.3623079

34、Caveat (IoT) Emptor: Towards Transparency of IoT Device Presence

随着多种类型的物联网设备进入我们的日常生活和许多方面，对其存在和功能的认识成为主要关注点。隐藏的物联网设备可以通过感知窥探附近毫无戒心的用户，并通过驱动影响有用户在场的环境。这分别引发了隐私和安全/安全问题。隐藏的物联网设备的危险已经被认识到，之前的研究提出了一些缓解措施，主要是基于流量分析或使用专门的硬件来发现设备。虽然这些方法部分有效，但目前还没有一种全面的方法来实现物联网设备的透明度。在最近隐私法规（GDPR和CCPA）的部分推动下，本文1为物联网设备构建了一种隐私敏捷的信任根架构，称为PAISA：隐私敏捷物联网感知和驱动。它保证了附近物联网设备存在及其功能的及时和安全公告。PAISA有两个组成部分：一个在物联网设备上，即使所有设备软件都受到威胁，也能保证定期公告其存在，另一个在用户设备上，捕获和处理公告。PAISA不需要硬件修改；它使用流行的现成可信执行环境（TEE）——ARM TrustZone。为了证明其可行性，PAISA被实例化为一个开源原型，其中包括：一个通过IEEE 802.11 WiFi信标进行公告的物联网设备和一个基于Android智能手机的捕获和处理公告的应用程序。还讨论了PAISA设计和原型的安全性和性能。

论文链接：https://doi.org/10.1145/3576915.3623089

35、CheckMate: Automated Game-Theoretic Security Reasoning

我们提出了CheckMate框架，用于博弈论安全分析的完全自动化，特别关注区块链技术。CheckMate分析以博弈为模型的协议的博弈论安全性，即激励兼容性和拜占庭容错性。该框架通过提供防御策略来证明协议的安全性，或者产生所有可能的攻击向量。对于不安全的协议，CheckMate还可以提供协议变得安全的最弱前提条件（如果存在）。CheckMate在一阶线性实数运算中实现了博弈论安全性的可靠和完整编码，从而将安全分析简化为可满足性求解。CheckMate进一步自动化了算术项上案例分割的有效处理。实验表明，CheckMate可以扩展，分析具有数万亿策略的游戏，这些策略模拟了比特币闪电网络的各个阶段。

论文链接：https://doi.org/10.1145/3576915.3623183

36、Chipmunk: Better Synchronized Multi-Signatures from Lattices

多签名允许将独立密钥下生成的同一消息的多个签名压缩成一个小的聚合签名。这种原始方法对于权益证明区块链（如以太坊）特别有用，其中同一区块由许多签名者签名，他们保证区块的有效性。能够将同一区块的所有签名压缩成一个短字符串，大大降低了链上存储成本，这是区块链的一个重要效率指标。在这项工作中，我们考虑同步设置中的多签名，其中签名算法需要额外的时间参数作为输入，并且只需要同一时间步的签名是可聚合的。同步设置比一般的多签名设置更简单，但对于大多数区块链相关应用来说已经足够了，因为签名者自然会根据链的长度同步。我们提出了Chipmunk，一种在同步设置下具体有效的基于格的多重签名方案，允许对事先有限数量的消息进行签名。 Chipmunk允许非交互式签名聚合，并且可以抵御恶意密钥攻击。由于我们的安全性依赖于短整数解问题的假设难度，因此Chipmunk在量子攻击下是安全的。我们显著改进了Fleischhacker、Simkin、Zhang（CCS 2022）在此设置下已知的最佳构造。我们的聚合签名大小是5×小，对于112位的安全性，我们的构造允许将8192个单独签名压缩成一个大小小于200KB的多重签名。我们提供了Chipmunk的完整实现，并提供了广泛的研究我们构造效率的基准。

论文链接：https://doi.org/10.1145/3576915.3623219

37、CoCo: Efficient Browser Extension Vulnerability Detection via Coverage-guided, Concurrent Abstract Interpretation

扩展补充了具有附加功能的网络浏览器，也带来了新的漏洞场所，允许从对抗性网页升级权限，以使用扩展API。之前关于扩展漏洞检测的工作采用了经典的静态分析，无法处理动态JavaScript功能，如作为数组查找的一部分的函数调用。同时，之前的抽象解释侧重于轻量级服务器端JavaScript，由于抽象域中的对象爆炸，它通常无法扩展到客户端扩展代码。在这篇论文中，我们设计、实现和评估了一种新的覆盖率驱动的并发抽象解释框架CoCo，以有效地检测浏览器扩展中的漏洞。一方面，CoCo将抽象解释与并发污染传播并行化，用于每个分支语句、消息传递和内容/背景脚本，以提高可扩展性来检测漏洞。另一方面，CoCo优先考虑分析，增加代码覆盖率，从而进一步检测更多漏洞。我们的评估表明，CoCo至少检测到43个0day、可利用、手动验证的扩展漏洞，这些漏洞无法被最先进的技术检测到。我们负责任地向扩展开发人员披露了所有零日漏洞。

论文链接：https://doi.org/10.1145/3576915.3616584

38、Combined Private Circuits - Combined Security Refurbished

物理攻击是加密实现中众所周知的威胁。虽然被动侧信道分析（SCA）和主动故障注入分析（FIA）的对策是单独存在的，但防止其组合仍然是一个重大挑战。最近在CCS 2022上发表了名为CINI-MINIS的实现联合安全的尝试。作者介绍了相关的安全概念，旨在构建任意阶的小工具，在组合对手存在的情况下，这些小工具仍然可以轻松组合。然而，我们证明，由于压缩中缺乏纠错模块，任何阶的所有CINI-MINIS小工具都容易受到仅有一个故障和探测的破坏性攻击。我们解释了攻击的细节，指出了构造中的潜在问题，提出了额外的设计原则，并为任意阶提供了新的（固定）可证明安全和可组合的小工具。幸运的是，压缩阶段的变化帮助我们在其他地方保存了校正模块和寄存器，使最终的组合专用电路（CPC）比原始电路更安全、更高效。我们还解释了为什么相关形式验证工具VERICA（TCHES 2022）遗漏了发现的缺陷，并提出了修复方法以消除其盲点。最后，我们探索了在不进行额外校正的情况下修复压缩阶段的替代方法，该方法基于非完整性，即构建一个永远不会重新组合任何秘密的压缩。然而，虽然这种方法可能对低阶小工具有利，但目前很难推广，并且很难扩展到更高阶。我们得出结论，我们翻新的任意阶CINI小工具为进一步研究提供了坚实的基础。

论文链接：https://doi.org/10.1145/3576915.3623129

39、Compact Frequency Estimators in Adversarial Environments

计数-最小素描（CMS）和HeavyKeeper（HK）是紧凑频率估计器（CFE）的两个实现。这是一类概率数据结构，维护（通常）高容量流数据的紧凑摘要，并提供任何特定元素出现的次数的近似正确估计。CFE通常是寻找最高频率元素（即前K个元素、重击者、大象流）的系统中的基础结构。传统上，频率估计精度的概率保证是在隐式假设流元素不依赖于结构的内部随机性的情况下证明的。换句话说，它们是在非自适应对手创建的数据流存在的情况下证明的。然而，在许多实际使用案例中，这种假设与现实并不完全匹配；特别是在恶意行为者受到激励操纵数据流的应用中。我们证明，通过利用自适应性的具体攻击，CMS和HK结构可能会被迫产生重大的估计误差。我们通过分析和实验对这些攻击进行了分析，两者之间存在紧密的一致性。遗憾的是，对于（至少）基于草图的CFEs，这些负面结果似乎是不可避免的，这些CFEs的参数在实践中是合理的。从积极的一面来看，我们提出了一种新的CFE（Count-Keeper），它可以看作CMS和HK结构的组合。 Count-Keeper的估计通常比CMS更准确（至少高两个系数），适用于“诚实”流；我们对CMS和HK的攻击在对Count-Keeper使用时效果较差（且资源更密集）；Count-Keeper具有标记可疑估算值的固有能力，这是CMS或HK（据我们所知，其他任何CFE也不承认）所不具备的。

论文链接：https://doi.org/10.1145/3576915.3623216

40、Comparse: Provably Secure Formats for Cryptographic Protocols

用于加密输入的数据格式历来是许多加密协议攻击的来源，但它们的安全保证仍然研究不足。一个原因是，由于其低级特性，格式通常不属于安全模型。另一个原因是，手工研究一个协议中所有格式的所有用途太难了，需要一个全面的自动化框架。我们提出了一个新的框架，“Comparse‘”，专门处理加密协议中数据格式的安全分析。Comparse迫使协议分析师系统地思考数据格式，精确地将其形式化，并证明它们具有足够强的属性来保证协议的安全。我们的方法分三步开发。首先，我们引入一个高级加密API将传统的基于游戏的比特串加密假设提升为使用格式处理高级消息。这使我们能够推导出安全格式必须遵守的条件，以确保其使用的安全性。其次，在具备这些安全标准的情况下，我们在F证明辅助程序中实现了一个用于指定和验证安全格式的框架。我们的方法基于格式组合子，它支持组合和模块化证明。在许多情况下，我们通过Meta-F使用编译时术语合成，减轻了用户必须手动编写这些组合子的负担。最后，我们证明我们的F实现可以取代之前在DY协议分析框架中实现的消息格式的符号概念。我们新的位级精确的格式计算弥补了建模差距，并允许DY*对具体消息进行推理，并识别以前忽略的协议缺陷。我们在几个经典和现实世界的协议上评估了Comparse。我们最大的案例研究使用Comparse来为TLS 1.3中使用的格式以及即将推出的协议（如MLS和Compact TLS 1.3（cTLS））进行形式化并提供安全证明，为这些协议的设计提供信心和反馈。

论文链接：https://doi.org/10.1145/3576915.3623201

41、Comprehension from Chaos: Towards Informed Consent for Private Computation

私有计算，包括多方计算和私有查询执行等技术，为组织分析他们及其合作伙伴所持有的数据，同时保持数据主体的隐私提供了巨大的希望。尽管最近对差分隐私的交流很感兴趣，但最终用户对私有计算的观点以前从未被研究过。为了填补这一空白，我们进行了22次半结构化访谈，调查用户对数据私有计算的理解和期望。访谈集中在四个具体的数据分析场景（例如广告转换分析），每个场景都有一个不使用私有计算的变体和一个使用私有计算的变体。虽然参与者对私有计算的抽象定义感到困惑，但他们发现具体场景是有启发性和合理性的，即使我们没有解释复杂的密码基础。私有计算增加了参与者对数据共享的接受程度，但不是无条件的；数据共享和分析的目的是他们态度的主要驱动力。通过集体活动，参与者强调了详细说明计算目的的重要性，并澄清了在向最终用户描述私有计算时，私有计算的输入不会在组织之间共享。

论文链接：https://doi.org/10.1145/3576915.3623152

42、Concentrated Geo-Privacy

本文提出了集中地理隐私（CGP），这是一种隐私概念，可以被认为是集中差分隐私（CDP）的几何数据对应物。与之前的地理隐私概念[1,5]（标准差分隐私的对应物）相比，CGP提供了许多好处，包括机制的简单性、高维中的低噪声尺度以及被称为高级组合的可组合性。最后一点是最重要的，因为它允许我们使用较小的构建块设计复杂的机制，同时实现更好的效用。为了补充这一结果，我们证明，即使使用其近似版本，之前的地理隐私概念也不允许高级组合。接下来，我们研究了私有几何数据的三个问题：身份查询、k个最近邻和凸包。虽然第一个问题之前已经研究过，但我们给出了地理隐私下后两个问题的第一个机制。对于所有这三个问题，可组合性对于在私有化查询答案上获得良好的效用保证至关重要。

论文链接：https://doi.org/10.1145/3576915.3623068

43、Concurrent Composition for Interactive Differential Privacy with Adaptive Privacy-Loss Parameters

本文研究了具有自适应选择的隐私损失参数的交互机制的并发组合。在此设置中，对手可以交错查询现有的交互机制，以及创建新的机制。我们证明，如果隐私损失是使用固定阶的（ε，δ）-DP、ƒ-DP或Rényi DP来衡量的，则非交互机制的每个有效隐私过滤器和里程计都可以扩展到交互机制的并发组合。我们的结果为在组合差异隐私交互机制中实现完全自适应性提供了强有力的理论基础，表明并发不影响隐私保证。我们还提供了一个用户在实际中部署的实现。

论文链接：https://doi.org/10.1145/3576915.3623128

44、Concurrent Security of Anonymous Credentials Light, Revisited

我们重新审视了著名的匿名证书轻量级（ACL）方案（Baldimtsi和Lysyanskaya，CCS’13）的并发安全保证。该方案最初被证明在顺序执行时是安全的，其并发安全性被作为一个开放问题。Benhamouda等人后来的工作（EUROCRYPT’21）对ACL并发执行时进行了有效的攻击，似乎一劳永逸地解决了这个问题。在这项工作中，我们指出了Benhamouda等人对ACL攻击中的一个微妙缺陷，并表明，尽管有普遍的看法，但它可以被证明是并发安全的。我们在代数群模型中的模块化证明使用ID方案作为中间步骤，并导致Kastner等人（PKC’22）对Abe盲签名方案的复杂安全论证的重大简化。

论文链接：https://doi.org/10.1145/3576915.3623184

45、Control, Confidentiality, and the Right to be Forgotten

最近的数字权利框架赋予用户从存储和处理其个人信息的系统中删除其数据的权利（例如，GDPR中的“被遗忘权”）。在与许多用户交互并存储衍生信息的复杂系统中，删除应该如何正式化？我们认为，之前的方法存在不足。机器忘却的定义范围过于狭窄，不适用于一般的交互式设置。删除作为保密性的自然方法[15]限制性太大：通过要求对删除的数据保密，它排除了社交功能。我们提出了一种新的形式化方法：删除控制。它允许用户在删除之前自由使用数据，同时在删除后也提出了有意义的要求，从而给予用户更多的控制权。删除控制提供了在不同环境中实现删除的新方法。我们将它应用于社交功能，并从文献中给出了各种机器学习定义的一个新的统一观点。这是通过历史独立性的一个新的自适应泛化来实现的。删除控制也为机器学习提供了新的方法，即维护一个模型，同时尊重用户的删除请求。我们证明，在连续发布下，发布一系列具有差分隐私的更新模型满足删除控制。与机器学习文献相反，这种算法的准确性不依赖于删除点的数量。

论文链接：https://doi.org/10.1145/3576915.3616585

46、CookieGraph: Understanding and Detecting First-Party Tracking Cookies

随着第三方cookie屏蔽成为主流网络浏览器的常态，广告商和跟踪器开始使用第一方cookie进行跟踪。为了理解这一现象，我们进行了有和没有第三方cookie的差异测量研究。我们发现，即使第三方cookie被屏蔽，第一方cookie也会被用来存储和泄露标识符给已知的跟踪器。与第三方cookie屏蔽相反，第一方cookie屏蔽是不切实际的，因为它会导致网站功能严重受损。我们提出了CookieGraph，这是一种基于机器学习的方法，可以准确、稳健地检测和屏蔽第一方跟踪cookie。CookieGraph检测第一方跟踪cookie的准确率为90.18%，优于最先进的CookieBlock 17.31%。我们证明CookieGraph对cookie名称操纵具有鲁棒性，而CookieBlock的准确率下降了15.87%。虽然阻止所有第一方cookie会导致32%的SSO登录网站出现重大中断，而CookieBlock将其降低到10%，但我们证明CookieGraph不会对这些网站造成任何重大中断。我们部署的CookieGraph显示，在百万级网站中，89.86%的网站使用了第一方跟踪cookie。我们发现，这些第一方跟踪cookie中有96.61%实际上是由嵌入在第一方环境中的第三方脚本编写的。我们还发现指纹脚本设置了第一方跟踪cookie的证据。最流行的第一方跟踪cookie是由谷歌、脸书和抖音等主要广告实体设置的。

论文链接：https://doi.org/10.1145/3576915.3616586

47、CryptoBap: A Binary Analysis Platform for Cryptographic Protocols

我们介绍了CryptoBap，这是一个用于验证加密协议（ARMv8和RISC-V的机器代码）的弱保密性和身份验证的平台。我们通过首先将协议的二进制代码转换为中间表示，然后执行具有密码意识的符号执行来提取协议的模型，该模型表示其所有执行路径。我们的符号执行解析间接跳转，并使用循环总结技术支持有界循环，我们完全自动化了这一过程。然后，将提取的模型转换为适用于通过第三方工具链自动验证的模型，使用ProVerif和CryptoVerif进行验证。我们证明了所提出方法的正确性，并使用CryptoBap验证了从玩具示例到真实世界协议的多个案例研究，包括SSH的实现TinySSH和现代VPN协议WireGuard。

论文链接：https://doi.org/10.1145/3576915.3623090

48、CryptoConcurrency: (Almost) Consensusless Asset Transfer with Shared Accounts

典型的区块链协议使用共识来确保相互不信任的用户就共享数据的操作顺序达成一致。然而，众所周知，资产转移系统是区块链最流行的应用，可以在没有共识的情况下实现。假设没有账户可以同时访问，每个账户都属于一个所有者，人们可以以纯异步、无共识的方式有效地实现资产转移系统。此外，还表明，在没有共识的情况下，使用共享账户实现资产转移是不可能的。在这篇论文中，我们提出了CryptoConcurrency，这是一种资产转移协议，允许在尽可能的情况下并行处理并发访问，而不涉及共识。更准确地说，如果给定账户上的并发转移操作不会导致超支，即可以在账户余额不低于零的情况下全部应用，它们会并行进行。否则，帐户的所有者可能必须访问外部共识对象。值得注意的是，我们避免依赖一个中心化的、普遍信任的共识机制，允许每个帐户使用自己的共识实现，只有该帐户的所有者信任它。这提供了更大的去中心化和灵活性。

论文链接：https://doi.org/10.1145/3576915.3616587

49、Cryptographically Enforced Memory Safety

C/C++内存安全问题，如越界错误，在当今的应用程序中仍然普遍存在。只要存在一个可利用的软件漏洞，攻击者就可以获得未经授权的内存访问权限，并最终危及整个系统。通常，只有提供轻量级和实用的安全性的内存安全方案才能广泛应用。因此，硬件支持是不可或缺的。然而，常见的对策往往使用重型保护机制限制对数据的未经授权访问，这些机制广泛改变了处理器的微体系结构，并破坏了遗留兼容性。

本文提出了一种基于消息认证码（MACs）和对象粒度元数据的加密封闭指针，这是一种用于内存安全的新方法，它高效地扩展和存储在标记内存中。MAC通过密码学方式将对象的边界和存活信息（由相应的地址范围和内存标签表示）与指针进行加密绑定。通过最近的低延迟分组密码设计，我们能够在每次内存访问时对封闭指针进行认证，从而在时间和空间上实现密码学强制的内存安全。我们的轻量级ISA扩展仅需要最小的硬件更改，同时保持二进制兼容性。我们使用NIST Juliet C/C++测试套件对我们的设计进行了系统分析，分析了其安全性和效果。我们的原型实现的模拟性能开销展示了SPEC CPU2017基准套件的竞争结果，性能模式的平均开销仅为1.3％，效率模式的平均开销为9.5％。

论文链接：https://doi.org/10.1145/3576915.3623138

50、Cybercrime Bitcoin Revenue Estimations: Quantifying the Impact of Methodology and Coverage

许多作品利用公共比特币分类账来估算网络犯罪分子从受害者那里获得的收入。由于使用不同的方法、种子地址和时间段，对同一目标的估计往往不一致。这些因素使得理解他们方法差异的影响变得具有挑战性。此外，由于（缺乏）对目标支付地址的覆盖，他们低估了收入，但这种影响有多大尚不清楚。在这项工作中，我们对网络犯罪比特币收入的估计进行了首次系统分析。我们实现了一个可以复制不同估计方法的工具。使用我们的工具，我们可以在受控环境中量化不同方法步骤的影响。与人们普遍认为的相反，我们表明收入并不总是被低估。存在方法可以引入巨大的高估。我们收集了30,424个付款地址，并使用它们来比较6种网络犯罪（勒索软件、剪切机、性勒索、庞氏骗局、赠品骗局、交换骗局）和141个网络犯罪团伙的财务影响。我们观察到，流行的多输入聚类未能发现40%的团伙的地址。我们首次量化了（缺乏）覆盖对估计的影响。为此，我们提出了两种技术，以在DeadBolt服务器勒索软件上实现高覆盖，可能接近完全覆盖。我们扩大的覆盖范围使DeadBolt的收入估计为247万美元，比使用两个流行的互联网扫描引擎的估计值高39倍。

论文链接：https://doi.org/10.1145/3576915.3623094

51、DE-FAKE: Detection and Attribution of Fake Images Generated by Text-to-Image Generation Models

在过去几个月里，基于提示描述生成图像的文本到图像生成模型引起了越来越多的关注。尽管这些模型表现令人鼓舞，但它们也引发了对其生成的虚假图像滥用的担忧。为了解决这个问题，我们在检测和归因文本到图像生成模型生成的伪造图像方面进行了一项系统性研究。具体而言，我们首先构建了一个机器学习分类器，用于检测不同文本到图像生成模型生成的伪造图像。然后，我们将这些伪造图像归因于它们的源模型，以便模型所有者对其模型的滥用负责。我们进一步研究了生成伪造图像的提示如何影响检测和归因。我们对四个流行的文本到图像生成模型进行了广泛实验，包括DALL·E 2、稳定扩散、GLIDE和潜在扩散，以及两个基准提示-图像数据集。实证结果表明：（1）可以区分不同模型生成的伪造图像和真实图像，因为不同模型生成的伪造图像存在共同的特征；（2）可以有效地将伪造图像归因于其源模型，因为不同模型在生成的图像中留下了独特的指纹；（3）具有“人物”主题或长度在25到75之间的提示可以使模型生成更具真实性的伪造图像。所有的发现都有助于社区对文本到图像生成模型带来的威胁有更深入的了解。我们呼吁社区考虑像我们这样的对策解决方案，以应对不断演进的伪造图像生成技术。

论文链接：https://doi.org/10.1145/3576915.3616588

52、DP-Forward: Fine-tuning and Inference on Language Models with Differential Privacy in Forward Pass

差分隐私随机梯度下降（DP-SGD）在反向传播中为梯度添加噪声，保护训练数据免受隐私泄露，特别是成员推断。它无法覆盖（推理时间）威胁，如嵌入反演和敏感属性推断。当用于微调大型预训练语言模型（LM）时，它在存储和计算方面成本很高。我们提出了DP-Forward，它直接扰乱LM的前向传递中的嵌入矩阵。它满足训练和推理数据的严格局部DP要求。为了使用最小的矩阵值噪声进行实例化，我们设计了一种分析矩阵高斯机制（aMGM），通过从矩阵高斯分布中提取可能非独立的噪声。然后，我们使用aMGM噪声研究LM不同隐藏（子）层的输出扰动。它在三个典型任务上的效用几乎达到了非私有基准，在中等隐私级别上优于DP-SGD高达7.7pp。与使用最新高速库的DP-SGD相比，它节省了3倍的时间和内存成本。它还将嵌入反演和敏感属性推理的平均成功率分别降低了88pp和41pp，而DP-SGD则失败了。

论文链接：https://doi.org/10.1145/3576915.3616592

53、DPMLBench: Holistic Evaluation of Differentially Private Machine Learning

差分隐私（DP）作为量化隐私泄露的严格数学定义，已成为公认的隐私保护标准。结合强大的机器学习（ML）技术，差分隐私机器学习（DPML）变得越来越重要。作为最经典的DPML算法，DP-SGD造成了显著的效用损失，阻碍了DPML在实践中的部署。最近许多研究提出了基于DP-SGD的改进算法，以减轻效用损失。然而，这些研究是孤立的，无法全面衡量算法中提出的改进的性能。更重要的是，缺乏全面的研究来比较这些DPML算法在效用、防御能力和泛化能力方面的改进。我们通过全面衡量改进的DPML算法在图像分类任务上的效用和防御能力，以对抗成员推断攻击（MIAs），来填补这一空白。我们首先提出了ML生命周期中改进位置的分类。基于我们的分类，我们联合对改进的DPML算法进行了广泛的测量研究，涉及十二个算法、四个模型架构、四个数据集、两个攻击和各种隐私预算配置。我们还涵盖了评估中最先进的标签差分隐私（Label DP）算法。根据我们的经验结果，DP可以有效地防御MIAs，灵敏度限制技术（如每样本梯度裁剪）在防御中起着重要作用。我们还探索了一些可以保持模型效用并更有效地防御MIAs的改进。实验表明，标签DP算法实现了较小的效用损失，但对MIAs很脆弱。ML从业者可以从这些评估中受益，以选择合适的算法。为了支持我们的评估，我们实现了一个模块化的可重用软件DPMLBench。我们开源了该工具https://github.com/DmsKinson/DPMLBench，它使敏感数据所有者能够部署DPML算法，并作为研究人员和从业者的基准工具。

论文链接：https://doi.org/10.1145/3576915.3616593

54、DSFuzz: Detecting Deep State Bugs with Dependent State Exploration

传统的基于随机变异的模糊测试工具在达到需要特定输入值的深层程序状态时效果不佳。因此，许多深层漏洞仍然未被发现。为了增强输入变异的效果，先前的研究利用污点分析来识别依赖控制的关键字节，并仅对这些字节进行变异。然而，现有的工作没有考虑间接控制依赖关系，即只有在受一系列其他基本块控制依赖的基本块中设置了相应分支的关键字节，才能触发该分支。除非在执行路径中访问了该系列基本块，否则无法识别这些关键字节。现有方法在设置这些关键字节之前需要尝试多条路径，耗时且计算资源消耗大。换句话说，当前的变异策略无法有效地探索识别关键字节的搜索空间。

本文旨在探索一种新的输入生成策略，以满足导致深层程序状态的一系列间接控制依赖关系。我们提出了DSFuzz，一种有针对性的模糊测试方案，可以有效构建用于探索特定深层状态的输入。DSFuzz主要关注只通过满足一组间接控制依赖关系可达到的深层目标。通过分析深层状态间接依赖的条件，它可以生成用于触发相应分支的依赖关键字节。同时，它排除了不太可能导致目标状态的控制流程。因此，它只需要在有限的搜索空间下进行变异。与最先进的有针对性灰盒模糊测试工具相比，DSFuzz在检测深层程序状态中的漏洞方面表现出色：它发现了其他工具未能发现的八个新漏洞。

论文链接：https://doi.org/10.1145/3576915.3616594

55、Deciding Differential Privacy of Online Algorithms with Multiple Variables

我们考虑检查在线随机算法的差分隐私的问题，这些算法处理输入流并产生与每个输入对应的输出。本文通过允许多个实值存储变量来泛化称为DiP自动机的自动机模型[10]，以描述此类算法。DiP自动机是一种参数自动机，其行为取决于隐私预算∈。如果对于某些D，自动机A在∈>0的所有值下都是D∈-差分隐私的，则称其为差分隐私的。我们确定了所有差分隐私DiP自动机类的精确特征。我们证明，确定给定的DiP自动机是否属于该类的问题是PSPACE完全的。我们的PSPACE算法还在给定的自动机是差分隐私的情况下计算D的值。该算法已被实现，并展示了其有效性的实验。

论文链接：https://doi.org/10.1145/3576915.3623170

56、Declassiflow: A Static Analysis for Modeling Non-Speculative Knowledge to Relax Speculative Execution Security Measures

推测执行攻击破坏了恒定时间编程的安全性，恒定时间编程是用于在安全敏感软件（如加密代码）中防止微架构侧通道的标准技术。因此，恒定时间代码还必须部署针对推测执行攻击的防御措施，以防止存储在内存或处理器寄存器中的机密数据泄漏。不幸的是，当代防御措施，如推测加载强化（SLH），只能以非常高的性能成本满足这种强安全保证。本文提出了Declassiflow，这是一种静态程序分析和保护框架，可以有效地保护恒定时间代码免受推测泄漏。 Declassiflow对“攻击者知识”数据建模，这些数据由代码的非推测执行固有地传输（或隐式解密），并从程序中已经保证非推测泄漏的点静态删除对这些数据的保护。总体而言，Declassiflow 确保在非推测性执行期间从未泄漏的数据在推测性执行期间不会泄漏，但开销低于 SLH 等保守保护。

论文链接：https://doi.org/10.1145/3576915.3623065

57、Decoding the Secrets of Machine Learning in Malware Classification: A Deep Dive into Datasets, Feature Extraction, and Model Performance

许多研究提出了用于恶意软件检测和分类的机器学习（ML）模型，报告了近乎完美的性能。然而，它们以不同的方式汇集了地面真相，使用不同的静态和动态分析技术进行特征提取，甚至在它们认为的恶意软件家族方面也存在差异。因此，我们的社区仍然缺乏对恶意软件分类结果的理解：它们是否与收集到的数据集的性质和分布有关，训练数据集中家族和样本的数量在多大程度上影响性能，以及静态和动态特征如何相互补充。这项工作通过调查数据集、特征和分类器对基于机器学习的恶意软件检测和分类的影响，阐明了这些悬而未决的问题。为此，我们收集了迄今为止最大的平衡恶意软件数据集，其中包含来自670个家族的67000个样本（每个家族100个样本），并使用我们的数据集训练了用于恶意软件检测和家族分类的最先进的模型。我们的结果表明，静态特征的表现优于动态特征，而将两者结合仅提供了静态特征的边际改进。我们发现打包和分类准确性之间没有相关性，动态提取特征中的缺失行为严重影响了它们的性能。我们还展示了分类更多数量的家族如何使分类更难，而每个家族的样本数量越多，准确率就越高。最后，我们发现，在每个家族的样本均匀分布的情况下训练的模型在未知数据上具有更好的泛化能力。

论文链接：https://doi.org/10.1145/3576915.3616589

58、Demo: Certified Robustness on Toolformer

工具增强语言模型（TALM）克服了当前语言模型（LM）的局限性，允许它们利用外部工具来提高性能。一个最先进的例子是Meta AI Research推出的Toolformer，它实现了工具利用的更广泛整合。然而，Toolformer在API调用的最佳定位中面临着与其预测的鲁棒性相关的特别关注。对抗性扰动可能会改变Toolformer选择的API调用的位置，从而导致响应不仅不正确，而且可能甚至不如标准语言模型生成的响应准确。为了提高 Toolformer 的鲁棒性并实现其工具箱的功能，我们的重点在于解决输入或提示空间中微小扰动引起的潜在漏洞。为了实现这一目标，我们计划从攻击者和防御者的角度研究对抗性攻击，首先研究输入和提示空间上的对抗性攻击算法，然后提出对Toolformer API调用调度的认证鲁棒性，这不仅在经验上有效，而且在理论上有支持。

论文链接：https://doi.org/10.1145/3576915.3624362

59、Demo: Data Minimization and Informed Consent in Administrative Forms

本文提出了一种实现数据最小化隐私原则的示范，重点是减少政府通过表格收集的数据。数据最小化在世界上许多隐私法规中都有定义，但还没有看到广泛的现实应用。我们提出了一种基于逻辑和博弈论的模型，并证明它有可能为法国一个真实的福利案例创建一个实用且高效的解决方案。

论文链接：https://doi.org/10.1145/3576915.3624363

60、Demo: Image Disguising for Scalable GPU-accelerated Confidential Deep Learning

深度学习训练涉及大量训练数据和昂贵的模型调整，云GPU资源可能是流行的选择。然而，外包数据往往会引起隐私问题。挑战在于在不牺牲基于GPU的可扩展训练和低成本客户端预处理的情况下保护数据和模型机密性，这是传统加密解决方案难以实现的。这个演示展示了一种新方法，图像伪装，以最近的工作为代表：DisguisedNets、NeuraCrypt和InstaHide，旨在安全地转换训练图像，同时仍然实现所需的可扩展性和效率。我们提出了一种交互式系统，用于直观地和比较地探索这些方法。用户可以查看伪装图像，注意客户端处理成本低，并在服务器端GPU加速训练期间观察保持的效率和模型质量。该演示帮助研究人员和从业人员迅速掌握图像伪装方法的优点和局限性。

论文链接：https://doi.org/10.1145/3576915.3624364

61、Demystifying DeFi MEV Activities in Flashbots Bundle

去中心化金融在无需许可的区块链中如雨后春笋般涌现，最近引起了热潮。由于无需许可的区块链的透明度，机会主义交易者可以通过提取矿工可提取价值（MEV）来竞争收入，这破坏了区块链系统的共识安全性和效率。Flashbots捆绑机制进一步加剧了MEV竞争，因为它赋予机会主义交易者设计更复杂的MEV提取的能力。在这篇论文中，我们通过开发ActLifter，一种新的自动化工具，用于准确识别每个捆绑交易中的DeFi行为，以及ActCluster，一种利用迭代聚类的新方法，来对Flashbots捆绑中的DeFi MEV活动进行首次系统研究，以促进我们发现已知/未知的DeFi MEV活动。广泛的实验结果表明，ActLifter在DeFi行动识别中可以实现近100%的准确率和召回率，显著优于最先进的技术。此外，在ActCluster的帮助下，我们获得了许多新的观察结果，并发现了17种新的DeFi MEV活动，这些活动发生在53.12%的包中，但在现有研究中尚未被报道。

论文链接：https://doi.org/10.1145/3576915.3616590

62、Detecting Violations of Differential Privacy for Quantum Algorithms

在过去的十年中，已经提出了解决各种实际问题的量子算法，如数据搜索和分析、产品推荐和信用评分。量子计算中关于隐私和其他伦理问题的关注自然会上升。在这篇论文中，我们定义了一个用于检测量子算法违反微分隐私的形式化框架。开发了一种检测算法来验证（有噪声的）量子算法是否是微分隐私的，并在报告违反微分隐私时自动生成窃听信息。该信息由一对违反隐私的量子态组成，以说明违反的原因。我们的算法配备了Tensor Networks，这是一种高效的数据结构，并在TensorFlow Quantum和TorchQuantum上执行，这两个平台分别是著名的机器学习平台TensorFlow和PyTorch的量子扩展。我们算法的有效性和效率得到了几乎所有类型的量子算法的实验结果的证实，这些算法已经在现实的量子计算机上实现，包括量子霸权算法（超越经典算法的能力）、量子机器学习模型、量子近似优化算法和具有多达21个量子比特的变分量子特征求解器。

论文链接：https://doi.org/10.1145/3576915.3623108

63、Devil in Disguise: Breaching Graph Neural Networks Privacy through Infiltration

图神经网络（GNN）已经被开发出来，用于从各种应用的图数据中挖掘有用信息，例如医疗保健、欺诈检测和社会推荐。然而，GNN为图数据的隐私攻击开辟了新的攻击面。在这篇论文中，我们提出了Infiltrator，这是一种隐私攻击，能够基于对GNN的黑盒访问来窥探节点级的私有信息。与现有的需要受害节点事先信息的工作不同，我们探索了在没有受害节点信息的情况下进行攻击的可能性。我们的想法是渗透到图中的攻击者创建的节点，与受害节点交朋友。更具体地说，我们设计了渗透方案，使对手能够推断受害节点的标签、相邻链接和敏感属性。我们通过在三个代表性GNN模型和六个真实数据集上进行广泛实验来评估Infiltrator。结果表明，Infiltrator在所有三种攻击中都能达到98%以上的攻击性能，优于基线方法。我们进一步评估了Infiltrator对图同质防御者和差分隐私模型的防御抵抗能力。

论文链接：https://doi.org/10.1145/3576915.3623173

64、Do Users Write More Insecure Code with AI Assistants?

人工智能代码助理已经成为一种强大的工具，可以帮助进行软件开发生命周期，并可以提高开发人员的生产力。不幸的是，人们发现这些助理在实验室环境中会产生不安全的代码，这引起了人们对它们在实践中使用的极大关注。在这篇论文中，我们进行了一项用户研究，以考察用户如何与人工智能代码助理交互以解决各种与安全相关的任务。总体而言，我们发现，使用人工智能助理的参与者编写的不安全代码明显少于没有使用助理的参与者。使用人工智能助理的参与者也更有可能相信他们编写了安全的代码，这表明这些工具可能会导致用户对其代码中的安全缺陷过于自信。为了更好地为未来基于人工智能的代码助理的设计提供信息，我们向寻求在我们工作基础上进行构建的研究人员发布了我们的用户研究设备。

论文链接：https://doi.org/10.1145/3576915.3623157

65、Don’t Leak Your Keys: Understanding, Measuring, and Exploiting the AppSecret Leaks in Mini-Programs

微信中的移动小程序自2017年首次亮相以来，已经获得了巨大的普及，达到了与Play Store中的Android应用程序类似的规模。与谷歌一样，微信的提供商腾讯提供API来支持小程序的开发，并在微信应用程序中维护了一个小程序市场。然而，小程序API通常管理社交网络平台中的敏感用户数据，包括微信客户端应用程序和云端。因此，加密协议已被实施以保护数据访问。在这篇论文中，我们证明微信应该要求使用“appsecret”主密钥，该密钥用于对小程序进行身份验证，仅在微信小程序后端使用。如果该密钥在迷你程序的前端泄露，则可能导致对迷你程序开发人员和用户的灾难性攻击。使用小程序爬虫和主密钥泄漏检测器，我们测量了3,450,586个爬取的小程序，发现其中40,880个泄露了主密钥，使攻击者能够进行各种攻击，如帐户劫持、推广滥用和服务窃取。通过测试和测量百度小程序也证实了类似的问题。我们已经向腾讯和百度报告了这些漏洞和易受攻击的小型程序列表，腾讯和百度向我们提供了漏洞奖励，腾讯最近也根据我们的发现发布了新的API来防御这些攻击。

论文链接：https://doi.org/10.1145/3576915.3616591

66、ELEKTRA: Efficient Lightweight multi-dEvice Key TRAnsparency

密钥透明度（KT）系统使端到端加密通信（E2EE）平台的服务提供商能够维护一个可验证密钥目录（VKD），该目录将每个用户的标识符（如用户名或电子邮件地址）映射到他们的身份公钥。用户定期监控该目录，以确保自己的标识符映射到正确的密钥，从而检测到任何试图代表他们注册虚假密钥以中间人（MitM）身份进行通信的企图。我们引入并正式提出了一个新的基元，称为多设备可验证密钥目录（MVKD），它通过利用多设备设置加强了VKD的安全性、隐私性和可用性保证。我们正式提出了MVKD的三个属性（完整性、基于提取的可靠性、隐私性），在强保证和真正实用系统所施加的限制之间取得了非平凡的平衡。然后，我们提出了一种新的MVKD系统，称为ELEKTRA。该系统结合了Keybase KT系统（自2014年以来在生产中运行）的核心，以及SEEMless（Chase等人，2019）和RZKS（Chen等人，2022）的思想。我们的构建是第一个实现上述多设备保证的系统，同时具有形式化的安全和隐私证明。最后，我们实现了ELEKTRA，并展示了证明其实用性的基准。

论文链接：https://doi.org/10.1145/3576915.3623161

67、Efficient Multiparty Probabilistic Threshold Private Set Intersection

阈值私有集交集（TPSI）允许多方仅在交集大小大于特定阈值时学习其输入集的交集。该任务已被证明在实践中非常有用，因此进行了许多积极的研究。然而，目前TPSI的解决方案对于大型输入集（例如，集合大小为n=2^20）仍然很慢，并且潜在的实用候选方案仅对半诚实的对手安全。对于基本的PSI，即使在恶意设置中，也有高效和可扩展的解决方案。有趣的是，确定添加阈值特征是否会固有地导致PSI的大量开销。为了弥合差距，我们引入了一个称为概率TPSI的新概念，其中各方以与I的大小成比例的概率学习交集I。这种功能以较小概率的不良事件（即各方无法充分了解）为代价，换取高效和可扩展设计的新方向。作为一项新的技术贡献，我们设计了一种高效的多方概率集大小测试协议，该协议与任何标准PSI一起实现了半诚实环境中的概率变体。尽管这种通用方法不能推广到恶意环境中，但我们从之前的基于OPRF的PSI中识别出良好的属性，这些属性可以进一步与我们的概率集大小测试混合，以实现针对恶意对手的概率TPSI协议，具有竞争效率和可扩展性。总之，我们证明：（1）在半诚实设置中，存在一个概率TPSI，其本质上与通用PSI一样高效，并且（2）在恶意设置中，存在一个两方概率TPSI，其本质上为该工作的基于OPRF的PSI的2倍（Raghuraman和Rindal，CCS 2022），这意味着PSI和概率TPSI之间存在微小差距。我们进行了全面的实验来评估我们各个构建块和整体协议的具体效率。特别是，我们用于概率TPSI的整体两方协议在半诚实和恶意设置中分别在n=2^20时（在线）运行7或10秒。这证实了我们的方法的实际优势。

论文链接：https://doi.org/10.1145/3576915.3623158

68、Efficient Multiplicative-to-Additive Function from Joye-Libert Cryptosystem and Its Application to Threshold ECDSA

由于在区块链应用中的广泛采用，门限ECDSA最近引起了人们的兴趣。所有领先构造的共同构建块涉及将乘法份额安全转换为加法份额，这被称为乘法-加法（MtA）函数。MtA主导着所有现有门限ECDSA构造的整体复杂性。具体而言，在n个活动签名者的情况下，需要O（n2）次MtA调用。因此，MtA的改进直接导致了所有最先进的门限ECDSA方案的显著改进。在这篇论文中，我们通过重新审视Joye-Libert（JL）密码系统设计了一种新的MtA。具体而言，我们重新审视了JL加密，提出了基于JL的承诺，然后为JL密码系统提供了有效的零知识证明，这是第一个具有标准可靠性的零知识证明。我们的新MtA在所有现有的MtA构造中提供了最佳的时空复杂度权衡。它在带宽和计算方面比Paillier的最新构造高出1.85到2倍，比基于Castagnos-Laguillaumie加密的构造快7倍，但带宽增加了2倍。虽然我们的MtA比基于OT的构造慢，但它节省了18.7倍的带宽需求。此外，我们还设计了一个批处理版本的MtA，以进一步减少25%的摊销时间和空间成本。

论文链接：https://doi.org/10.1145/3576915.3616595

69、Efficient Query-Based Attack against ML-Based Android Malware Detection under Zero Knowledge Setting

Android操作系统的广泛采用使恶意Android应用程序成为攻击者的诱人目标。基于机器学习的Android恶意软件检测（AMD）方法在解决这个问题方面至关重要；然而，它们容易受到对抗性示例的影响，这引起了人们的关注。目前针对基于机器学习的AMD方法的攻击表现出卓越的性能，但依赖于强假设，这在现实场景中可能不现实，例如关于特征空间、模型参数和训练数据集的知识要求。为了解决这一局限性，我们引入了AdvDroidZero，这是一种基于查询的高效攻击框架，针对基于机器学习的AMD方法，在零知识设置下运行。我们的广泛评估表明，AdvDroidZero对各种主流的基于机器学习的AMD方法有效，特别是最先进的方法和现实世界的反病毒解决方案。

论文链接：https://doi.org/10.1145/3576915.3623117

70、Efficient Registration-Based Encryption

基于注册的加密（RBE）最近被引入作为基于身份的加密（IBE）的替代方案，以解决密钥托管问题：在RBE中，受信任的机构被替换为较弱的实体，称为密钥管理员，他不知道任何密钥。用户自己生成密钥，然后将他们的身份和相应的公钥公开注册给密钥管理员。RBE是IBE的有前景的替代方案，保留了它的许多优点，同时消除了IBE的主要缺点，即密钥托管问题。不幸的是，所有现有的RBE结构都以非黑盒方式使用密码方案，这使得它们非常昂贵。据估计，RBE密文的大小将达到兆兆字节（虽然还没有实现RBE）。在这项工作中，我们提出了从双线性群的标准假设构建RBE的新方法。我们的方案是黑盒的，具体来说是高效的-密文是914个字节。为了证实这一说法，我们实现了我们的方案原型，并表明它可以扩展到数百万用户。该方案的公共参数在千字节的数量级。最昂贵的操作（注册）最多需要几秒钟，而加密和解密运行时间在毫秒的数量级。这是RBE方案有史以来第一次实现，并表明RBE的实际部署已经可以用今天的硬件实现。

论文链接：https://doi.org/10.1145/3576915.3616596

71、Efficient Set Membership Encryption and Applications

简洁密码学的新兴领域[Cho等人，CRYPTO’17]涉及设计涉及发送者和接收者的双方协议，其中接收者的输入很大。关键效率要求是协议通信复杂性必须独立于接收者的输入大小。近年来，在这个领域下研究了许多任务，包括简洁的遗忘转移（ℓOT）。在这项工作中，我们引入了集合成员加密（SME）的概念 - 简洁密码学领域的一个新成员。SME允许发送者从接收者群体中加密到一个接收者，同时使用来自接收者大子集的小摘要。接收者只能解密消息，如果且仅如果它是大子集的一部分。我们证明，ℓOT可以从SME中推导出来。我们使用双线性群为中小企业提供高效的构建。我们的解决方案在解密时间上比最先进的技术（在ℓOT上）实现了数量级的改进，并且在简洁密码学领域的初始工作中总体上显著提高了具体效率，尽管代价是渐近性较差。

论文链接：https://doi.org/10.1145/3576915.3623131

72、Enhancing OSS Patch Backporting with Semantics

保持开源软件（OSS）的最新状态是防止已知漏洞的一种潜在解决方案。然而，这需要频繁且昂贵的测试，并可能引入兼容性问题。因此，开发人员通常选择将安全补丁反向移植到易受攻击的版本。手动反向移植很耗时，特别是对于Linux内核等大型OSS。因此，迫切需要自动化这一过程以节省大量时间。现有的自动反向移植补丁的方法包括自动生成补丁或自动补丁迁移。然而，这些方法往往无效且容易出错，因为它们无法定位精确的补丁位置或生成正确的补丁，只能在语法层面上操作。在这篇论文中，我们提出了一种补丁类型敏感的方法，在补丁类型和补丁语义的指导下，自动反向移植OSS安全补丁。具体而言，我们的方法在语义层借助基于程序依赖图匹配来识别补丁位置。它进一步基于补丁类型应用细粒度补丁迁移和微调。我们在名为TSBPORT的工具中实现了我们的方法，并在由1,815对Linux内核真实安全补丁组成的大型数据集上进行了评估。评估结果表明，TSBPORT成功地回退了1,589（87.59%）个补丁，其中587（32.34%）个补丁无法被任何最先进的方法回退，显著优于最先进的方法。此外，实验还表明，TSBPORT可以推广到其他OSS项目中的补丁回退，成功率达到88.18%。

论文链接：https://doi.org/10.1145/3576915.3623188

73、Evading Watermark based Detection of AI-Generated Content

生成式人工智能模型可以生成极其逼真的内容，对信息的真实性构成越来越大的挑战。为了应对这些挑战，水印技术被用来检测人工智能生成的内容。具体来说，在发布人工智能生成的内容之前，将水印嵌入其中。如果可以从内容中解码出类似的水印，则该内容被检测为人工智能生成的内容。在这项工作中，我们对这种基于水印的人工智能生成的内容检测的鲁棒性进行了系统研究。我们专注于人工智能生成的图像。我们的工作表明，攻击者可以通过向水印图像添加微小的人为不可察觉的扰动来进行后处理，这样经过后处理的图像在保持其视觉质量的同时可以逃避检测。我们展示了我们的攻击在理论和经验上的有效性。此外，为了逃避检测，我们的对抗性后处理方法对人工智能生成的图像添加了更小的扰动，从而比现有的流行后处理方法（如JPEG压缩、高斯模糊和亮度/对比度）更好地保持其视觉质量。我们的工作表明，现有的基于水印的人工智能生成内容的检测方法存在不足，突显了新方法的迫切需求。我们的代码是公开可用的：https://github.com/zhengyuan-jiang/WEvade。

论文链接：https://doi.org/10.1145/3576915.3623189

74、Evaluating the Security Posture of Real-World FIDO2 Deployments

FIDO2是一套协议，它将本地身份验证（如生物识别）的可用性与公钥密码的安全性相结合，以提供无密码身份验证。它消除了共享身份验证秘密（即密码，可能会泄露或被钓鱼），并在客户端协议组件的良性行为的前提下提供强大的安全保证。然而，当这种假设不成立时，例如在存在恶意软件的情况下，客户端身份验证会带来FIDO2部署必须考虑的风险。FIDO2为部署提供了建议，以缓解这种情况。然而，迄今为止，对于部署是否采用这些缓解措施以及客户端向现实世界FIDO2部署带来的风险（如未经授权的帐户访问或注册），经验调查有限。在这项工作中，我们的目标是通过以下方式填补空白：1）当客户端协议组件的假设不成立时，系统化FIDO2部署面临的威胁，2）从服务器端和客户端的角度，对Tranco Top 1K网站上现实世界FIDO2部署的安全状况进行经验评估，3）综合生态系统可以采取的缓解措施，以进一步加强FIDO2提供的实际安全性。通过我们的调查，我们发现由于配置薄弱，受感染的客户端对FIDO2部署构成了实际威胁，并且已知的缓解措施表现出关键的缺点和/或采用率极低。根据我们的发现，我们为生态系统提出了在FIDO2部署中开发额外防御的方向。最终，我们的工作旨在推动FIDO2实际安全性的改进。

论文链接：https://doi.org/10.1145/3576915.3623063

75、Experimenting with Zero-Knowledge Proofs of Training

模型所有者如何证明他们根据正确的规范训练了他们的模型？更重要的是，他们如何在保护底层数据集和最终模型的隐私的同时做到这一点？我们研究这个问题，并提出了训练零知识证明的概念（zkPoT），它正式化了严格的隐私保护训练证明应该实现的安全保证。虽然理论上可以使用通用零知识证明系统为任何模型设计zkPoT，但这种方法导致极不实用的证明生成时间。为了设计一个实用的解决方案，我们提出了将头中MPC技术和zkSNARKs文献中的技术相结合的想法，以在证明大小和证明计算时间之间取得适当的权衡。我们实例化这个想法，并为逻辑回归提出了一种具体有效的新颖zkPoT协议。至关重要的是，我们的协议是流式友好的，不需要与训练电路大小成比例的RAM，因此，可以在没有特殊硬件的情况下完成。我们预计本文开发的技术通常也适用于设计其他更复杂的ML模型的高效zkPoT协议。 我们实现了对证明/验证器运行时间和证明大小的基准测试，以使用小批量梯度下降法在4~GB的数据集上训练一个逻辑回归模型，该数据集包含262,144条记录和1024个特征。我们将协议分为三个阶段：（1）数据无关的离线阶段（2）独立于模型的数据依赖阶段（3）同时依赖于数据和模型的在线阶段。总证明大小（跨越所有三个阶段）小于数据集大小的10％（<350 MB）。在在线阶段，证明者和验证者的时间分别在10分钟和半分钟内，而在数据依赖阶段，它们分别接近一小时和几秒钟。

论文链接：https://doi.org/10.1145/3576915.3623202

76、Exploration of Power Side-Channel Vulnerabilities in Quantum Computer Controllers

量子计算领域的迅速发展也增加了保护这些计算机免受各种物理攻击的重要性。不断增加的量子比特数量和量子计算机保真度的提高，使这些计算机能够运行具有高度敏感知识产权的新型算法。然而，在当今基于云的量子计算机环境中，用户缺乏对计算机的物理控制。物理攻击，如数据中心恶意内部人员实施的攻击，可用于提取这些计算机上执行的电路的敏感信息。这项工作显示了量子计算机中基于功率的侧通道攻击的首次探索和研究。探索的攻击可用于恢复发送到这些计算机的控制脉冲的信息。通过分析这些控制脉冲，攻击者可以对电路的等效门级描述、运行的算法或硬编码到电路中的数据进行逆向工程。这项工作介绍了五种新型攻击，并使用基于云的量子计算机提供的控制脉冲信息对其进行评估。这项工作展示了如何恢复电路以及恢复哪些电路，然后展示了如何防御新近展示的量子计算系统上的旁路攻击。

论文链接：https://doi.org/10.1145/3576915.3623118

77、FIN: Practical Signature-Free Asynchronous Common Subset in Constant Time

异步公共子集（ACS）是一种强大的范例，可以实现拜占庭容错（BFT）和多方计算（MPC）等应用。信息理论环境中最高效的ACS框架是由Ben-Or、Kelmer和Rabin（BKR，1994）提出的。BKR ACS协议在理论和实践上都有影响力。然而，由于使用了n个并行异步二进制协议（ABA）实例，BKR协议的运行时间为O（log n）（其中n是副本的数量），这影响了性能和可扩展性。事实上，对于一个有16个到64个副本的网络，并行ABA阶段在BKR中占总运行时间的95％到97％。一个长期存在的开放问题是，我们是否可以在不增加BKR协议的消息或通信复杂性的情况下，在O(1)时间内构建一个ACS框架。在这篇论文中，我们解决了这个开放问题，在信息理论和无签名设置中提出了第一个O(n3)消息的常数时间ACS协议。此外，作为我们新ACS框架的关键组成部分和其自身的一个有趣的基本要素，我们提供了第一个O(1)时间和O(n3)消息的信息理论多值验证拜占庭协议(MVBA)。这两个结果都可以在信息理论、量子安全或无签名设置中，使用ACS和MVBA来改进各种应用。例如，我们实现了FIN，一个使用我们的框架实例化的BFT协议。通过在亚马逊EC2上部署121个服务器，我们发现FIN比同类最先进的异步BFT协议PACE（CCS 2022）高效得多。特别是，FIN将ABA阶段的开销降低到总运行时间的1.23%，并且FIN的吞吐量达到PACE的3.41倍。我们还发现，FIN优于其他具有标准生存属性的BFT协议，如Dumbo和Speeding Dumbo。

论文链接：https://doi.org/10.1145/3576915.3616633

78、FINER: Enhancing State-of-the-art Classifiers with Feature Attribution to Facilitate Security Analysis

深度学习分类器在各种风险检测应用中取得了最先进的性能。它们探索了丰富的语义表示，并被认为可以自动发现风险行为。然而，由于缺乏透明度，行为语义无法传达给下游安全专家，以减轻他们在安全分析中的繁重工作。虽然特征归因（FA）方法可以用来解释深度学习，但底层分类器仍然对可疑行为视而不见，生成的解释无法适应下游任务，导致解释保真度和可理解性较差。在这篇论文中，我们提出了FINER，这是第一个用于风险检测分类器生成高保真度和高可理解性解释的框架。其高级思想是收集来自模型开发人员、FA设计师和安全专家的解释工作。为了提高保真度，我们使用解释引导的多任务学习策略对分类器进行微调。为了提高可理解性，我们利用任务知识来调整和集成FA方法。广泛的评估表明，FINER提高了风险检测的解释质量。此外，我们证明FINER在促进恶意软件分析方面优于最先进的工具。

论文链接：https://doi.org/10.1145/3576915.3616599

79、FITS: Matching Camera Fingerprints Subject to Software Noise Pollution

物理不可克隆硬件指纹可用于设备认证。光响应非均匀性（PRNU）是数码相机最可靠的硬件指纹，可以方便地从图像中提取。然而，我们发现图像后处理软件可能会在图像中引入额外的噪声。这部分噪声保留在提取的PRNU指纹中，很难通过传统方法（如降噪滤波器）消除。我们将这种噪声定义为软件噪声，它污染了PRNU指纹，干扰了认证相机武装设备。在这篇论文中，我们提出了在存在软件噪声的情况下进行指纹匹配的新方法，这是设备认证的关键步骤。我们使用峰值相关能量（PCE）等测试统计量计算不同相机的PRNU指纹之间的互相关，以估计软件噪声相关性。在指纹匹配过程中，我们得出两个感兴趣的PRNU指纹的测试统计量与估计的软件噪声相关性的比率。我们将该比率表示为指纹与软件噪声比（FITS），这使我们能够检测指纹匹配测试统计量中的PRNU硬件噪声相关性分量。对90多部智能手机拍摄的10,000多张图像进行了大量实验，以验证我们的方法，该方法在污染指纹方面明显优于最先进的方法。我们是第一个研究存在软件噪声的指纹匹配的人。

论文链接：https://doi.org/10.1145/3576915.3616600

80、FPT: A Fixed-Point Accelerator for Torus Fully Homomorphic Encryption

全同态加密（FHE）是一种允许对加密数据进行计算的技术。它有可能彻底改变云中的隐私考虑因素，但高计算和内存开销阻碍了它的广泛采用。TFHE是一种基于Torus的全同态加密方案，它严重依赖于引导，每次加密逻辑/算术操作后都会调用噪声去除工具。我们提出了FPT，一种用于TFHE引导的定点FPGA加速器。FPT是第一个充分利用FHE计算中固有噪声的硬件加速器。它不是双精度或单精度浮点运算，而是完全用近似定点运算来实现TFHE引导。通过深入分析自举FFT计算中的噪声传播，FPT能够使用噪声修剪的定点表示，比之前更喜欢浮点或整数FFT的实现小50%。 FPT是受传统流式DSP启发的流处理器：它直接实例化级联的高吞吐量计算阶段，具有最小的控制逻辑和路由网络。我们探索了具有用户可配置流宽度的流式内核的不同吞吐量平衡组合，以构建完整的自举流水线。我们提出的方法允许100%利用算术单元，只需要小的自举关键缓存，使1 BS / 35us的完全计算约束自举吞吐量成为可能。这与经典的CPU自举加速方法形成鲜明对比，后者通常受到内存和带宽的限制。FPT作为Alveo U280数据中心加速器卡的自举FPGA内核得到了全面实施和评估。FPT实现了比现有基于CPU的实现高2到3个数量级的自举吞吐量，与最近的ASIC仿真实验相比，吞吐量提高了2.5倍。

论文链接：https://doi.org/10.1145/3576915.3623159

81、FaceReader: Unobtrusively Mining Vital Signs and Vital Sign Embedded Sensitive Info via AR/VR Motion Sensors

近年来，增强现实和虚拟现实（AR/VR）的市场规模迅速扩大，面部佩戴式耳机已从游戏扩展到教育、医疗保健和军事等各个应用领域。尽管增长迅速，但对通过传感器丰富的耳机泄露信息的研究仍处于起步阶段。一些耳机内置的传感器不需要用户许可即可访问，任何应用程序和网站都可以获取其读数。虽然这些不受限制的传感器通常被认为没有隐私风险，但我们发现，对手可以通过仔细检查传感器读数来发现私人信息，使现有的AR/VR应用程序和网站成为潜在的窃听者。在这项工作中，我们研究了一种新颖的、不引人注目的隐私攻击，称为FaceReader，它基于不受限制的AR/VR运动传感器重建高质量的生命体征信号（呼吸和心跳模式）。FaceReader建立在这样一个关键认识之上，即耳机紧密地安装在用户的脸上，使运动传感器能够检测到用户呼吸和心跳产生的微妙的面部振动。基于重建的生命体征，我们进一步研究了三种更高级的攻击，包括性别识别、用户重新识别和身体脂肪比率估计。这些攻击引起了严重的隐私问题，因为对手可能会获得用户敏感的人口统计/生理特征，并可能揭露他们的真实身份。与之前依靠语音和活动的隐私攻击相比，FaceReader针对的是人体自然产生的自发呼吸和心跳活动，对受害者来说并不显眼。特别是，我们设计了一个自适应滤波器来动态减轻身体运动的影响。我们进一步采用先进的深度学习技术来重建生命体征信号，实现与专用医疗器械相当的信号质量，并获取敏感的性别、身份和身体脂肪信息。我们进行了为期3个月的广泛实验，涉及35名用户，使用三种主流AR/VR耳机。结果表明，FaceReader可以重建生命体征，平均误差低，准确检测性别（超过93.33%）。该攻击还可以链接/重新识别不同应用程序、网站和纵向会话的用户，准确率为97.83%以上。此外，我们首次成功尝试从运动传感器数据中揭示身体脂肪信息，实现了4.43%的显著低估计误差。

论文链接：https://doi.org/10.1145/3576915.3623102

82、Fait Accompli Committee Selection: Improving the Size-Security Tradeoff of Stake-Based Committees

我们研究了在权益证明共识机制或分布式账本背景下的委员会选择问题。这些设置确定了一个参与方家族，每个参与方都被分配了一个非负的“权益”，并且受到可能破坏部分参与方的对手的影响。挑战在于选择一个参与者委员会，准确反映全体人口中腐败和诚实参与方的比例，以权益衡量。委员会规模和选择代表腐败参与方的委员会的概率之间的权衡是权益证明共识以及委员会运行第二层协议的安全性和效率的基本因素。我们提出并分析了几种新的委员会选择方案，通过采用持有重大权益的某些委员会成员的低方差分配来改进现有技术。这些方案显著改善了许多部署的账簿的权益分配导致的规模与安全性的权衡。

论文链接：https://doi.org/10.1145/3576915.3623194

83、Fast Unbalanced Private Set Union from Fully Homomorphic Encryption

私有集合并集（PSU）允许双方在不泄露任何其他信息的情况下计算其集合的并集。它已被广泛应用于各种应用中。虽然已经为平衡情况开发了几种计算高效的PSU协议，但它们在通信复杂性方面存在潜在的限制，通信复杂性随着较大集合的大小呈（超）线性增长。这在非平衡设置中执行PSU时提出了挑战，其中一方是持有小集合的受限设备，另一方是持有大集合的服务提供商。在这项工作中，我们提出了一个基于分层全同态加密和非平衡PSU的通用构造，以及一个新引入的称为置换矩阵私有等式测试的协议。通过实例化通用构造，我们获得了两个非平衡PSU协议，其通信复杂性在小集合中呈线性，在大集合中呈对数。我们实现了我们的协议。实验证明，我们的协议在不平衡设置中优于所有先前的协议。两个集合的大小差异越大，我们的协议表现越好。对于长度为128位的210和220个输入集合，我们的PSU只需要2.767 MB的通信。与张等人（USENIX Security 2023）提出的最先进的PSU相比，通信量减少了37倍，运行时间根据网络环境大致提高了10-35倍。

论文链接：https://doi.org/10.1145/3576915.3623064

84、Faster Constant-time Evaluation of the Kronecker Symbol with Application to Elliptic Curve Hashing

我们推广了用于计算Kronecker符号的常数时间模逆的Bernstein-Yang (BY)算法[11]，其中Jacobi符号和Legendre符号是特例。我们首先开发了一个基本且易于实现的算法，该算法使用全精度除法步骤定义。然后，我们描述了Hamburg[21]提出的基于字长输入的优化版本，并正式验证了其正确性。在此过程中，我们介绍了一些在常数时间内实现这两个版本的优化。最终的算法特别适合计算稠密素数p的Legendre符号，其中没有已知的有效加法链用于在2上求幂到p-1，这通常发生在配对友好的椭圆曲线上。我们对一系列参数的高速实现表明，新算法比求幂运算快40倍，比之前的最新技术快25.7%。我们使用SwiftEC算法[17]对椭圆曲线进行散列，节省了14.7%-48.1%，并加速了基于CTIDH同源密钥交换[7]，节省了3.5-13.5%，以此说明我们的技术。

论文链接：https://doi.org/10.1145/3576915.3616597

85、FetchBench: Systematic Identification and Characterization of Proprietary Prefetchers

预取器使用对应用程序未来内存使用的预测来推测性地获取内存。不同的CPU可能使用不同的预取器类型，并且同一预取器的两个实现可能在特征细节上有所不同，从而导致不同的运行时行为。对于一些实现，安全研究人员通过手动分析展示了如何利用特定的预取器来泄露数据。识别这些漏洞需要繁琐的反向工程，因为预取器实现是专有且未记录的。到目前为止，还没有对通用CPU中的预取器进行系统研究，这阻碍了进一步的安全评估。在这项工作中，我们解决了以下问题：我们如何系统地识别和表征专有处理器中未指定的预取器？为了回答这个问题，我们系统地分析了预取方法，设计跨平台测试以识别和表征给定CPU上的预取器，并证明我们的实现FetchBench可以表征19种不同ARM和x86-64 CPU上的预取器。例如，FetchBench揭示并表征了ARM Cortex-A72 CPU上以前未知的基于重放的预取器。基于这些发现，我们演示了两种新的攻击，利用这种未记录的预取器作为侧通道泄露秘密信息，甚至从安全的TrustZone泄露到正常世界。

论文链接：https://doi.org/10.1145/3576915.3623124

86、Finding All Cross-Site Needles in the DOM Stack: A Comprehensive Methodology for the Automatic XS-Leak Detection in Web Browsers

跨站泄漏（XS-Leaks）是一类漏洞，允许网络攻击者跨源从目标Web应用程序推断用户状态。修复XS-Leaks是一场猫捉老鼠的游戏：一旦发布的漏洞被修复，就会发现变体。为了结束这场游戏，我们提出了一种方法来查找给定状态相关资源的所有泄漏技术，并使用一组包含方法。我们在运行时将网站的DOM转换为有向图。我们执行两次翻译，每个状态一次。输出是两个略有不同的图。然后，通过计算这两个图的差异，我们得到所有泄漏技术的集合。剩下的节点和边在两个状态之间不同，相应的DOM属性和对象可以在跨源的情况下观察到。我们实施了AutoLeak，这是我们的开源解决方案，用于自动检测网络浏览器和网站中已知和未知的XS-Leaks。对于我们的系统研究，我们专注于Web浏览器的XS-Leak测试用例，这些测试用例具有HTTP标头引起的可检测差异。我们在Chrome、Firefox和Safari中创建并评估了总共151776个测试用例。AutoLeak在没有人为干预的情况下自动执行它们，并识别每个测试用例中多达8403种泄漏技术。最重要的是，AutoLeak的系统评估根据泄漏技术揭示了5种新的XS-Leaks类别，这些泄漏技术允许检测跨源的新HTTP标头。我们展示了我们的方法在Tranco Top 50中的24个网站上的适用性，并在其中20个网站中发现了XS-Leaks。

论文链接：https://doi.org/10.1145/3576915.3616598

87、Fine-Grained Data-Centric Content Protection Policy for Web Applications

现代网络应用程序中大量的敏感数据已成为网络攻击的主要目标。现有的浏览器安全策略不允许执行未知脚本，但并不限制“受信任”的第三方脚本访问敏感的网络内容。因此，具有过度权限的第三方脚本可能会损害应用程序中敏感用户数据的机密性和完整性。本文提出了一种新的网络安全机制——内容保护策略（CPP），为敏感客户端用户数据提供细粒度的机密性和完整性保护。它采用以数据为中心的设计方法，实现对象级保护，而不是页面级保护。策略指定每个脚本对单个敏感元素的访问权限。默认情况下，任何未经授权的访问都被拒绝，以实现浏览器中的最小权限。我们实现了一个原型系统DOMinator，用于在浏览器中执行内容保护策略，并实现了一个扩展策略生成器，用于帮助Web开发人员编写基本策略规则。我们使用流行网站对其进行了全面评估，结果表明，它能够以较低的性能开销和良好的可用性有效地保护敏感的Web内容。CPP补充了现有的安全机制，并为Web开发人员提供了一种更灵活的方式来保护敏感数据，这可以进一步减轻内容注入攻击的影响，并显著提高Web应用程序的安全性。

论文链接：https://doi.org/10.1145/3576915.3623217

88、FlexiRand: Output Private (Distributed) VRFs and Application to Blockchains

基于区块链的Web3应用程序通常需要访问无偏、不可预测和可公开验证的随机性。对于Web3游戏应用程序，这成为通过为“随机奖励”分配功能提供可信度来吸引更多用户的关键卖点。可验证随机函数（VRF）协议自然地满足了这些要求，VRF服务的使用量大幅增加。由于大多数区块链无法维护VRF所需的密钥，Web3应用程序通过智能合约与外部VRF服务进行交互，其中VRF输出以收费的方式交换。虽然这种基于智能合约的纯文本交换立即提供了急需的公共可验证性，但它严重限制了请求者使用VRF服务的方式：请求不能提前发出，输出不能重复使用。这引入了显著的延迟和货币开销。这项工作通过引入一种新的隐私原语输出私有VRF（Pri-VRF），克服了VRF服务的这一关键限制，从而为基于Web3的VRF服务增加了极大的灵活性。我们称我们的框架为FlexiRand。在保持VRF的伪随机性和公共可验证性的同时，FlexiRand确保请求者可以单独观察VRF输出。智能合约和其他任何人只能观察到盲目的但可验证的输出版本。我们正式定义Pri-VRF，提出了一种切实有效的设计，并在通用可组合性（UC）框架（在随机预言模型中）中使用双线性群上的一个多Diffie-Hellman假设的变体，提供了可证明的安全分析。由于拥有密钥的VRF服务成为单点故障，它被实现为分布式VRF，密钥在我们的框架中不同的节点之间共享。我们通过结合分布式VRF和分布式无意识PRF文献中的方法来开发分布式Pri-VRF结构。我们提供可证明的安全分析（在UC中），实现它并将其性能与现有的分布式VRF方案进行比较。我们的分布式Pri-VRF只引入了VRF服务、请求者和合约的最小计算和通信开销。

论文链接：https://doi.org/10.1145/3576915.3616601

89、Formal Analysis of Access Control Mechanism of 5G Core Network

我们提出了5GCVerif，这是一种基于模型的测试框架，旨在正式分析5G核心的访问控制框架。凭借其模块化设计，5GCVerif采用各种抽象技术来构建一个抽象模型，该模型捕获了5G核心访问控制机制的复杂细节。这种方法在构建抽象模型时提供了可定制性和可扩展性，并解决了模型检查中的状态爆炸问题。5GCVerif还通过限制模型检查器仅在有效网络配置中探索策略违规，回避了为所有可能的核心网络配置生成模型的挑战。使用5GCVerif，我们评估了55个安全属性，发现在5G核心的访问控制机制中发现了五个新的漏洞。发现的漏洞可能导致多种攻击，包括未经授权访问敏感信息、非法访问服务以及拒绝服务。

论文链接：https://doi.org/10.1145/3576915.3623113

90、Formalizing, Verifying and Applying ISA Security Guarantees as Universal Contracts

最近在可执行形式化而非散文中指定指令集架构（ISA）方面取得了进展。然而，到目前为止，这些形式规范仅限于ISA的功能方面，不包括其安全保证。我们提出了一种新颖的通用方法，用于正式指定ISA的安全保证，以（1）平衡ISA实现（硬件）和客户端（软件）的需求，（2）可以半自动验证ISA操作语义，产生高保证的机械可验证证明，以及（3）支持在存在对抗性代码的情况下对安全关键软件进行非正式和正式推理。我们的方法利用通用契约：表示任意不受信任代码的权限界限的软件契约。通用契约可以与软件抽象保持无关，并在要求足够的软件推理细节和保护ISA设计者和CPU实现者的实现自由之间取得适当的平衡。我们使用我们的“独木舟”工具，根据ISA语义的Sail实现，半自动验证通用契约；Sail的半自动分离逻辑验证器，为成功验证的契约生成机器检查的证明。我们通过将我们的方法应用于提供非常不同的安全原语的两个ISA来证明它的通用性：（1）MinimalCaps：一个定制的能力机器ISA和（2）一个（稍微简化）版本的RISC-V，带有PMP。我们使用我们为RISC-V和PMP形式化的安全保证来验证一个femtokernel。

论文链接：https://doi.org/10.1145/3576915.3616602

91、FutORAMa: A Concretely Efficient Hierarchical Oblivious RAM

Oblivious RAM (ORAM)是一种用于隐藏内存访问模式的通用技术。这是许多安全计算应用的基础任务。虽然已知的ORAM方案提供了最佳的渐近复杂度，但尽管做出了大量努力，它们的具体成本对于许多有趣的应用来说仍然非常昂贵。目前最先进的实用ORAM方案仅适用于较小的内存(Square-Root ORAM或Path ORAM)。这项工作基于ORAM方案渐近复杂度方面的最新突破(PanORAMa和OptORAMa)，提出了一种新颖的具体有效的ORAM构造。我们通过放宽对恒定本地内存大小的限制，将这些构造引入到实用方案领域。我们的设计为一套合理的内存大小（如1GB、1TB）和相同的本地内存大小提供了至少6到8倍的改进，优于Path ORAM的优化变体。据我们所知，这是基于完整分层ORAM框架的ORAM的第一个实际实现。在我们之前的工作中，人们认为基于分层ORAM的构造在实践中本质上太昂贵了。我们实现了我们的设计，并提供了广泛的评估和实验结果。

论文链接：https://doi.org/10.1145/3576915.3623125

92、Fuzz on the Beach: Fuzzing Solana Smart Contracts

Solana迅速成为构建去中心化应用程序（DApps）的流行平台，例如非同质代币（NFT）市场。其成功的一个关键原因是Solana的低交易费用和高性能，这在一定程度上是由于其无状态编程模型。尽管文献对智能合约安全提供了广泛的工具支持，但目前的解决方案主要是针对以太坊虚拟机量身定制的。不幸的是，Solana执行环境的无状态特性引入了特定于Solana的新攻击模式，需要重新思考构建漏洞分析方法。在这篇论文中，我们解决了这一差距，并提出了FuzzDelSol，这是Solana智能合约的第一个仅二进制覆盖引导的模糊测试架构。 FuzzDelSol忠实地模拟了运行时细节，如智能合约交互。此外，由于大多数 Solana 合约的源代码不可用，因此 FuzzDelSol 在合约的二进制代码上运行。因此，由于缺乏语义信息，我们仔细提取了低级程序和状态信息，以开发涵盖 Solana 中所有主要 bug 类别的各种 bug oracles。我们对 6049 个智能合约的广泛评估表明， FuzzDelSol 的 bug oracles 以高精度和召回率发现了有影响力的漏洞。据我们所知，这是 Solana 主网上最大的安全评估。

论文链接：https://doi.org/10.1145/3576915.3623178

93、Galápagos: Developing Verified Low Level Cryptography on Heterogeneous Hardwares

新硬件设计的激增使得在汇编级别为每个平台定制高性能密码实现变得困难，更不用说证明这些实现的正确性了。因此，我们引入了Galápagos，这是一个可扩展的框架，旨在减少跨不同ISA验证密码实现的工作。在Galápagos中，开发人员证明其高级实现策略是正确的，然后将策略和证明打包到一个抽象模块中。然后，该模块可以被实例化并连接到每个平台特定的实现。Galápagos通过泛化提高目标平台的抽象性，并通过一系列新的经过验证的库和工具改进来帮助自动化证明过程，从而促进这种连接。我们通过三个截然不同的平台上的多个经过验证的加密实现来验证加拉帕戈斯：256位专用加速器、16位最小ISA（MSP430）和标准32位RISC-V CPU。我们的案例研究来自一个真实的用例，即OpenTitan安全芯片，该芯片大规模部署了我们经过验证的加密代码。

论文链接：https://doi.org/10.1145/3576915.3616603

94、General Data Protection Runtime: Enforcing Transparent GDPR Compliance for Existing Applications

数据保护法规的最新进展为网站用户带来了隐私利益，但同时也给运营商带来了成本。将《通用数据保护条例》（GDPR）等法律的隐私要求改造成传统软件需要大量的审计和开发工作。在这项工作中，我们证明，通过信息流跟踪的视角查看数据保护要求，可以最大限度地减少这种努力。我们提出了一种轻量级的执行引擎，而不是手动检查应用程序，即使在存在错误或配置错误的软件的情况下，该引擎也可以可靠地防止非法数据处理。以GDPR法规为起点，我们定义了12个软件要求，如果实施得当，可以确保充分处理个人数据。我们继续展示如何通过为动态信息流跟踪框架提出元数据结构和执行策略来实现这些要求。为了将这一想法付诸实践，我们提出了Fontus，一个Java虚拟机（JVM）信息流跟踪框架，它可以透明地标记现有Java应用程序中的个人数据，以帮助遵守数据保护法规。最后，我们通过在7个大型开源Web应用程序中实施数据保护策略来证明我们方法的适用性，而无需对应用程序本身进行任何更改。

论文链接：https://doi.org/10.1145/3576915.3616604

95、Geometry of Sensitivity: Twice Sampling and Hybrid Clipping in Differential Privacy with Optimal Gaussian Noise and Application to Deep Learning

我们研究了差分隐私（DP）中最佳随机化构建的基本问题。根据剪切策略或处理函数的附加属性，相应的敏感集理论上确定了产生所需安全参数所需的随机化。为了实现最优的效用-隐私权衡，找到适当选择的敏感集的最小扰动是DP研究中的核心问题。在实践中，使用高斯/拉普拉斯噪声机制的l2/l1范数剪切是最常见的设置之一。然而，它们也受到维度诅咒的影响。对于更通用的剪切策略，高维敏感集的最佳噪声的理解仍然有限。这给减轻隐私保护随机化中最坏情况下的维度依赖性带来了挑战，特别是对于深度学习应用。本文中，我们重新审视了高维灵敏度集的几何结构，并给出了一系列结果，以表征Rényi DP（RDP）的非渐进最优高斯噪声。我们的结果既有积极的一面，也有消极的一面：一方面，我们证明，对于满足某些对称性属性的广泛灵敏度集，维数诅咒是致命的；但幸运的是，如果灵敏度集的表示在某些正交基上是不对称的，我们证明最优噪声范围不必明确依赖于维数或秩。我们还重新审视了高维场景中的采样，这是大规模数据处理中隐私增强和计算效率的关键。我们提出了一种称为两次采样的新方法，该方法实现了逐样本和逐坐标采样，使高斯噪声能够更紧密地适应灵敏度几何。通过闭式RDP分析，我们证明在额外的l∞范数限制下，二次采样可以产生隐私增强的渐进改进，特别是在小采样率的情况下。我们还提供了我们的结果在实际任务中的具体应用。通过更严格的隐私分析结合二次采样，我们在低采样率下有效地训练了CIFAR10上的ResNet22，并在（ε=2，δ=10-5）和（ε=8，δ=10-5）DP保证下分别实现了69.7%和81.6%的测试准确率。

论文链接：https://doi.org/10.1145/3576915.3623142

96、Good-looking but Lacking Faithfulness: Understanding Local Explanation Methods through Trend-based Testing

在享受深度学习（DL）带来的巨大成就的同时，人们也担心DL模型做出的决策，因为DL模型的高度非线性使得决策很难理解。因此，对抗性攻击等攻击很容易实施，但很难检测和解释，这导致了解释模型决策的局部解释方法研究的热潮。在这篇论文中，我们评估了解释方法的忠实性，发现传统的忠实性测试遇到了随机优势问题，即随机选择表现最好，特别是对于复杂数据。为了进一步解决这个问题，我们提出了三种基于趋势的忠实性测试，并实证证明新的趋势测试可以比传统的图像、自然语言和安全任务测试更好地评估忠实性。我们实现了评估系统，并评估了十种流行的解释方法。受益于趋势测试，我们首次成功评估了复杂数据的解释方法，带来了前所未有的发现，并启发了未来的研究。下游任务也极大地受益于这些测试。例如，配备忠实解释方法的模型调试在检测和纠正准确性和安全性问题方面表现更好。

论文链接：https://doi.org/10.1145/3576915.3616605

97、Gotcha! I Know What You Are Doing on the FPGA Cloud: Fingerprinting Co-Located Cloud FPGA Accelerators via Measuring Communication Links

近几十年来，由于计算加速的需求不断涌现，云FPGA在公共云中变得流行。主要云服务提供商，如AWS和Microsoft Azure，在其基础设施中提供了FPGA计算资源，并使用户能够在这些FPGA上设计和部署自己的加速器。多租户FPGA，其中多个用户可以共享具有某些类型隔离的相同FPGA结构以提高资源效率，已经被证明是可行的。然而，这也引发了安全问题。各种类型的针对多租户FPGA的侧通道攻击已被提出并得到验证。对云中安全漏洞的认识促使云提供商采取行动来增强其云环境的安全性。在FPGA安全研究论文中，研究人员总是在假设攻击者成功地与受害者协同定位并且知道受害者存在于同一FPGA板上的情况下进行攻击。然而，尽管攻击者意识到这一点的重要性，但攻击者如何秘密获取关于同一结构上加速器的信息，这一直被忽视。在这篇论文中，我们提出了一种新的指纹识别攻击，以获取共置FPGA加速器的类型。我们利用一个看似无恶意的基准加速器来嗅探通信链路，并收集FPGA主机通信链路的性能痕迹。通过分析这些痕迹，我们能够实现共置加速器指纹识别的较高分类精度，这证明攻击者可以使用我们的方法以较高的成功率进行云FPGA加速器指纹识别。据我们所知，这是第一篇针对多租户FPGA加速器指纹识别的通信侧信道。

论文链接：https://doi.org/10.1145/3576915.3616606

98、Greybox Fuzzing of Distributed Systems

灰盒模糊测试是在顺序程序中发现漏洞的首选轻量级方法。它通过使用从观察到的测试执行中得到的反馈函数，在程序输入域上进行有偏差的随机搜索，以在效率和效果之间取得平衡。然而，对于分布式系统测试而言，目前的最佳实践仅使用黑盒工具，这些工具不尝试推断和利用系统过去行为的任何知识来指导漏洞的搜索。

在这项工作中，我们提出了MALLORY：第一个用于分布式系统灰盒模糊测试的框架。与流行的黑盒分布式系统模糊测试工具（如JEPSEN）不同，后者通过随机注入网络分区和节点故障，或按照人工定义的时间表进行搜索漏洞。MALLORY是自适应的。它使用一种新颖的度量标准来学习如何通过选择不同的故障序列来最大化观察到的系统行为数量，从而增加发现新漏洞的可能性。我们的方法依赖于基于时间线的测试。MALLORY动态构建系统行为的Lamport时间线，并将这些时间线进一步抽象为happens-before摘要，这些摘要作为反馈函数来指导模糊测试。随后，MALLORY使用Q-learning反应性地学习策略，使其能够根据对摘要的实时观察引入故障。

我们在一组广泛使用的工业分布式系统上对MALLORY进行了评估。与最先进的黑盒模糊测试工具JEPSEN相比，MALLORY在24小时内探索了54.27%更多的不同状态，同时加速了2.24倍。与此同时，MALLORY以1.87倍的速度发现漏洞，因此在给定的时间预算内发现更多的漏洞。MALLORY在经过严格测试的分布式系统（如Braft、Dqlite和Redis）中发现了22个零日漏洞（其中18个得到了开发人员的确认），包括10个新的漏洞，已分配了6个新的CVE编号。

论文链接：https://doi.org/10.1145/3576915.3623097

99、Grotto: Screaming fast (2+1)-PC or ℤ2n via (2,2)-DPFs

我们介绍Grotto，一个用于在2n上加性共享的秘密上进行空间和时间高效（2+1）方分段多项式（即样条）评估的框架和C++库。Grotto在几乎所有指标上改进了基于分布式比较函数（DCF）的最先进方法，提供了具有相同或更低轮复杂性的渐近优化的通信和计算成本。Grotto的核心是一个关于文献中最有效的分布式点函数（DPF）的“树”表示结构的新观察，以及一个利用该结构对轻量级DPF进行处理的算法，而最先进的方法需要相对重量级的DCF。我们的开源Grotto实现支持几十个开箱即用的有用函数，包括具有反函数的三角函数和双曲函数；各种对数；根、倒数和倒数根；符号测试和位计数；以及来自深度学习文献的二十多种最常见的单变量激活函数。

论文链接：https://doi.org/10.1145/3576915.3623147

100、Group and Attack: Auditing Differential Privacy

（ε，δ）差分隐私最近得到了越来越多的采用，特别是在私有机器学习应用中。虽然这种隐私定义允许可证明地限制算法泄露的信息量，但差分隐私算法的实际实现通常包含微妙的漏洞。这促使人们需要有效的工具，可以在将（ε，δ）差分隐私算法部署到现实世界之前对其进行审计。然而，现有的用于审计（ε，δ）差分隐私的最先进工具直接扩展了用于ε差分隐私的工具，通过在违规搜索中修复ε或δ，固有地限制了它们有效发现（ε，δ）差分隐私违规的能力。我们提出了一种新颖的方法，基于许多（ε，δ）对可以被分组为它们产生相同的算法的关键见解，有效地发现（ε，δ）差分隐私违规。至关重要的是，我们的方法与现有方法正交，结合后可以更快更准确地搜索违规行为。我们在名为Delta-Siege的工具中实现了我们的方法，并通过在大多数评估框架中发现漏洞来证明其有效性，其中几个漏洞是以前未知的。此外，在84%的情况下，Delta-Siege优于现有的最先进的审计工具。最后，我们展示了如何使用Delta-Siege的输出找到漏洞的精确根源，这是目前其他差分隐私测试工具所没有的选项。

论文链接：https://doi.org/10.1145/3576915.3616607

101、HE3DB: An Efficient and Elastic Encrypted Database Via Arithmetic-And-Logic Fully Homomorphic Encryption

随着人们对数据隐私的关注越来越多，基于完全同态加密（FHE）的加密数据库管理系统（DBMS）吸引了越来越多的研究关注，因为FHE允许DBMS直接外包给云服务器，而不会泄露任何明文数据。然而，基于FHE的DBMS在现实世界中的部署面临着两个主要挑战：i）高计算延迟，ii）缺乏弹性查询处理能力，这两个挑战都源于底层FHE运算符的固有局限性。在这里，我们介绍HE3DB，这是一个基于新的FHE基础架构的全同态加密、高效和弹性的DBMS框架。通过提出和整合新的算术和逻辑同态运算符，我们设计出快速和高精度的同态比较和聚合算法，使各种SQL查询能够应用于FHE密文，例如复合过滤聚合、排序、分组和连接。此外，与现有的加密DBMS只支持聚合信息检索不同，我们的框架允许在查询的FHE密文中进行进一步的服务器端弹性分析处理，如私有决策树评估。在实验中，我们严格研究了HE3DB的效率和灵活性。我们证明，与最先进的技术相比，HE3DB可以同态地评估端到端的SQL查询，比最先进的解决方案快41X-299X，在241秒内完成16位10K行数据库的TPC-H查询。

论文链接：https://doi.org/10.1145/3576915.3616608

102、HELiKs: HE Linear Algebra Kernels for Secure Inference

我们介绍了HELiKs，这是一种开创性的框架，用于快速安全的矩阵乘法和3D卷积，专为隐私保护机器学习而设计。利用同态加密（HE）和加性秘密共享，HELiKs能够实现安全的矩阵和向量计算，同时确保所有各方的端到端数据隐私。所提出框架的关键创新包括一个有效的乘积累加（MAC）设计，该设计显著降低了HE误差增长，一个部分和累加策略，该策略将HE旋转次数减少了一个对数因子，以及一个新颖的矩阵编码，该编码促进了更快的在线HE乘法，并具有一次性预计算。此外，HELiKs大大减少了用于HE计算的密钥数量，从而在设置阶段降低了带宽使用率。在我们的评估中，HELiKs在运行时间和通信开销方面比现有的安全计算方法显示出相当大的性能改进。通过我们的工作量证明实现（可在GitHub上获得：https://github.com/shashankballa/HELiKs），我们展示了最先进的性能，与现有技术相比，矩阵乘法的加速倍数高达32倍，3D卷积的加速倍数高达27倍。与现有技术相比，HELiKs还降低了矩阵乘法的通信开销1.5倍，3D卷积的通信开销29倍，从而提高了数据传输的效率。

论文链接：https://doi.org/10.1145/3576915.3623136

103、HODOR: Shrinking Attack Surface on Node.js via System Call Limitation

Node.js应用程序在服务器端的应用越来越广泛，部分原因是可以在流行的Node.js引擎提供的运行时之上构建这些应用程序，以及Node Package Management（npm）注册表提供的第三方软件包数量庞大。Node.js使用系统调用为Node.js应用程序提供系统交互功能。然而，这种便利是有代价的，即JavaScript任意代码执行（ACE）漏洞的攻击面扩展到系统调用级别。 JavaScript代码级别（通过代码去耦或读写执行权限限制）的现有保护技术与新兴的关键系统调用级别漏洞的有针对性的防御之间存在明显的差距。为了填补这一差距，我们设计并实现了HODOR，一种基于在运行Node.js应用程序时执行精确系统调用限制的轻量级运行时保护系统。HODOR通过解决几个非平凡的技术挑战来实现这一目标。首先，HODOR需要为Node.js应用程序（用JavaScript编写）及其底层Node.js框架（用JavaScript和C/C++编写）构建高质量的调用图。具体来说，HODOR在JavaScript和C/C++级别上进行了多项重要优化，以改进构建更精确的调用图的最先进工具。然后，HODOR创建了主线程白名单和线程池白名单，分别包含基于调用图映射识别的必要系统调用。最后，利用白名单，HODOR使用Linux内核功能安全计算模式（seccomp）实现轻量级系统调用限制，以缩小攻击面。我们利用HODOR保护168个受任意代码/命令执行攻击危害的真实Node.js应用程序。HODOR可以将攻击面平均降低到19.42%，运行时开销可以忽略不计（即<3%）。

论文链接：https://doi.org/10.1145/3576915.3616609

104、Hacksaw: Hardware-Centric Kernel Debloating via Device Inventory and Dependency Analysis

内核去臃肿是一种通过减少其攻击面来缓解操作系统内核安全问题的实用机制。现有的内核去臃肿机制侧重于根据过去收集到的动态痕迹来专门化内核以运行目标应用程序——它们根据这些痕迹从内核中删除应用程序不使用的功能。然而，由于动态痕迹不能保证完全覆盖，因此不可避免地会错误删除所需的功能。本文提出了一种基于目标机器硬件设备清单的用于去臃肿内核的新颖机制Hacksaw。Hacksaw准确地去臃肿内核而不会错误删除，因为弄清楚哪些硬件组件连接到机器以及哪些设备驱动程序管理它们是全面和确定的。根据三种依赖性分析方法（调用图、驱动程序模型和编译单元分析），Hacksaw不仅可以删除不控制任何附加硬件组件的无效设备驱动程序，还可以删除与无效驱动程序相关的其他内核模块和函数。我们的评估表明，Hacksaw有效地删除了无效的内核模块和函数（即它们各自的平均减少率为45%和30%），同时确保了有效性和兼容性。

论文链接：https://doi.org/10.1145/3576915.3623208

105、Homomorphic Multiple Precision Multiplication for CKKS and Reduced Modulus Consumption

同态加密（HE）方案，如BGV、BFV和CKKS，在每次乘法时都会消耗一些密文模数。自举（BTS）恢复模数并允许同态计算继续进行，但耗时且需要大量模数。出于这些原因，减少模数消耗是BGV、BFV和CKKS的关键主题，对此进行了大量研究。我们提出了一种称为Mult2的新方法，以较低的模数消耗在CKKS方案中执行密文乘法。Mult2依赖于一个新的密文分解，将其分解为一对密文，以同态方式执行弱形式的欧几里德除法。它以分解格式将两个密文相乘，以同态双精度乘法，其结果近似解密为与普通CKKS乘法相同的值。Mult2可以通过消耗几乎一半的模数来执行同态乘法。我们将其扩展为Multt，适用于任何t≥2的情况，这依赖于将密文分解为t个分量。所有其他CKKS操作都可以在成对/元组格式上执行，从而产生双CKKS（元组CKKS）方案，实现同态双精度（元组CKKS）算法。因此，当密文模数和维数固定时，所提出的算法可以在不引导的情况下评估更深的电路，或者可以减少评估相同电路所需的引导次数。此外，它们可以用来在不增加参数的情况下提高精度。例如，Mult2可以在仅680比特的密文模数下实现8个连续乘法，而普通CKKS乘法算法则无法实现。

论文链接：https://doi.org/10.1145/3576915.3623086

106、Hopper: Interpretative Fuzzing for Libraries

尽管最先进的模糊测试工具能够高效生成输入，但现有的模糊驱动程序仍然无法充分覆盖库中的所有入口。大多数这些模糊驱动程序是由开发人员手工编写的，其质量取决于开发人员对代码的理解。现有的研究尝试通过从代码和执行跟踪中学习API使用情况来自动生成模糊驱动程序。然而，生成的模糊驱动程序仅限于代码学习到的一些特定调用序列。为了解决这些挑战，我们提出了HOPPER，它能够在不需要任何领域知识的情况下模糊测试库。它将库模糊测试的问题转化为解释器模糊测试的问题。与正在测试的库链接的解释器可以解释描述任意API使用情况的输入。为了为解释器生成语义正确的输入，HOPPER学习库中的内部和跨API约束，并通过语法感知性地改变程序。我们实现了HOPPER，并将其与手工编写的模糊测试工具和其他自动化解决方案进行了评估。我们的结果表明，HOPPER在代码覆盖率和漏洞发现方面远远超过其他模糊测试工具，发现了其他模糊测试工具无法发现的25个未知漏洞。此外，我们还证明了所提出的内部和跨API约束学习方法能够正确学习库所隐含的约束，从而显著提高了模糊测试的效率。实验结果表明，HOPPER能够直接探索广泛的API使用情况，用于库的模糊测试。

论文链接：https://doi.org/10.1145/3576915.3616610

107、How Hard is Takeover in DPoS Blockchains? Understanding the Security of Coin-based Voting Governance

委托权益证明（DPoS）区块链，如EOSIO、Steem和TRON，由一个通过基于硬币的投票系统选举出来的区块生产者委员会管理。我们最近目睹了Steem和TRON之间发生的第一次事实上的区块链接管。在这一事件发生的一个小时内，TRON创始人接管了整个Steem委员会，迫使原来的Steem社区离开他们维护多年的区块链。这是区块链和Web 3.0发展史上的一个历史事件。尽管它具有重大的破坏性影响，但人们对DPoS区块链在接管方面的脆弱性以及我们如何提高其抗接管能力知之甚少。本文证明，DPoS区块链的抗接管能力取决于其底层基于代币的投票治理系统的理论设计和实际使用。当选民积极合作抵制潜在的接管时，我们的理论分析表明，目前DPoS区块链的主动抵制远低于理论上限。然而在实践中，选民偏好可能存在显著差异。本文首次对EOS.IO、Steem和TRON的被动接管抵制进行了大规模实证研究。我们的研究确定了选民偏好的多样性，并描述了这种多样性对接管抵制的影响。通过理论和实证分析，我们的研究为基于代币的投票治理的安全性提供了新的见解，并提出了改进任何实施这种治理模式的区块链的接管抵制能力的潜在方法。

论文链接：https://doi.org/10.1145/3576915.3623171

108、Improved Distributed RSA Key Generation Using the Miller-Rabin Test

安全分布式生成RSA模数（例如，生成N=pq，其中任何一方都不知道p或q）是一项重要的密码任务，这既是基于RSA密码系统的门限实现所必需的，也是其他高级密码协议所必需的，这些协议假设所有各方都可以访问可信的RSA模数。在这篇论文中，我们提供了一种基于米勒-拉宾测试的安全分布式RSA密钥生成的新协议。与更常用的博内-富兰克林测试（需要多次迭代）相比，米勒-拉宾测试的优点是在对足够大的模数（例如4096位）进行一次迭代测试后，可以提供可忽略的误差。从技术角度来看，我们的主要贡献是一种新的可分性测试，它允许以有效的方式执行素性测试，同时保持p和q的机密性。我们的半诚实RSA生成协议以黑盒方式使用任何底层安全乘法协议，因此我们的协议可以根据所选乘法协议在诚实或不诚实的大多数设置中实例化。我们的半诚实协议可以使用现有的编译器以低成本升级以防止主动攻击者。最后，我们提供了一个实验评估，表明对于诚实的大多数情况，我们的协议比Boneh-Franklin快得多。

论文链接：https://doi.org/10.1145/3576915.3623163

109、Improving Security Tasks Using Compiler Provenance Information Recovered At the Binary-Level

现代编译器支持的复杂优化技术使得在许多层面上可以恢复编译器的来源。例如，可以确定在构建二进制文件时所使用的编译器系列和优化级别，以及应用于二进制文件内部函数的各个编译器传递。然而，编译器来源的许多下游应用仍未被探索。为了弥合这一差距，我们使用从超过27,000个使用LLVM 14构建的程序收集的数据来训练和评估一个多标签编译器来源模型，并将该模型应用于一些与安全相关的任务。我们的方法考虑了68个不同的编译器传递，并实现了平均F-1得分为84.4%。我们首先使用该模型来检查编译器引起的漏洞的严重程度，发现了10个热门项目中的53个信息泄漏漏洞。我们还表明，几个编译器优化传递引入了大量对功能代码复用有负面影响的工具，从而影响了安全性。除了漏洞检测，我们还评估了其他安全应用，包括使用恢复的来源信息来验证Windows二进制文件中的Rich header数据的正确性（例如，取证分析），以及用于二进制分解任务（例如，第三方库检测）。

论文链接：https://doi.org/10.1145/3576915.3623098

110、In Search of netUnicorn: A Data-Collection Platform to Develop Generalizable ML Models for Network Security Problems

基于机器学习的解决方案在网络安全问题上的显著成功，受到了先进机器学习模型在用于展示不同网络行为的不同网络环境时无法保持功效的阻碍。这个问题通常被称为机器学习模型的泛化问题。社区已经认识到训练数据集在这方面发挥的关键作用，并开发了各种技术来改进数据集管理，以克服这个问题。不幸的是，这些方法在网络安全领域通常是不合适的，甚至适得其反，它们往往导致不切实际或质量低下的数据集。为了解决这个问题，我们提出了一种新的闭环机器学习管道，它利用可解释的机器学习工具以迭代方式指导网络数据收集。为了确保数据的现实性和质量，我们要求新的数据集在这个迭代过程中应该内生地收集，从而倡导逐步消除与数据相关的问题，以提高模型的泛化能力。为了实现这一能力，我们开发了一个数据收集平台netUnicorn，该平台从经典的“沙漏”模型中获得灵感，并将其作为“细腰”实现，以简化来自不同网络环境的不同学习问题的数据收集。所提出的系统将数据收集意图与部署机制解耦，并将这些高级意图分解为更小的可重用、自包含的任务。我们展示了netUnicorn如何简化来自多个网络环境的不同学习问题的数据收集，以及所提出的迭代数据收集如何提高模型的泛化能力。

论文链接：https://doi.org/10.1145/3576915.3623075

111、Interactive Proofs For Differentially Private Counting

差分隐私（DP）通常被认为是一种具有广泛适用性的强大隐私增强技术，并被倡导为发布敏感数据汇总统计数据的事实标准。然而，在许多实施例中，DP引入了一个新的攻击面：受委托发布统计数据的恶意实体可以操纵结果，并利用DP的随机性作为方便的烟幕来掩盖其邪恶。由于揭示随机噪声会消除引入它的目的，因此不法分子可能有一个完美的不在场证明。为了弥补这个漏洞，我们引入了差分隐私交互式证明的概念，它要求发布实体输出一个零知识证明，使有效的验证者相信输出既是DP又是可靠的。这样的定义似乎难以实现，因为验证者必须验证DP随机性是忠实地生成的，而不需要了解随机性本身。我们通过仔细混合私有和公共随机性来解决这一悖论，以计算具有理论保证的可验证DP计数查询，并表明它在现实世界的部署中也是可行的。我们还通过展示信息理论DP和计算DP在我们对可验证性的定义下的分离，证明了计算假设是必要的。

论文链接：https://doi.org/10.1145/3576915.3616681

112、Interchain Timestamping for Mesh Security

比特币发明 14 年后，许多无需许可的区块链层出不穷。每条这样的链都提供了一个任何人都可以读写公共账本。在这个多链世界中，一个自然的问题出现了：现有的区块链，即消费者链，通过只读写 k 个其他现有的区块链，即提供者链，可以提取的最佳安全性是什么？我们设计了一个称为链间时间戳的协议，并证明它可以从提供者链中提取最大的经济安全性，正如可削减的安全弹性所量化的。我们观察到基于轻客户端的桥已经提供了链间时间戳，因此链间时间戳可以很容易地用于通过跨区块链通信（IBC）协议连接的 Cosmos 链。我们将链间时间戳与网格安全的原始解决方案——跨抵押进行比较，并与最近另一项安全共享协议Trustboost进行比较。

论文链接：https://doi.org/10.1145/3576915.3616612

113、IoTFlow: Inferring IoT Device Behavior at Scale through Static Mobile Companion App Analysis

智能设备，也就是构成物联网（IoT）的设备数量正在稳步增长。它们和其他软件和硬件一样存在漏洞。在攻击者滥用这些漏洞之前，自动化分析技术可以检测和解决这些弱点。然而，应用现有技术或开发足够通用的新方法却具有挑战性。与其他平台不同，物联网生态系统具有各种软件和硬件架构。

我们引入了IoTFlow，这是一种新的用于物联网设备的静态分析方法，利用它们的移动伴侣应用程序来解决多样性和可扩展性的挑战。IoTFlow将值集分析（VSA）与更通用的数据流分析相结合，自动重构和推导伴侣应用程序与物联网设备以及远程基于云的后端之间的通信方式，它们接收或发送的数据以及与谁共享数据。为了促进未来的工作和可重复性，我们的IoTFlow实现是开源的。

我们使用IoTFlow对9,889个经过手动验证的伴侣应用程序进行分析，以了解和描述物联网生态系统中安全和隐私的当前状况，这也展示了IoTFlow的实用性。我们比较了这些物联网应用程序与947个热门通用应用程序在本地网络通信、使用的协议以及与之通信的对象方面的差异。此外，我们还调查了使用其伴侣应用程序配对和使用的13个物联网设备的动态分析结果与IoTFlow的结果如何相比，包括手动和自动化交互。总体而言，利用IoTFlow，我们发现了各种物联网安全和隐私问题，例如废弃的域名、硬编码凭证、过期的证书以及共享的敏感个人信息。

论文链接：https://doi.org/10.1145/3576915.3623211

114、Is Modeling Access Control Worth It?

实施访问控制策略是一项容易出错的任务，可能会对软件应用程序的安全性产生严重后果。文献中提出了模型驱动的方法，并开发了相关工具，旨在降低该任务的复杂性，并帮助开发人员高效地生产安全软件。然而，缺乏经验数据支持模型驱动安全方法优于以代码为中心的方法，后者是软件开发的事实行业标准。在这项工作中，我们在安全工程研究生课程的背景下比较了多个开发小组实施相同功能和安全要求的结果。因此，我们获得了文献中基于工具的模型驱动安全方法与在著名的现代Web开发框架中直接实施相比，在安全性和效率方面的证据。例如，使用模型驱动开发的项目平均多通过50%的安全测试，而开发工作量却更少。此外，我们观察到模型比手动实现简洁两倍，这提高了系统的可维护性。

论文链接：https://doi.org/10.1145/3576915.3623196

115、Jack-in-the-box: An Empirical Study of JavaScript Bundling on the Web and its Security Implications

近年来，我们看到人们对研究面向用户的应用的软件供应链的兴趣日益浓厚，以发现有问题的第三方依赖关系。先前的工作表明，Web应用程序通常依赖于过时或易受攻击的第三方代码。此外，现实世界的供应链攻击表明，依赖关系也可以被用来传递恶意代码，例如用于进行加密操作。尽管如此，该领域的现有测量研究忽略了一个重要的软件工程实践：开发人员经常将第三方代码合并到一个称为bundle的单个文件中，然后从他们自己的服务器中交付，使其看起来像第一方代码。像Webpack或Rollup这样的打包器是流行的开源项目，拥有数万颗GitHub星，表明该技术被开发人员广泛使用。忽略打包可能会导致低估现代软件供应链的复杂性。在这项工作中，我们的目标是解决先前工作的这些方法上的缺陷。为此，我们提出了一种自动检测捆绑包并对其进行部分逆向工程的新方法。使用这种方法，我们对网络上的捆绑代码进行了首次大规模实证研究，并检查了其安全影响。我们提供了关于捆绑包高流行率的证据，这些捆绑包包含在所有网站的40%中，并且平均每个网站包含多个捆绑包。根据我们的方法，我们重新识别了来自捆绑代码中33个易受攻击的npm包的1051个漏洞。在这些漏洞中，我们发现了17个关键漏洞和59个严重漏洞，这些漏洞可能使恶意行为者能够执行任意代码执行等攻击。通过分析捆绑包中包含的低评级库，我们发现了10个安全持有包，这表明影响捆绑包的供应链攻击不仅是可能的，而且已经发生了。

论文链接：https://doi.org/10.1145/3576915.3623140

116、KRover: A Symbolic Execution Engine for Dynamic Kernel Analysis

我们提出了KRover，一种新型的内核符号执行引擎，适用于动态内核分析，如漏洞分析和漏洞利用生成。与现有的符号执行引擎不同，KRover直接在活动的内核线程的虚拟内存上运行，并将符号执行编织到目标的本地执行中。KRover非常紧凑，因为它既不将目标二进制文件提升为中间表示，也不使用QEMU或动态二进制翻译。与S2E基准测试相比，我们的性能实验表明，KRover的速度提高了50倍，但内存成本只有S2E的十分之一到四分之一。正如我们的四个案例研究所示，KRover没有噪声，具有最佳的二进制亲密性，并且不需要事先的内核插装。此外，用户可以开发自己的内核分析器，该分析器不仅使用KRover作为符号执行库，而且还保留了其读取/写入/控制目标运行时的独立功能。也就是说，KRover之上的分析器集成了符号推理和传统的动态分析，并获得了彼此强化的好处。

论文链接：https://doi.org/10.1145/3576915.3623198

117、Lanturn: Measuring Economic Security of Smart Contracts Through Adaptive Learning

我们介绍Lanturn：一种通用的基于自适应学习的框架，用于衡量组合去中心化金融（DeFi）智能合约的加密经济安全性。Lanturn发现了由具体交易组成的策略，这些策略用于从与特定交易环境交互的智能合约中提取经济价值。我们将策略发现表述为黑盒优化问题，并利用一种新颖的基于自适应学习的算法来解决它。Lanturn具有三个关键特性。首先，由于我们对加密经济安全的黑盒公式化，它不需要特定于合约的启发式或推理。其次，它利用了一个模拟框架，该框架在区块链状态和智能合约机器代码上自然运行，因此Lanturn基于学习的优化引擎返回的交易可以在链上执行而无需修改。最后，Lanturn具有可扩展性，因为它可以探索包含大量交易的策略，这些交易可以重新排序或插入新交易。我们根据最大和最活跃的DeFi应用程序Sushiswap、UniswapV2、UniswapV3和AaveV2的历史数据对Lanturn进行评估。我们的结果表明，Lanturn不仅重新发现了现有的、众所周知的从智能合约中提取价值的策略，而且还发现了以前未记录的新策略。Lanturn还持续发现比实际值更高的价值，超过了使用机器人和其他策略代理提取的价值计算的自然基线。

论文链接：https://doi.org/10.1145/3576915.3623204

118、Large Language Models for Code: Security Hardening and Adversarial Testing

大型语言模型（大型LM）越来越多地在大规模代码库上进行训练，并用于生成代码。然而，LM缺乏安全意识，并且经常产生不安全的代码。这项工作沿着两个重要轴研究了LM的安全性：（i）安全强化，旨在增强LM在生成安全代码方面的可靠性，以及（ii）对抗性测试，旨在从对抗的角度评估LM的安全性。我们通过制定一个名为受控代码生成的新安全任务来解决这两个问题。该任务是参数化的，并输入一个二进制属性来指导LM生成安全或不安全的代码，同时保留LM生成功能正确代码的能力。我们提出了一种新的基于学习的方法SVEN来解决这个问题。SVEN利用特定属性的连续向量来指导程序生成给定的属性，而无需修改LM的权重。我们的训练过程通过在不同的代码区域实施专门的损失项，使用我们精心策划的高质量数据集，优化了这些连续向量。我们广泛的评估表明，SVEN在实现强大的安全控制方面非常有效。例如，一个具有27亿参数的最新一代CodeGen LM在59.1%的时间里生成安全的代码。当我们使用SVEN对这个LM进行安全强化（或对抗性测试）时，这一比例显著提高到92.3%（或降低到36.8%）。重要的是，SVEN在功能正确性方面与原始LM非常接近。

论文链接：https://doi.org/10.1145/3576915.3623175

119、Lattice-Based Blind Signatures: Short, Efficient, and Round-Optimal

我们提出了一种基于随机预言启发式和标准格问题（环/模-SIS/LWE和NTRU）难度的2轮盲签名协议，签名大小为20 KB。该协议是轮最优的，其转录大小可以小至60 KB。这种盲签名比基于del Pino和Katsumata标准假设的最紧凑的基于格的方案（Crypto 2022）短约4倍，比Agrawal等人（CCS 2022）基于他们新提出的one-more-ISIS假设的方案短约2倍。我们还提出了一种“键控验证”盲签名方案，其中验证者和签名者需要共享一个密钥。该方案具有仅48字节的较小签名大小，但需要进一步的工作来探索其签名生成协议的效率。

论文链接：https://doi.org/10.1145/3576915.3616613

120、Leakage-Abuse Attacks Against Forward and Backward Private Searchable Symmetric Encryption

动态可搜索对称加密（DSSE）使服务器能够有效地搜索和更新加密文件。为了最大限度地减少更新过程中的泄漏，新提出的DSSE方案需要一种名为前向和后向隐私的安全概念。这些方案通常以打破搜索和更新查询与给定关键字之间的可链接性的方式构建。然而，前向和后向私有DSSE是否能够抵御实际的泄漏滥用攻击（LAA）尚不清楚，攻击者试图从查询过程中被动收集的泄漏中恢复查询关键字。在这篇论文中，我们的目标是通过两个非平凡的努力，第一个坚定地回答这个问题。首先，我们回顾了过去几年中前向和后向私有DSSE方案的范围，并揭示了大多数方案中一些固有的结构限制。这些限制使得攻击者可以利用查询相等性，并在候选关键字上建立不同（刷新）查询令牌之间的有保证的链接。其次，我们通过将每个令牌与特定操作相关联，来细化更新和查询的体积泄漏情况。通过进一步利用更新量和查询响应量，我们证明所有前向和后向私有DSSE方案都会泄漏与没有这种安全保证的方案相同的体积信息（例如，插入量、删除量）。为了证明我们的发现，我们实现了两个通用的LAA，即频率匹配攻击和体积推理攻击，并在动态背景下的各种实验设置中对其进行评估。最后，我们呼吁新的高效方案来保护搜索和更新查询中的查询相等性和体积信息。

论文链接：https://doi.org/10.1145/3576915.3623085

121、LeakyOhm: Secret Bits Extraction using Impedance Analysis

物理侧信道攻击的威胁及其对策已被广泛研究。大多数物理侧信道攻击依赖于计算或存储对芯片电流消耗或电压降的不可避免的影响。这种数据依赖的影响可以通过功率或电磁分析来利用。在这项工作中，我们介绍了一种新颖的非侵入式物理侧信道攻击，它利用芯片阻抗的数据依赖变化。我们的攻击依赖于寄存器中临时存储的内容会改变电路的物理特性，从而导致芯片阻抗的变化。为了感知这种阻抗变化，我们部署了一种称为散射参数分析的众所周知的RF/微波方法，在该方法中，我们将高频正弦波信号注入系统的配电网络（PDN），并测量信号的回波。我们证明，根据寄存器的内容位和物理位置，反射信号在各个频率点上被不同地调制，从而能够同时独立地探测各个寄存器。这种侧信道泄漏挑战了掩蔽中使用的t-probing安全模型假设，这是一种突出的侧信道对策。为了验证我们的说法，我们对未受保护的高阶掩蔽AES的硬件实现进行了非轮廓和轮廓阻抗分析攻击。我们证明，在轮廓攻击的情况下，只需要一个跟踪来恢复密钥。最后，我们讨论了特定类型的隐藏对策如何有效地对抗阻抗泄漏。

论文链接：https://doi.org/10.1145/3576915.3623092

122、Learning from Limited Heterogeneous Training Data: Meta-Learning for Unsupervised Zero-Day Web Attack Detection across Web Domains

最近，基于无监督机器学习的系统已经开发出来，用于检测零日网络攻击，这可以有效地增强现有的网络应用防火墙（WAF）。然而，现有技术只考虑通过为特定领域训练特定的检测模型来检测特定领域的攻击。这些系统需要大量的训练数据，这导致模型训练和部署需要很长的时间。在这篇论文中，我们提出了一种基于元学习的框架RETSINA，该框架可以在有限的训练数据的情况下，跨组织中的不同领域进行零日网络攻击检测。具体来说，它利用元学习在这些领域之间共享知识，例如异构领域中HTTP请求之间的关系，以有效地训练检测模型。此外，我们开发了一个自适应预处理模块，以促进跨不同领域的Web请求的语义分析，并设计了一种多领域表示方法，以捕捉不同领域之间的语义相关性，用于跨领域模型训练。我们使用四个不同领域的真实数据集进行了实验，总计2.93亿个Web请求。实验结果表明，RETSINA优于现有的无监督Web攻击检测方法，这些方法训练数据有限，例如，RETSINA只需要5分钟的训练数据，就能达到与现有方法相当的检测性能，这些现有方法使用1天的训练数据为不同领域训练单独的模型。我们还进行了一家互联网公司的真实部署。一个月内，RETSINA在两个领域分别平均捕获了126和218个零日攻击请求。

论文链接：https://doi.org/10.1145/3576915.3623123

123、LedgerLocks: A Security Framework for Blockchain Protocols Based on Adaptor Signatures

当前加密货币的可扩展性和互操作性挑战促使人们设计加密协议，以在广泛使用的加密货币（如比特币或以太坊）之上和之间实现高效的应用。此类协议的示例包括（虚拟）支付渠道、原子交换、基于预言机的合同、确定性钱包和硬币混合服务。其中许多协议都是建立在广泛使用的加密货币所支持的最小核心功能之上。最突出的是，适配器签名（AS）已成为构建区块链协议的强大工具，这些协议（大多）与底层加密货币的特定逻辑无关。即使基于AS的协议建立在相同的加密原则之上，也没有模块化和忠实的方式来推理它们的安全性。相反，所有分析此类协议的作品都集中在重新证明适配器签名如何用于加密链接事务，同时考虑高度简化的区块链模型，这些模型不捕获基于区块链的共识中事务执行的安全相关方面。为了帮助这一点，我们提出了LedgerLocks，这是一个在现实区块链中安全设计基于AS的区块链应用程序的框架。LedgerLocks定义了AS锁定的交易的概念，这些交易的发布绑定到加密秘密的知识。我们认为AS锁定的交易是基于AS的区块链协议的常见构建块，我们定义GLedgerLocks为通用可组合性框架中一个现实的分类账模型，内置支持AS锁定的交易。由于LedgerLocks抽象了AS锁定的交易的加密实现，它允许协议设计人员专注于区块链特定的安全考虑。

论文链接：https://doi.org/10.1145/3576915.3623149

124、Let’s Go Eevee! A Friendly and Suitable Family of AEAD Modes for IoT-to-Cloud Secure Computation

物联网设备收集隐私敏感数据，例如在智能电网或医疗设备中，并将这些数据发送到云服务器进行进一步处理。为了确保在不可信的云环境中传感器数据的机密性和真实性，我们考虑在嵌入式物联网设备和执行安全多方计算（MPC）的多个云服务器之间进行转码。具体来说，物联网设备使用轻量级对称密码加密其数据，并将密文发送到云服务器。为了获得明文消息的秘密共享以进行进一步处理，云服务器参与MPC协议以分布式方式解密密文。这样，明文永远不会暴露给单个服务器。作为此场景中的重要组成部分，我们提出了一种新的、可证明安全的轻量级模式家族，用于与相关数据（AEAD）进行身份验证加密，称为Eevee。Eevee家族具有完全并行的解密功能，使其适用于MPC协议，该协议的轮复杂度取决于其计算功能的复杂度。此外，我们的模式使用轻量级fork cipher原语，该原语提供固定长度的输出扩展和紧凑但可并行化的内部结构。所有Eevee成员都比现有的最先进（SotA）MPC友好模式和其他标准解决方案有了实质性的改进。我们在微控制器和MPC上对Eevee家族进行了基准测试。我们提出的Jolteon模式（当用ForkSkinny实例化时）在物联网加密时间上提供了1.85倍到3.64倍的加速，在MPC解密时间和数据上提供了3倍到4.5倍的加速，适用于8字节的非常短查询，与用SKINNY实例化的SotA MPC友好模式相比，在MPC解密时间和数据上分别提供了1.55倍到3.04倍和1.23倍到2.43倍的加速，适用于高达500字节的查询。我们还提供了两个高级模式，Umbreon和Espeon，它们显示了良好的性能-安全性权衡，具有更强的安全保证，如随机数滥用安全。此外，与原始安全设置下的SotA模式相比，所有Eevee成员都具有完全n位安全性（其中n是基础原语的块大小），使用单个原语，并且需要更小的状态和HW区域。

论文链接：https://doi.org/10.1145/3576915.3623091

125、Level Up: Private Non-Interactive Decision Tree Evaluation using Levelled Homomorphic Encryption

随着机器学习即服务越来越受欢迎，人们对隐私和知识产权的担忧也随之而来。用户在获得服务时往往不愿透露自己的私人信息，而服务提供商则致力于保护其专有模型。决策树是一种广泛使用的机器学习模型，因其简单、可解释性和易于训练而受到青睐。在这种情况下，私有决策树评估（PDTE）使拥有私有决策树的服务器能够根据客户端的私有属性提供预测。该协议使得服务器对客户端的私有属性一无所知。同样，除了预测和一些超参数外，客户端对服务器的模型一无所知。在这篇论文中，我们提出了两个新的非交互式PDTE协议，XXCMP-PDTE和RCC-PDTE，基于两个新的非交互式比较协议，XXCMP和RCC。我们对这些比较运算符的评估表明，我们提出的构造可以有效地评估高精度数字。具体而言，RCC可以在10毫秒内比较32位数字。我们在UCI数据集上训练的决策树上评估我们提出的PDTE协议，并将我们的结果与该领域的现有工作进行比较。此外，我们评估了合成决策树，以展示可扩展性，揭示了RCC-PDTE可以在2秒内评估具有1000个节点和16位精度的决策树。相比之下，目前最先进的技术需要超过10秒的时间来评估具有11位精度的树。

论文链接：https://doi.org/10.1145/3576915.3623095

126、Lifting Network Protocol Implementation to Precise Format Specification with Security Applications

虽然推断协议格式对许多安全应用至关重要，但现有技术往往缺乏覆盖范围，因为几乎所有技术都采用动态分析的方式，并由有限数量的网络数据包驱动。如果输入数据包中不存在某个特征，则该特征在最终格式中也会丢失。为了解决这个问题，我们开发了一种新的静态程序分析，从常见的自上而下协议解析器的实现中推断协议消息格式。然而，为了实现覆盖范围、精确度和效率的三者兼得，我们必须解决两个挑战，即路径爆炸和无序路径约束。为此，我们的方法使用抽象解释来生成一种称为抽象格式图的新数据结构。该图结构将精确但代价高昂的操作限制在小区域，从而同时确保精确度和效率。我们推断的格式覆盖率高，精确地指定了数据包字段之间的字段边界和语义约束。我们的评估表明，我们可以在一分钟内推断出协议的格式，准确率和召回率均超过95%，远优于四个基准。我们推断的格式可以大大增强现有的协议模糊器，将覆盖率提高20%至260%，发现53个零日漏洞，并分配47个CVE。我们还提供了在网络流量审计和网络入侵检测中采用我们推断格式的案例研究。

论文链接：https://doi.org/10.1145/3576915.3616614

127、Linear Communication in Malicious Majority MPC

SPSZ多方计算协议允许n个参与方在有限域上安全地计算算术电路，同时容忍多达n-1个主动破坏。基于SPSZ的工作已经对协议的性能做出了相当大的改进，通常侧重于具体的效率。然而，这些协议中的每一个的通信复杂度都是Ω（n^{2|C|）。在这篇论文中，我们提出了一种实现Ω（n|C|）通信的协议。我们的构造与SPSZ系列协议中的构造非常相似，但有一个用于计算验证和的模块化子程序。在SPSZ协议中，n个参与方希望对n个公共值求和的情况很少。与要求各方向所有其他各方广播他们的输入相比，显然使用一些指定的“经销商”来计算和广播总和更便宜。在之前的工作中，假设验证这些总和正确性的成本为O(n}2)，消除了使用经销商的好处。我们展示了如何在计算多个总和中分摊这一成本，从而在电路大小|C|＞n时产生线性通信复杂度。

论文链接：https://doi.org/10.1145/3576915.3623162

128、Lost along the Way: Understanding and Mitigating Path-Misresolution Threats to Container Isolation

研究发现，在容器工具越来越多地使用主机容器交互的情况下，当今容器技术实施的文件系统隔离效果较差。这种弱化的隔离导致了一种路径错误解析（Pamir）漏洞，这种漏洞被认为具有高风险，多年来一直被持续报告。在这篇论文中，我们首次对Pamir风险和相关漏洞的现有修复进行了系统研究。我们的研究表明，尽管在修补易受攻击的容器工具和应对风险方面做出了重大努力，但Pamir漏洞仍然被发现，包括我们从修补软件中重新发现的一个新漏洞（CVE-2023-0778）。我们研究的一个关键见解是，由于严重依赖第三方组件，Pamir风险在容器工具层面本身就难以预防。虽然应对所有组件进行安全检查以调解主机容器交互，但第三方组件开发人员倾向于认为容器工具应在调用其组件之前执行安全检查，因此不愿意使用容器特定保护来修补其代码。此外，由于当今容器工具依赖的大量组件，重新实现所有这些组件是不切实际的。我们的研究表明，基于内核的文件系统隔离是确保主机容器交互过程中始终隔离的唯一方法。在我们的研究中，我们设计和实现了第一种这样的方法，通过在文件系统上对主机容器交互实施访问控制，将文件系统隔离扩展到文件名对象。我们的设计解决了当今容器单向隔离的基本局限性，使用精心设计的策略来确保准确和全面的交互控制，并将保护植入正确的内核位置，以最大限度地减少性能影响。我们使用模型检查来验证我们的方法，这证明了它在消除Pamir风险方面的有效性。我们的评估进一步表明，我们的方法产生的开销可以忽略不计，远远优于所有现有的Pamir补丁，并且与所有主流容器工具保持兼容。我们已经发布了我们的代码，并申请将我们的技术整合到Linux内核中。

论文链接：https://doi.org/10.1145/3576915.3623154

129、MDTD: A Multi-Domain Trojan Detector for Deep Neural Networks

使用深度神经网络（DNN）的机器学习模型容易受到后门攻击。进行后门攻击的对手将一个称为触发器的预定义扰动嵌入到输入样本的一个小子集中，并对DNN进行训练，使得输入中的触发器导致对手期望的输出类。然而，这种对抗性再训练需要确保没有触发器的输入的输出不受影响，并在干净的样本上提供高分类精度。现有的针对后门攻击的防御措施计算成本很高，而且他们的成功主要是在基于图像的输入上得到证明。部署预训练的DNN以降低重新训练大型模型的成本的日益普及，使得旨在检测“可疑”输入样本的防御机制更受欢迎。在这篇论文中，我们提出了MDTD，一种用于DNN的多域木马检测器，它在测试时检测包含木马触发器的输入。MDTD不需要攻击者的触发嵌入策略知识，可以应用于具有图像、音频或基于图的输入的预训练DNN模型。MDTD利用了一种见解，即包含木马触发器的输入样本比干净样本离决策边界相对较远。MDTD使用对抗学习方法估计到决策边界的距离，并使用该距离来推断测试时输入样本是否被木马植入。我们针对五个广泛使用的基于图像的数据集（CIFAR100、CIFAR10、GTSRB、SVHN和Flowers102）、四个基于图的数据集（AIDS、WinMal、Toxicant和COLLAB）和SpeechCommand音频数据集，对MDTD进行了评估。我们的结果表明，MDTD有效地识别了包含不同类型木马触发器的样本。我们进一步评估了MDTD对自适应攻击的防御能力，在这种攻击中，对手训练了一个鲁棒的DNN，以增加（减少）良性（木马）输入与决策边界的距离。虽然对手的这种训练降低了MDTD的检测率，但这是以降低分类精度或对手成功率为代价的，因此导致最终模型不适合使用。

论文链接：https://doi.org/10.1145/3576915.3623082

130、MESAS: Poisoning Defense for Federated Learning Resilient against Adaptive Attackers

联邦学习（FL）通过保护数据隐私、降低通信成本和利用不同数据源提高模型性能来增强分散的机器学习。然而，FL面临着诸如无针对性中毒攻击和针对性后门攻击等漏洞，对模型完整性和安全性构成挑战。由于后门的隐秘性，防止后门攻击尤其具有挑战性。现有的缓解技术已经显示出效果，但往往忽略了现实的对手和不同的数据分布。这项工作引入了能够同时适应多个目标的强适应性对手的概念。广泛的实证测试揭示了现有防御在这种对手模型中的脆弱性。我们提出了度量级级联（MESAS），一种针对更现实场景和对手模型的新防御方法。MESAS同时采用多种检测度量来对抗中毒模型更新，为适应性攻击者提出了一个复杂的多目标问题。在九个后门程序和三个数据集的综合评估中，MESAS在区分后门程序和客户端内及客户端间与数据分布相关的扭曲方面优于现有防御措施。MESAS在现实数据设置中为强大的自适应对手提供了强有力的防御，平均开销仅为24.37秒。

论文链接：https://doi.org/10.1145/3576915.3623212

131、Marketing to Children Through Online Targeted Advertising: Targeting Mechanisms and Legal Aspects

世界卫生组织和儿童基金会等许多研究人员和组织提高了对针对儿童的广告的危险性的认识。虽然大多数现有法律只规范可能接触到儿童的电视广告，但立法者一直在努力将监管范围扩大到网络广告，例如禁止（如DSA）或限制（如COPPA）基于儿童画像的广告。乍一看，谷歌等广告平台似乎通过不允许广告商将广告定位到18岁以下的用户来保护儿童。然而，本文表明，可以利用其他定位功能来吸引儿童。例如，在YouTube上，广告商可以通过基于位置的定位（一种情境定位的形式）将广告定位到观看特定视频的用户。因此，广告商可以通过在以儿童为重点的视频中放置广告来定位儿童。通过一系列广告实验，我们证明基于位置的定位在以儿童为重点的视频上是有可能的，因此可以向儿童进行营销。此外，我们的广告实验表明，广告商可以将基于分析（例如兴趣、位置、行为）的定位与基于位置的广告相结合，在以儿童为重点的视频上进行营销。我们讨论了这两个做法在DSA和COPPA方面的合法性。最后，我们调查了现实世界中广告商在多大程度上使用基于位置的定位在YouTube上向儿童投放广告。我们提出了一种测量方法，包括构建一个Chrome扩展程序，能够捕获广告，并使用六个浏览器配置文件来观看以儿童为重点的视频。我们的结果表明，在我们测试的以儿童为重点的视频中，有7%的广告使用基于位置的定位。因此，在YouTube上向儿童投放广告不仅在理论上可行，而且在实践中也发生了。我们认为，目前的法律和技术解决方案不足以保护儿童免受在线广告的伤害。一个简单的解决方案是禁止在以儿童为中心的内容上放置基于位置的广告。

论文链接：https://doi.org/10.1145/3576915.3623172

132、Measuring Website Password Creation Policies At Scale

研究人员广泛探讨了密码创建策略如何影响用户选择密码的安全性和可用性，并制定了基于证据的政策指南。然而，为了在实践中改进网络身份验证，网站必须实际实施这些建议。到目前为止，对网站实际部署的密码创建策略的研究有限。现有工作大多已过时，所有研究都依赖于手动评估，评估一小部分网站（最多150个，偏向于顶级网站）。因此，我们缺乏对当今使用的密码策略的广泛理解。在这篇论文中，我们开发了一种自动技术来推断网站的密码创建策略，并将其大规模应用于测量20K多个网站的策略，比以前的工作多两个数量级（约135倍）。我们的研究结果确定了部署的常见策略、弱策略的潜在原因以及改进实践中身份验证的方向。最终，我们的研究提供了对网络密码创建政策的第一手大规模了解。

论文链接：https://doi.org/10.1145/3576915.3623156

133、MicPro: Microphone-based Voice Privacy Protection

数百小时的音频被记录并通过互联网传输，用于语音交互，如虚拟通话或语音识别。随着这些录音的上传，嵌入式生物特征信息（即声纹）被不必要地暴露。本文提出了第一个隐私增强的麦克风模块（即MicPro），该模块可以产生匿名的录音，其中生物特征信息被抑制，同时保留了语音质量，用于人类感知或语音识别的语言内容。受麦克风模块硬件功能的限制，以前在软件层面修改录音的工作是不适用的。为了在这种情况下实现匿名，MicPro对共振峰进行了变换，由于发声器官的独特生理结构，每个人的共振峰是不同的，共振峰变换是通过修改流行编解码器（即CELP）在低延迟通信中提供的线性频谱频率（LSFs）来完成的。为了在匿名性和可用性之间取得平衡，我们使用多目标遗传算法（NSGA-II）来优化变换系数。我们在现成的麦克风模块上实现了MicPro，并在几个ASV系统、ASR系统、语料库和现实环境中评估了MicPro的性能。我们的实验表明，对于最先进的ASV系统，MicPro优于现有的基于信号处理（SP）技术的软件策略，与现有工作相比，EER提高了5~10%，MMR提高了20%，同时保持了相当的可用性水平。

论文链接：https://doi.org/10.1145/3576915.3616616

134、Modular Sumcheck Proofs with Applications to Machine Learning and Image Processing

密码证明系统在将数据处理任务外包的应用中提供完整性、公平性和隐私性。然而，通用证明系统无法很好地扩展到大型输入。同时，具体应用（如机器学习或图像处理）的专用解决方案更有效，但缺乏模块化，因此难以扩展或与数据处理管道的其他工具组合。在这篇论文中，我们将定制解决方案的性能与通用证明系统的通用性相结合。我们通过引入一个用于可验证计算顺序操作的模块化框架来实现这一点。我们框架的主要工具是一种新的信息理论原语，称为指纹数据上的可验证评估方案（VE），它捕获了各种基于sumcheck的交互式证明的属性，包括完善的GKR协议。因此，我们展示了如何为特定功能组合VE，以获得数据处理管道的可验证性。我们提出了一种用于卷积运算的新型VE，可以处理多个输入输出通道和批处理，并将其用于我们的框架中，以构建（卷积）神经网络和图像处理的证明。我们实现了我们的证明系统的原型实现，并表明与最先进的技术相比，我们的证明时间加快了5倍，证明时间缩短了10倍，并且具有渐近改进。

论文链接：https://doi.org/10.1145/3576915.3623160

135、Narcissus: A Practical Clean-Label Backdoor Attack with Limited Information

后门攻击将操纵的数据引入机器学习模型的训练集，导致模型在测试期间对输入进行误分类，以触发攻击者实现预期结果。为了绕过人工检查的后门攻击，注入的数据必须被正确标记。具有这种属性的攻击通常被称为“干净标签攻击”。当前干净标签后门方法的成功很大程度上取决于对完整训练集的访问。然而，访问完整的数据集通常是具有挑战性或不可行的，因为它经常来自不同的独立来源，如来自不同用户的图像。后门攻击是否仍然存在真正的威胁仍然是一个问题。在这篇论文中，我们通过设计一种算法来回答这个问题，该算法仅使用目标类和公共分布外数据的样本来启动干净标签后门攻击。通过插入精心设计的恶意示例，这些示例的总数不到目标类大小的0.5%和整个训练集大小的0.05%，我们可以操纵模型，在任意输入包含后门触发器时将其错误分类到目标类中。重要的是，经过训练的被污染模型在没有触发器的情况下对常规测试样本保持高精度，就像模型是在未污染的数据上训练的一样。我们的技术在各种数据集、模型甚至在触发器被注入物理世界时都始终有效。我们探索了防御空间，发现Narcissus可以在其原始形式或经过简单调整后避开最新最先进的防御。我们分析了我们的攻击的有效性——合成的Narcissus触发器包含持久特征，与原始目标类特征一样持久。试图删除触发器不可避免地会首先损害模型的准确性。

论文链接：https://doi.org/10.1145/3576915.3616617

136、NestFuzz: Enhancing Fuzzing with Comprehensive Understanding of Input Processing Logic

模糊测试是安全分析中最流行和最实用的技术之一。在这项工作中，我们的目标是使用一种称为NestFuzz的新型输入感知模糊测试方法来解决高质量输入生成的关键问题。NestFuzz可以普遍地自动模拟输入格式规范并生成有效输入。NestFuzz背后的关键观察是目标程序的代码语义总是高度暗示所需的输入格式。因此，NestFuzz应用细粒度程序分析来理解输入处理逻辑，特别是不同输入字段和子结构的依赖关系。为此，我们设计了一种新的数据结构，即输入处理树，以及一种新的级联依赖感知变异策略来驱动模糊测试。我们对20个经过密集测试的流行程序进行评估，表明NestFuzz是有效和实用的。与最先进的模糊测试器（AFL、AFLFast、AFL++、MOpt、AFLSmart、WEIZZ、ProFuzzer和TIFF）相比，NestFuzz在代码覆盖率和安全漏洞检测方面都表现出了卓越的性能。NestFuzz发现了46个独特且严重的漏洞。在撰写本文时，其中39个漏洞已被确认，37个漏洞被分配了CVE-ids。

论文链接：https://doi.org/10.1145/3576915.3623103

137、On the Security of KZG Commitment for VSS

Kate、Zaverucha和Goldberg（Asiscrypt 2010）提出的恒定大小的多项式承诺方案，也称为KZG承诺，是设计带宽高效的可验证秘密共享（VSS）协议的重要组成部分。然而，我们指出，KZG承诺缺少对VSS协议至关重要的两个重要属性。首先，在没有理想化群假设的情况下，KZG承诺没有被证明在标准对手模型中是度约束的。换句话说，承诺的多项式不能保证具有声称的度，这应该是VSS的重构阈值。没有这个属性，VSS中的股东最终可能会根据使用的份额重建不同的秘密。其次，KZG承诺不支持一次设置不同度数的多项式。如果底层 VSS 协议的重建阈值发生变化，协议必须重新设置，这涉及一个昂贵的多方计算，称为 tau 次方设置。在这项工作中，我们增强了 KZG 承诺，以解决这两个限制。我们的方案在强 Diffie-Hellman (SDH) 假设下的标准模型中是度约束的。它支持在 tau 次方公共参考字符串下任何度数 0 < d ≤ m，m+1 组元素由一次性设置生成。

论文链接：https://doi.org/10.1145/3576915.3623127

138、On the Security of Rate-limited Privacy Pass

隐私通行证协议允许用户兑换匿名发行的加密令牌，而不是解决恼人的验证码。发行机构验证用户的可信度，用户稍后可以在使用匿名或虚拟专用网络浏览网页时使用通行证。Hendrickson等人提出了一个IETF草案（privacypass-rate-limit-tokens-00），用于隐私通行证协议的速率限制版本，也称为速率限制的隐私通行证（RlP）。引入一个称为中介的新角色使得两个版本存在本质上的不同。中介应用访问策略来限制用户对服务的访问，同时应该对用户试图访问的网站/来源一无所知。在本文中，我们正式定义了速率受限的隐私通行证协议，并提出了一种基于博弈的安全模型，以捕捉Hendrickson等人引入的非正式安全概念。我们展示了一个由简单构建块组成的结构，该结构满足我们的安全定义，甚至允许后量子安全实例化。有趣的是，IETF草案中提出的实例化是我们构造的一个特例。因此，我们可以重用通用构造的安全参数，并证明实践中使用的版本是安全的。

论文链接：https://doi.org/10.1145/3576915.3616619

139、Optical Cryptanalysis: Recovering Cryptographic Keys from Power LED Light Fluctuations

虽然几十年来，功率LED已经集成到各种执行加密操作的设备中，但它们所构成的密码分析风险尚未得到研究。在这篇论文中，我们提出了光学密码分析，这是一种新的密码分析侧信道攻击形式，其中通过使用光电二极管测量设备功率LED发出的光，并分析加密操作期间光强度的微小波动来提取密钥。我们分析了各种消费设备功率LED的光泄漏以及影响光学信噪比的因素。然后，我们演示了对一系列消费设备（智能手机、智能卡和Raspberry Pi以及它们的USB外围设备）的端到端光学密码分析攻击，并从25米的最远距离恢复先前和最新版本的流行密码库（GnuPG、Libgcrypt、PQCrypto-SIDH）的密钥（RSA、ECDSA、SIKE）。

论文链接：https://doi.org/10.1145/3576915.3616620

140、Ou: Automating the Parallelization of Zero-Knowledge Protocols

零知识证明（ZKP）是一种强大的密码学原语，在许多去中心化或注重隐私的应用中使用。然而，零知识证明的高开销可能会限制其实际应用。我们设计了一种编程语言Ou，旨在减轻程序员编写高效零知识证明的负担，以及一个编译器框架Lian，可以自动分析和分发语句到计算集群。 Ou使用编程语言语义、形式方法和组合优化来自动将Ou程序分割成高效大小的块，用于并行零知识证明和/或验证。我们做出了以下贡献：（1）一种前端语言，用户可以在熟悉的语法中以命令式程序编写证明语句；（2）一种编译器架构和实现，可以自动分析程序并将其编译成优化的IR，可以提升到各种零知识证明构造；（3）一种编译器架构和实现，可以自动分析程序并将其编译成优化的IR，可以提升到各种零知识证明构造。以及（3）基于伪布尔优化和整数线性规划的切割算法，该算法对指令进行重新排序，然后将程序划分为有效大小的块，以进行并行评估和有效的状态协调。

论文链接：https://doi.org/10.1145/3576915.3616621

141、PANIC: PAN-assisted Intra-process Memory Isolation on ARM

进程内内存隔离是一种在进程内强制实施最低权限的众所周知的技术。在这篇论文中，我们提出了一种通用且高效的进程内内存隔离技术，名为PANIC，它利用了AArch64上的特权访问禁止（PAN）和加载/存储非特权（LSU）指令。PANIC在内核模式下执行进程代码，并将代码划分为可信和非可信组件。非可信代码被限制访问位于用户页面的隔离内存区域，而可信代码则可以使用LSU指令访问隔离内存区域。为了减轻在内核模式下运行用户代码所带来的威胁，PANIC提供了两种新的安全机制：基于垫片的内存隔离和敏感指令模拟。PANIC提供了一种通用且高效的隔离原语，可以应用于三种不同的隔离场景：保护CFI中的敏感数据、创建隔离的执行环境以及强化JIT代码缓存。我们已经实现了PANIC的原型，实验评估表明PANIC的性能开销非常低，并且比现有方法更好。

论文链接：https://doi.org/10.1145/3576915.3623206

142、PELTA - Shielding Multiparty-FHE against Malicious Adversaries

多方完全同态加密（MFHE）方案使多方能够有效地计算其敏感数据上的函数，同时保持机密性。然而，现有的MFHE方案仅保证数据机密性和计算结果的正确性，仅针对诚实但好奇的对手。在这项工作中，我们提供了第一个实用的构造，使MFHE操作能够以零知识进行验证，保护MFHE免受恶意对手的攻击。我们的解决方案依赖于基于格的承诺方案和证明系统的组合，我们对其进行调整以支持现代FHE方案及其实现优化。我们在PELT A中实现了我们的构造。我们的实验评估表明，PELT A比现有技术快一到两个数量级。

论文链接：https://doi.org/10.1145/3576915.3623139

143、PackGenome: Automatically Generating Robust YARA Rules for Accurate Malware Packer Detection

二进制打包是一种广泛使用的程序混淆风格，它对原始程序进行压缩或加密，然后在运行时恢复。打包的恶意软件样本非常普遍，它们将引人注目的代码特征隐藏为难以理解的数据，以逃避检测。为了快速响应大规模的打包恶意软件，安全分析师会搜索特定的二进制模式以识别相应的打包器。这种打包器模式或签名的质量对恶意软件解剖至关重要。然而，现有的打包器签名规则严重依赖于人类分析师的经验。除了昂贵的手动工作外，这些人工编写的规则（如YARA）还具有很高的误报率：由于它们被设计为搜索字节的模式而不是指令，因此它们很可能与意外的指令不匹配。本文研究了现有打包器检测签名的弱点，并提出了一种新的自动YARA规则生成技术，称为PackGenome。受物种特异性基因的生物学概念的启发，我们观察到打包器特异性基因可以帮助确定程序是否被打包。我们的框架从打包器特异性基因中生成新的YARA规则，这些基因是从同一打包器保护程序中重复使用的解包例程中提取出来的。为了减少误报，我们提出了一种字节选择策略，系统地评估字节的不匹配可能性。我们将PackGenome与公开可用的打包器签名集合和最先进的自动规则生成工具进行了比较。我们用超过640K个样本的大规模实验证明，PackGenome可以提供强大的YARA规则来检测Windows和Linux打包器，包括新兴的低熵打包器。在所有情况下，PackGenome 都优于现有工作，其具有零假阴性、低假阳性以及可忽略的扫描开销增加。

论文链接：https://doi.org/10.1145/3576915.3616625

144、Pakistani Teens and Privacy - How Gender Disparities, Religion and Family Values Impact the Privacy Design Space

在西方、受过教育、工业化、富裕和民主国家以外的空间，人们对青少年如何看待、管理和执行隐私的理解不太清楚。为了填补这一空白，我们采访了30名青少年，调查了巴基斯坦青少年的隐私观念、实践和经历的数字危害。这是一个特别有趣的情况，因为在这方面，隐私不被视为个人权利，也不是在个人主义框架内执行，而是受到社会规范、家庭动态和宗教信仰等多种因素的影响。根据我们的发现，我们开发了四种角色，以系统化这一特定人群的需求和价值观，然后通过共同设计活动进行焦点小组讨论，以进一步探索隐私冲突。除了其他方面，我们的发现证实并扩展了关于青少年隐私实践和观念的现有理论，表明年轻女性受到隐私侵犯的影响不成比例，而且伤害不仅限于她们自己，还包括她们的家人。

论文链接：https://doi.org/10.1145/3576915.3623087

145、ParBFT: Faster Asynchronous BFT Consensus with a Parallel Optimistic Path

为了减少异步拜占庭容错（BFT）共识的延迟和通信开销，通常会添加乐观路径，其中Ditto和BDT是最先进的代表。这些协议首先尝试运行乐观路径，通常改编自部分同步BFT，并承诺在良好情况下具有良好的性能。如果乐观路径未能取得进展，这些协议在超时后切换到悲观路径，以确保异步网络中的存活。这种设计关键在于准确估计网络延迟Δ以正确设置超时参数。Δ的错误估计可能导致过早或延迟切换到悲观路径，在两种情况下都会损害协议的效率。为了解决上述问题，我们提出了采用并行乐观路径的ParBFT。只要乐观路径的领导者没有错误，ParBFT就能确保低延迟，而不需要对网络延迟进行准确估计。我们提出了ParBFT的两个变体，即ParBFT1和ParBFT2，在延迟和通信之间进行权衡。ParBFT1同时启动两条路径，在有错误领导者的情况下实现较低的延迟，但在良好情况下具有二次消息复杂性。 ParBFT2通过延迟悲观路径来降低良好情况下的消息复杂性，代价是在有错误领导者的情况下具有更高的延迟。实验结果表明，ParBFT优于Ditto或BDT。特别是，当网络条件较差时，ParBFT可以通过乐观路径达成共识，而Ditto和BDT则受到路径切换的影响，必须使用悲观路径取得进展。

论文链接：https://doi.org/10.1145/3576915.3623101

146、Passive SSH Key Compromise via Lattices

我们证明，被动网络攻击者可以从在签名计算过程中自然出现故障的 SSH 服务器中获得私有的 RSA 主机密钥。在之前的工作中，人们认为 SSH 协议不可能实现这一点，因为签名中包含共享的 Diffie-Hellman 秘密等信息，而被动网络观察者无法获得这些信息。我们证明，对于 SSH 常用的签名参数，在签名故障的情况下，有一种有效的格攻击可以恢复私钥。我们在此场景中对 SSH、IKEv1 和 IKEv2 协议进行了安全分析，并使用我们的攻击从几个独立的易受攻击的实现中发现了数百个被盗用的密钥。

论文链接：https://doi.org/10.1145/3576915.3616629

147、Password-Stealing without Hacking: Wi-Fi Enabled Practical Keystroke Eavesdropping

利用Wi-Fi的非接触式传感特性来实现隐私泄露，但现有的依赖于Wi-Fi CSI（信道状态信息）的攻击需要黑客攻击Wi-Fi硬件以获取所需的CSI。由于紧凑型硬件，这种黑客行为已被证明是极其困难的，因此它在跟上快速发展的Wi-Fi技术方面的可行性变得非常值得怀疑。为此，我们提出了WiKI-Eve，它可以在不需要黑客攻击的情况下窃听智能手机上的按键。WiKI-Eve利用了最新Wi-Fi硬件提供的新功能BFI（波束成形反馈信息）：由于BFI是以明文形式从智能手机传输到AP的，因此它可以被任何其他切换到监控模式的Wi-Fi设备偷听（因此被窃听）。由于现有的击键推理方法提供的泛化能力非常有限，WiKI-Eve在对抗学习方案中进行了进一步创新，使其推理能够推广到未知场景。我们实现了WiKI-Eve，并对其进行了广泛评估；结果表明，WiKI-Eve对单个击键的推理准确率为88.9%，对窃取移动应用程序（如微信）密码的前10名准确率高达65.8%。

论文链接：https://doi.org/10.1145/3576915.3623088

148、Phoenix: Detect and Locate Resilience Issues in Blockchain via Context-Sensitive Chaos

弹性对于区块链系统至关重要，并有助于它们在发生不利情况（例如节点崩溃和数据丢弃）时自动适应并继续提供服务。然而，由于其实现中的漏洞，区块链系统可能无法从错误情况中恢复，从而导致永久性服务中断。此类漏洞称为弹性问题。在这篇论文中，我们提出了 Phoenix，一个通过上下文敏感的混沌来帮助检测和定位区块链系统弹性问题的系统。首先，我们确定了区块链系统中两种典型的弹性问题：节点不可恢复和数据不可恢复。然后，我们设计了三种针对区块链特征的上下文敏感混沌策略。此外，我们创建了一个协调器，通过调度这些策略有效地触发弹性问题。为了更好地分析它们，我们将所有策略收集并排序到一个池中，并生成一个复制序列来定位和复制这些问题。我们在5个广泛使用的商业区块链系统上评估了Phoenix，并检测到13个以前未知的弹性问题。此外，Phoenix成功地再现了所有这些问题，平均需要5.15个步骤。相应的开发人员已经修复了这些问题。之后，区块链的抗混乱时间平均提高了143.9%。这表明Phoenix可以显著提高这些区块链的弹性。

论文链接：https://doi.org/10.1145/3576915.3623071

149、Point Cloud Analysis for ML-Based Malicious Traffic Detection: Reducing Majorities of False Positive Alarms

作为一种新兴的安全范式，基于机器学习的恶意流量检测是自动防御网络攻击的重要组成部分。基于机器学习的方法由专用流量特征提供支持，可以检测各种复杂的攻击，特别是捕获零日攻击，这是传统非机器学习方法无法实现的。然而，这些先进的机器学习方法引发的误报成为现实部署的主要障碍。这些方法需要专家手动分析误报，这会带来巨大的劳动力成本。因此，我们可以在不进行大量手动调查的情况下减少误报，这一点至关重要。在这篇论文中，我们提出了一种无监督的方法pVoxel，该方法可以识别现有基于机器学习的流量检测系统的误报，而不需要对警报有任何先验知识。为了有效地处理每个警报，pVoxel将与警报相关的交通特征向量视为交通特征空间中的一个点，并利用点云分析来捕捉点之间的拓扑特征，以对警报进行分类。特别是，我们将点聚合到体素中，即高维立方体，这使我们能够开发一种无监督的方法来根据其密度特征识别指示误报的体素。我们在75个真实数据集上的实验表明，pVoxel可以在各种设置下有效地减少11种最先进的交通检测方法的95.55%的误报。同时，pVoxel每秒可以处理201.10千个警报，这表明它可以实现高效的警报处理。

论文链接：https://doi.org/10.1145/3576915.3616631

150、PolicyChecker: Analyzing the GDPR Completeness of Mobile Apps’ Privacy Policies

欧洲通用数据保护条例（GDPR）要求数据控制器（例如应用程序开发人员）向数据主体（例如应用程序用户）提供第13条和第14条中规定的所有信息，包括他们的数据如何被处理以及他们的权利。虽然一些研究已经开始检测隐私政策中GDPR要求的履行情况，但他们的探索只关注了GDPR强制要求的一个子集。在这篇论文中，我们的目标是探索移动应用程序隐私政策中GDPR完整性的违反情况。为了实现我们的目标，我们采用基于规则和语义角色的方法设计了PolicyChecker框架。PolicyChecker不仅根据所有强制GDPR要求，还根据在特定条件下将成为强制性的所有适用GDPR要求，自动检测隐私政策中的完整性违规。使用PolicyChecker，我们对英国Google Play商店中205,973个Android应用程序的隐私政策进行了首次大规模的GDPR完整性违规研究。PolicyChecker确定了163,068（79.2％）个包含数据收集声明的隐私政策；因此，这些政策受GDPR要求的监管。然而，其中大多数（99.3％）未能达到GDPR完整性的要求，至少有一个不满足的要求；其中98.1％至少有一个不满足的强制性要求，而73.0％至少有一个不满足的适用性要求逻辑链。我们推测，控制器对一些GDPR要求缺乏理解以及他们在撰写隐私政策方面的做法不佳可能是GDPR完整性违规背后的潜在主要原因。我们进一步讨论了应用程序开发人员改进其应用程序隐私政策完整性的建议，以便为用户提供更透明的个人数据处理环境。

论文链接：https://doi.org/10.1145/3576915.3623067

151、Post Quantum Fuzzy Stealth Signatures and Applications

自比特币问世以来，基于区块链的加密货币的私人支付一直是学术界和工业界的研究主题。隐秘地址支付被提出作为改善用户支付隐私的解决方案，事实上，如今已在几种主要的加密货币中部署。该机制允许用户接收付款，这样这些付款之间或与收款人之间就不会有任何联系。目前已知的隐秘地址机制要么（1）在某些合理的对抗模型中不安全，（2）在实践中效率低下，要么（3）与许多现有货币不兼容。在这项工作中，我们正式确定了该机制的底层加密抽象，即具有正式游戏定义的隐秘签名。我们展示了我们的概念在快速身份在线（FIDO）标准中定义的免密码身份验证中的惊人应用。然后，我们提出了SPIRIT，这是第一个基于NIST标准化签名和密钥封装方案、Dilithium和Kyber的高效后量子安全隐式签名构建。SPIRIT的基本形式仅在弱安全模型中是安全的，但我们提供了一种效率保持和通用转换，这提高了SPIRIT的安全性，保证了本文中定义的最强安全概念。与最先进的技术相比，签名大小大约提高了3.37倍，同时签名和验证的效率保持在0.2毫秒。我们通过模糊跟踪功能扩展SPIRIT，其中接收者可以将传入交易的跟踪外包给跟踪服务器，满足类似于[CCS 2021]中最近引入的模糊消息检测（FMD）的匿名概念。我们还通过在这项工作中引入的可扩展模糊跟踪框架扩展了SPIRIT。这个新框架可以被认为是FMD的对偶，因为它将跟踪服务器的计算工作量减少到用户数量的亚线性，而不是FMD中的线性。实验结果表明，对于数百万用户，服务器只需要3.4毫秒来过滤每条传入消息，这是对现有技术的重大改进。

论文链接：https://doi.org/10.1145/3576915.3623148

152、Post-Quantum Multi-Recipient Public Key Encryption

多消息多接收者PKE（mmPKE）一次性将一批消息加密到一组独立选择的接收者公钥。产生的“多接收者密文”然后可以被（任何第三方）缩减为更短的、接收者特定的“单个密文”。最后，为了从单个密文中恢复批中的第i条消息，第i个接收者只需要他们自己的解密密钥。mmPKE的一个特例是多接收者PKE（mPKE），其中所有接收者都收到相同的消息。通过将（m）mPKE及其KEM对应物视为独立的基元，我们允许比简单组合单个PKE/KEM实例更有效的构造。这在后量子环境中尤其有价值，其中PKE/KEM密文和公钥往往比经典密文和公钥大得多。在这项工作中，我们描述了围绕mKEMs和（m）mPKEs的一系列新结果。我们为所有结果提供了经典和后量子证明。我们的结果面向实际构造和应用（例如在PQ安全组消息传递领域）。具体而言，我们的结果包括一个新的非自适应到自适应编译器，用于CPA安全的mKEMs，产生的公钥大小大约是之前最先进的[Hashimoto等人，CCS’21]的一半。我们还证明了他们的mKEMs的FO变换在量子随机预言模型中存在自适应破坏的情况下是安全的。此外，我们提供了第一个mKEM组合器。最后，我们给出了两个mmPKE构造。第一个是从mKEM（例如，通过将PQ与经典mKEM组合而产生的一个）中构造的任意消息长度黑盒。第二个是针对短消息（适用于最近的几个mmPKE应用程序）进行了优化，并更直接地实现了混合PQ/经典安全性。当以256位安全加密n条短消息时，mmPKE密文比通用构造短144n字节。最后，我们提供了基于NIST PQC获胜者Kyber的（CCA安全）mKEM构造的优化实现，并报告基准测试，显示封装速度明显加快，与简单解决方案相比，密文大小节省高达79%。

论文链接：https://doi.org/10.1145/3576915.3623185

153、Poster: A Privacy-Preserving Smart Contract Vulnerability Detection Framework for Permissioned Blockchain

目前广泛部署的两种主要区块链类型是公共区块链和许可区块链。区块链漏洞检测的研究主要面向公共区块链。较少考虑许可区块链的独特要求，这些要求不能直接迁移到许可区块链的应用场景。许可区块链部署在经过验证的组织之间，其智能合约可能包含敏感信息，如合约的交易流、交易算法等。敏感信息可以被视为智能合约本身的私有信息，应该对区块链外的用户保密。在这篇论文中，提出了一种隐私保护的智能合约漏洞检测框架。该框架利用区块链和机密计算技术，在保护智能合约隐私的同时，在许可区块链智能合约中实现漏洞检测。该框架还能够保护漏洞检测模型所有者的利益。我们在机密计算环境中实验验证了我们的框架的检测性能。

论文链接：https://doi.org/10.1145/3576915.3624366

154、Poster: Accountable Processing of Reported Street Problems

市政府越来越依赖公民提交关于坑洼或非法垃圾堆等问题 的数字报告，以改善他们的响应时间。然而，当处理这些报告需要付出高昂的成本时，责任部门可能会被鼓励忽略某些报告。在这项工作中，我们探索了区块链技术在使当局对提交的报告负责方面的适用性。我们最初的评估表明，我们的方法可以扩展到未来使公民和当局受益。

论文链接：https://doi.org/10.1145/3576915.3624367

155、Poster: Attestor – Simple Proof-of-Storage-Time

存储时间证明（PoST）是一种密码学原语，使服务器能够以公开可验证的方式展示外包数据的非交互式连续可用性。在这项工作中，我们提出了Attestor，一种无状态透明的存储时间证明方案，具有简单的证明和高效的公开输出验证，不使用陷阱门，在设置阶段不会产生任何额外开销。我们使用具有证明聚合的标准VDF方案设计我们的PoST协议Attestor。

论文链接：https://doi.org/10.1145/3576915.3624368

156、Poster: Backdoor Attack on Extreme Learning Machines

深度神经网络（DNN）通过在大型数据集上进行昂贵的训练来实现最佳性能。在某些情况下，如物联网或医疗保健，可能无法获得此类资源。极限学习机（ELM）旨在通过使用单层网络来缓解这一问题，需要较少的训练资源。目前的研究发现，DNN容易受到安全和隐私威胁，其中网络故障或训练数据提取可以执行。由于对ELM的关注日益增加，并且缺乏安全调查，我们研究了这种网络的安全影响。确切地说，我们研究了ELM中的后门攻击。我们创建了一个全面的实验设置来评估它们在各种数据集和场景中的安全性。我们得出结论，ELM容易受到后门攻击，攻击成功率高达97%。此外，我们适应并评估了ELM的使用精细修剪。

论文链接：https://doi.org/10.1145/3576915.3624369

157、Poster: Boosting Adversarial Robustness by Adversarial Pre-training

视觉变换器（ViT）在各种任务中表现出优越的性能，但与其他深度学习技术类似，它容易受到对抗性攻击。由于ViT和传统CNN之间的差异，之前的工作根据ViT的设计设计了新的对抗性训练方法作为防御，例如阻止对单个补丁的关注或丢弃低关注度的嵌入。然而，这些方法通常侧重于微调阶段或模型本身的训练。在预训练阶段提高鲁棒性，特别是在较低开销的情况下，尚未得到彻底的研究。本文提出了一种新颖的方法，Adv-MAE，通过掩码对抗性预训练来提高对抗性鲁棒性，而不会对干净数据的性能造成损害。我们设计了一种简单的方法来为自动编码器生成对抗性扰动，因为自动编码器不提供分类结果。然后，我们使用蒙面输入和扰动对自动编码器进行对抗训练。预训练的自动编码器可用于构建具有更好鲁棒性的ViT。我们的实验结果表明，使用对抗微调时，Adv-MAE在对抗攻击下的准确率高于非对抗预训练方法（在CIFAR-10上高出3.46%，在Tiny ImageNet上高出1.12%）。它在干净数据上也显示出更好的准确率（在CIFAR-10上高出4.94%，在Tiny ImageNet上高出1.74%），这意味着Adv-MAE在干净输入上的性能不会恶化。此外，蒙面预训练在每个训练阶段也显示出更低的耗时。

论文链接：https://doi.org/10.1145/3576915.3624370

158、Poster: Bridging Trust Gaps: Data Usage Transparency in Federated Data Ecosystems

数据生态系统（DE）不断发展的格局越来越需要同时确保数据主权的集成和协作数据共享机制。然而，最近提出的联邦平台，如Gaia-X，只提供了一个有前景的解决方案，在已经信任的参与者之间共享数据，他们仍然缺乏建立和维护信任的功能。为了解决这个问题，我们提出了数据使用的透明度日志，在参与者之间追溯建立信任。受证书透明度日志的启发，该日志成功弥合了PKI中的信任差距，我们为数据所有者提供了数据使用的可靠证据。我们证明，我们的数据使用透明度日志可以很好地扩展到大型DE。因此，它们是一种有前景的方法，可以在联邦DE中弥合信任差距，具有加密保证，促进更强大的数据共享。

论文链接：https://doi.org/10.1145/3576915.3624371

159、Poster: Circumventing the GFW with TLS Record Fragmentation

世界各地的国家行为体对HTTPS协议进行审查，以阻止对某些网站的访问。虽然许多规避策略仅利用了TCP层，但很少有人重视对TLS的分析，TLS是HTTPS的复杂协议和不可或缺的构建块。与TCP层相比，TLS层的规避方法不需要root权限，因为TLS在应用层运行。通过这一提议，我们希望在审查规避技术方面对TLS进行更深入的分析。为了证明这种技术的存在，我们将TLS记录碎片化作为一种新的规避技术，并使用这种技术绕过中国防火墙（GFW）。我们希望我们的研究促进审查和TLS研究人员之间的合作。

论文链接：https://doi.org/10.1145/3576915.3624372

160、Poster: Combining Fuzzing with Concolic Execution for IoT Firmware Testing

物联网设备的供应逐年增加。即使在无人驾驶、建筑和机器人等需要复杂技术的行业中，也正在使用物联网设备。然而，由于物联网设备的类型多样，固件执行环境具有挑战性，物联网设备的安全性落后于这一发展。现有的方法，如直接设备连接或部分仿真，用于解决这一问题。然而，全系统仿真更适合大规模分析，因为它可以在不需要设备的情况下测试许多固件。因此，最近的研究整合了仿真和软件测试技术，如模糊测试，但它们仍然不适合测试各种固件，效率低下。在这张海报中，我们提出了FirmColic，它将模糊测试与并发执行相结合，以减轻这些局限性。FirmColic是一种增强型过程仿真，它使用基于同态执行的关键字提取来提高模糊测试的有效性。此外，我们在增强型过程仿真环境中应用了五种仲裁技术，以提高仿真的成功率。我们证明，与以前的研究相比，FirmColic具有更快的检测速度、更多的崩溃检测和更高的代码覆盖率。

论文链接：https://doi.org/10.1145/3576915.3624373

161、Poster: Control-Flow Integrity in Low-end Embedded Devices

嵌入式、智能和物联网设备在众多日常环境中越来越受欢迎。由于低端设备具有最严格的成本限制，它们往往很少具有安全功能。这使得它们成为漏洞和恶意软件的有吸引力的目标。先前的研究提出了各种安全架构，用于强制资源受限设备的安全属性，例如通过远程认证（RAC）。这些技术可以（静态）验证远程设备的软件完整性并检测妥协。然而，运行时（动态）安全，例如通过控制流完整性（CFI），很难实现。这项工作构建了一个架构，确保软件执行在运行时攻击（如面向返回编程（ROP））下的完整性。它建立在最近提出的CASU之上，CASU是一种低成本主动信任根（RoT），可保证软件不变性。我们扩展了CASU以支持影子堆栈和CFI监视器，以减轻运行时攻击。这让我们相信，即使在低端设备上，也可以以最小的硬件开销实现CFI。

论文链接：https://doi.org/10.1145/3576915.3624374

162、Poster: Cybersecurity Usage in the Wild: A look at Deployment Challenges in Intrusion Detection and Alert Handling

我们通过调查和半定向访谈收集数据，研究网络安全从业人员在日常活动面临的挑战。从业人员报告了威胁的频率和程度，以及倦怠等其他因素。这些因素因组织规模和领域（如医疗、电子商务）而异。

论文链接：https://doi.org/10.1145/3576915.3624375

163、Poster: Data Minimization by Construction for Trigger-Action Applications

触发-动作平台（TAP）使应用程序能够集成各种设备和服务，否则这些设备和服务将无法连接。TAP的最新功能引入了IFTTT中的查询等其他数据源。当前的TAP，如IFTTT，要求触发和查询服务向TAP传输过多的用户数据。为了将数据限制在执行实际所需的数据范围内，以符合数据最小化的原则，输入服务应发送不超过必要的数据。LazyTAP通过在TAP中构建，提出了数据最小化的新范式，为从输入服务收集数据引入了新的视角。虽然现有的TAP的推送所有方法需要粗粒度的数据过近似，LazyTAP在应用程序执行访问后，在属性级别按需提取输入数据。由于LazyTAP提供的精细粒度，可以在保留应用程序执行行为的同时自然地最小化多个触发器和查询服务。此外，LazyTAP的一个巨大优势是它对第三方应用程序开发人员来说是无缝的。通过利用懒惰性，LazyTAP推迟计算并代理对象以在幕后加载必要的远程数据。我们对应用程序基准的评估研究表明，LazyTAP比IFTTT平均提高了95%，比minTAP提高了38%，性能开销可以接受。这篇海报进一步详细介绍了LazyTAP，并阐述了它的原型实现。

论文链接：https://doi.org/10.1145/3576915.3624376

164、Poster: Detecting Adversarial Examples Hidden under Watermark Perturbation via Usable Information Theory

图像水印是一种广泛用于版权保护的技术。最近的研究表明，图像水印可以作为一种噪声添加到清晰图像中，以实现欺骗深度学习模型。然而，之前的对抗性示例（AE）检测方案往往无效，因为水印标志不同于典型的噪声扰动。在这张海报中，我们提出了Themis，一种针对水印扰动的新的AE检测方法。与先前的方法不同，Themis既不修改受保护的分类器，也不需要知道生成AE的过程。具体来说，Themis利用可用信息理论来计算逐点得分，从而发现可能是水印AE的实例。涉及5种不同标志水印扰动的经验评估表明，提出的方案可以有效地检测AE，并且显著（超过15%的准确率）优于5种最先进的（SOTA）检测方法。可视化结果显示，我们的检测指标在AE和非AE之间更具区分性。同时，Themis以阈值弹性方式实现了更大的AUC（曲线下面积），同时仅引入了约0.04s的开销。

论文链接：https://doi.org/10.1145/3576915.3624396

165、Poster: Efficient AES-GCM Decryption Under Homomorphic Encryption

同态加密（HE）可以在保持数据机密性的同时将计算委托给不受信任的第三方。然而，在许多情况下，数据是使用另一种加密方案（如AES-GCM）加密的。混合加密（又称转码）是一种允许在密码系统之间移动的技术，目前有两个主要缺点：1）缺乏标准化或FHE下对称解密性能不佳；2）缺乏输入数据完整性。我们报告了AES-GCM在CKKS下的首次实现，这是同态加密下标准化和常用对称加密的最快实现，也提供了完整性。我们的解决方案为端到端实现（如加密的深度神经网络）打开了大门，同时依赖于AES-GCM加密的输入。

论文链接：https://doi.org/10.1145/3576915.3624377

166、Poster: Ethics of Computer Security and Privacy Research - Trends and Standards from a Data Perspective

伦理是安全研究的重要标准。这项工作从数据角度展示了安全研究人员在研究中解决伦理问题的现状和趋势。特别是，我们创建了一个数据集，其中包括2010年至2022年间在三个顶级会议上发表的3,756篇论文，其中963篇论文被确定为存在伦理问题。通过这个数据集，我们回答了关于当前实践和趋势的三个问题：（1）安全研究中伦理考虑的概况是什么？例如，有多少安全研究项目在其研究中引发了伦理问题，哪些研究领域可能引发伦理风险和担忧？（2）解决这些伦理风险目前的做法是什么？以及（3）影响研究人员伦理意识的重要因素是什么？

论文链接：https://doi.org/10.1145/3576915.3624378

167、Poster: Fooling XAI with Explanation-Aware Backdoors

最近机器学习模型中可学习参数的过剩使其变得难以理解。即使它们的开发者也无法解释其确切的内部运作。因此，研究人员开发了解释算法，以揭示模型的决策过程。解释确定了模型决策的决定因素。因此，人们对解释寄予厚望，以解决诸如偏差、虚假相关性等问题，以及更突出的攻击，如神经后门。在这篇论文中，我们提出了解释感知后门，在触发器存在的情况下，它欺骗了模型的决策和解释算法。因此，解释感知后门可以绕过基于解释的检测技术，并向人类分析师“转移注意力”。在我们的原始工作“用解释感知后门伪装攻击”中，我们提出了成功的解释感知后门，在这篇论文中，我们简要概述并重点介绍了数据集“德国交通标志识别基准”（GTSRB）。我们评估了与原始论文不同的触发器和目标解释，并展示了GradCAM解释的结果。补充材料可在https://intellisec.de/research/xai-backdoor上公开获取。

论文链接：https://doi.org/10.1145/3576915.3624379

168、Poster: From Hashes to Ashes - A Comparison of Transcription Services

近年来，半结构化访谈在网络安全研究中变得越来越重要。转录此类访谈的录音是定性数据分析的关键步骤，但这也是一项工作量大且耗时的任务。虽然外包是一种常见的选择，但保持研究质量需要精确的转录——这项任务因研究领域的技术术语和既定表达而变得更加复杂。在这项研究中，我们比较了不同的转录服务，并在网络安全背景下评估了他们的结果质量。我们的发现为研究人员在转录服务的复杂环境中提供了洞察力，为提高定性数据分析的准确性和有效性提供了明智的选择。

论文链接：https://doi.org/10.1145/3576915.3624380

169、Poster: Generating Experiences for Autonomous Network Defense

强化学习（RL）为开发下一代计算机网络的防御提供了有前景的道路。希望RL不仅有助于自动化网络防御，而且RL还为防御网络找到了新的解决方案，以适应应对日益复杂的网络和威胁。尽管有希望，但将RL应用于网络安全的现有工作是在小型计算机网络上对网络防御者进行严格而狭义的问题定义训练。受研究启发，开放式学习有助于代理快速适应并推广到从未见过的任务，我们假设类似的方法可以为网络防御提供实用的RL路径。我们提供了证据来支持这一假设。实现可推广学习的一个关键方面是我们为学习代理生成经验的方法，这种方法基于任务世界，允许代理学习防御日益复杂的网络。我们证明，通过学习解决不同难度的任务，RL代理可以学习掌握相当复杂的网络防御任务。我们的初步结果表明，除了有助于掌握复杂任务的可行性外，这种类型的经验生成可能会导致更稳健的政策。总体而言，我们的研究表明，我们向学习代理提供的经验收集是实现高性能的关键方面。我们与研究界分享了我们用于（i）定义网络防御任务分布；（ii）随着代理学习更新分布；（iii）保持任务关键方面不变以保留知识的方法。我们的实验是由我们的自主网络防御高级强化学习框架（FARLAND）的第二版实现的，该框架集成了对动作表示、动态任务选择以及模拟和仿真中策略验证的支持。我们希望通过分享我们的想法和成果，促进合作和创新，以创建越来越复杂的健身房来训练网络防御者。

论文链接：https://doi.org/10.1145/3576915.3624381

170、Poster: Generic Multidimensional Linear Cryptanalysis of Feistel Ciphers

本海报介绍了对Feistel密码的新通用攻击，该攻击仅在轮函数的输入处添加密钥。这一特征导致了一个特定的漏洞，可以使用多维线性密码分析来利用。更具体地说，我们的方法涉及使用密钥无关的线性踪迹，以便可以计算明文和密文组合的分布，从而可以使用似然比检验作为鉴别器。我们提供了我们的通用攻击的成本的理论估计，并通过将攻击应用于CAST-128和LOKI91来进行实验验证。理论和实验结果表明，所提出的攻击在几个有趣的情况下显著降低了数据或时间复杂度。

论文链接：https://doi.org/10.1145/3576915.3624365

171、Poster: Longitudinal Analysis of DoS Attacks

拒绝服务 (DoS) 攻击已成为当今数字世界中经常发生的事件。通过下载和僵尸网络服务可以廉价租用的易于使用的攻击软件使对手能够在不需要全面了解技术的情况下进行此类攻击。为了调查这一威胁，我们对 2015 年 1 月 1 日至 2022 年 12 月 31 日期间发生的 DoS 攻击进行了研究。我们收集了有关受害者和攻击如何进行的统计数据。此外，我们展示了此类攻击对关键互联网基础设施的可能副作用。本研究提供了有趣的见解和观察，对研究人员和专家开发防御措施以减轻 DoS 攻击很有用。因此，我们将数据集公之于众。

论文链接：https://doi.org/10.1145/3576915.3624382

172、Poster: Longitudinal Measurement of the Adoption Dynamics in Apple’s Privacy Label Ecosystem

这项工作报告了对iOS应用商店隐私标签采用动态的大规模纵向分析，在2020年12月推出两年半后，对这一首个生态系统进行测量。其动机是揭示影响隐私标签变化的因素，并提供对应用程序标签如何以及何时变化的见解。通过收集一年多来近160万个应用程序的每周快照，我们分析了隐私标签采用的动态和报告标签的准确性。我们对两年后具有标签的74.5%的应用程序的分析提供了这个成熟生态系统的重要背景，其中标签正在成为标准。然而，我们发现有令人信服的证据表明，标签可能无法完全捕捉行为，因为28.9%的应用程序表示没有数据收集，自愿采用与强制采用之间的分布不同。设置后，标签很少会改变，但添加内容会反映更多的数据收集。除了我们的测量，我们还计划发布一个新的（不断增长的）数据集，供未来的研究人员使用。

论文链接：https://doi.org/10.1145/3576915.3624383

173、Poster: Membership Inference Attacks via Contrastive Learning

由于机器学习模型通常在有限的数据集上进行训练，因此该模型会在相同的数据样本上多次训练，这导致该模型会记住大部分训练集数据。成员身份推理攻击（MIAs）利用这一特征来确定数据样本是否用于训练机器学习模型。然而，在现实场景中，攻击者很难获得足够多的标记准确身份信息的合格样本，特别是因为大多数样本在现实世界应用中是非成员。为了解决这一局限性，在本文中，我们提出了一种新的攻击方法，称为CLMIA，它使用无监督对比学习来训练攻击模型。同时，在CLMIA中，我们只需要少量具有已知成员身份的数据来微调攻击模型。我们使用ROC曲线评估了攻击的性能，与其他方案相比，在低FPR下显示出更高的TPR。

论文链接：https://doi.org/10.1145/3576915.3624384

174、Poster: Metadata-private Messaging without Coordination

论文链接：https://doi.org/10.1145/3576915.3624385

175、Poster: Mujaz: A Summarization-based Approach for Normalized Vulnerability Description

论文链接：https://doi.org/10.1145/3576915.3624386

176、Poster: Multi-target & Multi-trigger Backdoor Attacks on Graph Neural Networks

论文链接：https://doi.org/10.1145/3576915.3624387

177、Poster: Panacea — Stateless and Non-Interactive Oblivious RAM

论文链接：https://doi.org/10.1145/3576915.3624388

178、Poster: Privacy Risks from Misconfigured Android Content Providers

论文链接：https://doi.org/10.1145/3576915.3624389

179、Poster: Query-efficient Black-box Attack for Image Forgery Localization via Reinforcement Learning

论文链接：https://doi.org/10.1145/3576915.3624390

180、Poster: RPAL-Recovering Malware Classifiers from Data Poisoning using Active Learning

论文链接：https://doi.org/10.1145/3576915.3624391

181、Poster: Secure and Differentially Private kth Ranked Element

论文链接：https://doi.org/10.1145/3576915.3624392

182、Poster: Signer Discretion is Advised: On the Insecurity of Vitalik’s Threshold Hash-based Signatures

论文链接：https://doi.org/10.1145/3576915.3624393

183、Poster: The Risk of Insufficient Isolation of Database Transactions in Web Applications

论文链接：https://doi.org/10.1145/3576915.3624394

184、Poster: The Unknown Unknown: Cybersecurity Threats of Shadow IT in Higher Education

论文链接：https://doi.org/10.1145/3576915.3624395

185、Poster: Towards Lightweight TEE-Assisted MPC

论文链接：https://doi.org/10.1145/3576915.3624398

186、Poster: Towards Practical Brainwave-based User Authentication

脑电波测量设备已经从专门的医疗工具转变为用户友好和经济上可获得的消费品。这一转变为普及服务开辟了新的途径，其应用范围包括脑机接口（BCI）、疾病检测、刑事审判，特别是计算机安全认证。脑电图（EEG）信号难以窃取和撤销，是一种有吸引力的生物识别选择。然而，这些信号的实际部署受到安全威胁、可用性问题以及隐私问题的影响。……

论文链接：https://doi.org/10.1145/3576915.3624399

187、Poster: Towards a Dataset for the Discrimination between Warranted and Unwarranted Emails

论文链接：https://doi.org/10.1145/3576915.3624397

188、Poster: Unveiling the Impact of Patch Placement: Adversarial Patch Attacks on Monocular Depth Estimation

对于自动驾驶系统来说，摄像头和激光雷达传感器是必要的设备，它们可以提供精确的深度信息，通过这些信息可以识别物体的位置和大小。……在本文中，我们通过实验证实了补丁放置显著影响了攻击成功率，特别是在特定区域。

论文链接：https://doi.org/10.1145/3576915.3624400

189、Poster: Using CodeQL to Detect Malware in npm

论文链接：https://doi.org/10.1145/3576915.3624401

190、Poster: Verifiable Data Valuation with Strong Fairness in Horizontal Federated Learning

论文链接：https://doi.org/10.1145/3576915.3624402

191、Poster: Verifiable Encodings for Maliciously-Secure Homomorphic Encryption Evaluation

论文链接：https://doi.org/10.1145/3576915.3624403

192、Poster: Vulcan – Repurposing Accessibility Features for Behavior-based Intrusion Detection Dataset Generation

论文链接：https://doi.org/10.1145/3576915.3624404

193、Poster: WIP: Account ZK-Rollups from Sumcheck Arguments

论文链接：https://doi.org/10.1145/3576915.3624405

194、Poster: Computing the Persistent Homology of Encrypted Data

论文链接：https://doi.org/10.1145/3576915.3624406

195、Prediction Privacy in Distributed Multi-Exit Neural Networks: Vulnerabilities and Solutions

论文链接：https://doi.org/10.1145/3576915.3623069

196、Privacy Leakage via Speech-induced Vibrations on Room Objects through Remote Sensing based on Phased-MIMO

语音窃听长期以来一直是个人和企业隐私的重要威胁。最近的研究表明，可以从声音引起的振动中获取私人语音信息。通过固体介质或空气传输的声信号可能会在固体表面上引起振动，这些振动可以通过各种传感器（如运动传感器、高速相机和激光器）在不使用麦克风的情况下被拾取。到目前为止，这些威胁仅限于传感器与振动表面接触或至少在视线范围内的场景。在这篇论文中，我们重新审视了这一重要研究领域，并表明远程、远距离甚至穿墙语音窃听攻击是可能的。我们发现了一种新的语音窃听攻击形式，通过毫米波传感、信号处理和先进的深度学习技术，从普通房间物体（如纸袋、塑料储物箱）的微小表面振动中远程提取语音。虽然毫米波信号对振动具有高灵敏度，但它们的传感距离有限，通常不能穿透墙壁。我们通过设计和实施集成发射波束成形、虚拟阵列和接收波束成形的高分辨率软件定义相控MIMO雷达，克服了这一关键挑战。所提出的系统通过将所有毫米波波束聚焦到一个目标房间物体来增强传感方向性，使毫米波信号能够从远处甚至穿过墙壁来拾取微小的语音引起的振动。为了实现攻击，我们设计了一种物体识别技术，可以扫描房间中的物体，并识别出对语音振动最敏感的突出物体，以进行振动特征提取。我们通过开发深度学习框架，成功展示了使用语音诱导振动进行语音隐私泄漏。我们的框架可以利用领域自适应技术，仅根据受害者的未标记振动数据来推断语音内容。我们通过广泛的实验验证了数字识别的概念验证攻击，涉及40个扬声器、五个常见房间物体，以及室内外毫米波设备的攻击场景。我们基于相控MIMO的攻击可以在使用和不使用语音标签进行训练的情况下，分别达到88% ~ 98%和64% ~ 86%的成功率。对于穿墙攻击，成功率分别为81% ~ 94%和58% ~ 74%。此外，我们讨论了可能的防御方法，以减轻这一前所未有的安全威胁。

论文链接：https://doi.org/10.1145/3576915.3616634

197、Privacy in the Age of Neurotechnology: Investigating Public Attitudes towards Brain Data Collection and Use

脑机接口（BCI）正在从医疗领域扩展到娱乐、健康和营销领域。然而，随着消费者神经技术变得越来越流行，由于脑电波数据的敏感性及其潜在的商品化，隐私问题也随之而来。对隐私的攻击已经得到证实，脑-语音和脑-图像解码的人工智能进步也带来了一系列新的独特风险。在这个领域，我们通过第一个用户研究（n=287）来了解人们的神经隐私期望和对神经技术影响的意识。我们的分析表明，虽然用户对这项技术感兴趣，但隐私是可接受性的关键问题。结果强调了同意的重要性以及实施有效的神经数据共享透明度的必要性。我们的见解为分析当前隐私保护机制的差距提供了基础，为如何设计尊重隐私的神经技术增加了辩论。

论文链接：https://doi.org/10.1145/3576915.3623164

198、Profile-guided System Optimizations for Accelerated Greybox Fuzzing

灰盒模糊是一种非常受欢迎的安全测试方法，它鼓励人们付出巨大努力来提高其性能。之前的研究带来了许多算法上的进步，从而导致了性能的大幅增长。然而，尽管这种设计对模糊处理吞吐量有很高的影响，但人们对灰盒模糊工具的系统级设计却关注较少。在这篇论文中，我们探索了灰盒模糊的系统级优化。通过实证研究，我们揭示了两个系统级优化机会。首先，带有分叉服务器的常见模糊模式会明显降低目标执行的效率，可以通过将持久模式与高效的状态恢复相结合来优化。其次，灰盒模糊工具依赖于本机操作系统（OS）来支持目标程序发出的交互，涉及复杂但与模糊处理无关的操作。简化操作系统交互是另一个优化机会。我们开发了两种技术，通过模糊工具的简短分析阶段获悉，以实现上述优化。第一种技术通过从分析中学习关键执行状态并修补目标程序以重置它们来实现可靠和高效的持久模式。第二种技术引入用户空间抽象来模拟操作系统功能，减少昂贵的操作系统交互。通过20个程序和MAGMA基准进行评估，我们证明我们的优化可以加速AFL和AFL ++，以提高代码覆盖率和更快地发现错误。

论文链接：https://doi.org/10.1145/3576915.3616636

199、Protecting HRP UWB Ranging System Against Distance Reduction Attacks

超宽带（UWB）通信是一种新兴技术，可以实现安全测距和定位。由于UWB通信能够测量精确的距离，因此预计会增强安全性。然而，最近有研究表明，IEEE 802.15.4z高速脉冲重复频率（HRP）UWB测距系统测量的距离可能会被恶意缩短。HRP UWB测距系统被三星和苹果等智能手机制造商广泛采用。在这篇论文中，我们提出了具有子模板验证的UWB（UWB-SV），这是第一种防止当前HRP UWB测距系统实际距离缩短攻击的方法。UWB-SV被设计为一种验证方法，其中UWB帧的加扰时间戳序列（STS）字段被分为多个子字段。通过分析子字段与其相应局部模板之间的互相关结果的一致性，UWB-SV能够检测到HRP UWB测距系统上的距离缩减攻击。由于一致性分析不需要长比特序列，UWB-SV可以应用于大多数商业现成设备，这些设备设计有4,096位长度的STS字段。我们在受害者和攻击者之间的16种不同信道条件下全面评估了UWB-SV，通过评估，我们发现UWB-SV在室外环境条件下具有96.24%的攻击检测率，误报率为0.32%。

论文链接：https://doi.org/10.1145/3576915.3623145

200、Protecting Intellectual Property of Large Language Model-Based Code Generation APIs via Watermarks

基于大型语言模型代码生成（LLCG）的兴起已经实现了各种商业服务和API。训练LLCG模型通常既昂贵又耗时，而且训练数据通常规模庞大，甚至公众也无法访问。因此，LLCG模型（例如通过模仿攻击）的知识产权（IP）被盗的风险一直是一个严重的问题。在这篇论文中，我们提出了第一个水印（WM）技术来保护LLCG API免受远程模仿攻击。我们提出的技术基于用编程语言中可用的“同义词”替换LLCG输出中的标记。因此，WM被定义为LLCG输出中标记同义词之间被悄悄调整的分布。我们设计了六种WM方案（实例化为30多个WM过程），这些方案依赖于编程语言中概念上不同的标记同义词。此外，为了检查可疑模型的IP（决定它是否从我们受保护的LLCG API被盗），我们提出了一种基于统计测试的程序，可以直接检查远程、可疑的LLCG API。我们在LLCG模型上评估了我们的WM技术，该模型从两个流行的大型语言模型CodeT5和CodeBERT中进行了微调。评估表明，我们的方法在WM注入和IP检查方面都是有效的。插入的WM不会破坏普通用户的使用（即高保真度），并且产生的额外成本可以忽略不计。此外，我们注入的WM表现出高度的隐身性和对强大攻击者的鲁棒性；即使他们知道所有的WM方案，他们也很难在不大幅降低被盗模型的准确性的情况下删除WM。

论文链接：https://doi.org/10.1145/3576915.3623120

201、ProvG-Searcher: A Graph Representation Learning Approach for Efficient Provenance Graph Search

我们提出了ProvG-Searcher，一种在系统安全日志中检测已知APT行为的新方法。我们的方法利用起源图，一种事件日志的全面图表示，通过将系统实体映射为节点并将其交互映射为边来捕获和描述数据起源关系。我们将搜索起源图的任务表述为子图匹配问题，并采用图表示学习方法。我们的搜索方法的核心部分包括将子图嵌入到向量空间中，其中子图关系可以直接进行评估。我们通过使用顺序嵌入来实现这一点，该方法简化了子图匹配，使其直接比较查询和预先计算的子图表示。为了解决起源图的大小和复杂性带来的挑战，我们提出了一种图分割方案和一种行为保持图缩减方法。总体而言，我们的技术提供了显着的计算效率，允许大多数搜索计算离线执行，同时在查询执行过程中结合轻量级的比较步骤。标准数据集上的实验结果表明，ProvG-Searcher实现了卓越的性能，在检测查询行为方面的准确率超过99%，误报率约为0.02%，优于其他方法。

论文链接：https://doi.org/10.1145/3576915.3623187

202、Provably Unlinkable Smart Card-based Payments

最流行的基于智能卡的支付方式EMV目前不为其用户提供隐私。交易细节和卡号以明文形式发送，使持卡人能够被分析和跟踪。由于公众对隐私问题意识的增强以及诸如GDPR等立法的出现，我们认为有必要调查在不损害EMV基本安全保证和功能属性的情况下实现匿名和不可识别的支付的可能性。本文提请注意在这种协议的设计中，功能和隐私要求之间的权衡。我们提出了UTX协议——一种满足这些要求的增强支付协议，我们使用基于π演算的技术正式证明了关键的安全和隐私属性。

论文链接：https://doi.org/10.1145/3576915.3623109

203、Put Your Memory in Order: Efficient Domain-based Memory Isolation for WASM Applications

内存崩溃漏洞在 WebAssembly 中比在本机应用程序中具有更严重的后果。因此，我们提出了 \tool，这是第一个具有内存隔离的 WebAssembly 运行时。我们的见解是使用 MPK 硬件在 WebAssembly 中进行高效的内存保护。然而，MPK 和 WebAssembly 具有不同的内存模型：MPK 保护虚拟内存页面，而 WebAssembly 使用没有页面的线性内存。将 MPK API 映射到 WebAssembly 会导致内存膨胀和运行效率低下。为了解决这个问题，我们提出了 \acfdilm，它在函数级粒度上保护线性内存。我们将 \acdilm 实现到官方 WebAssembly 运行时中以构建 \tool。我们的评估表明， \tool 可以防止实际项目中的内存崩溃，平均开销为 1.77%，内存成本可以忽略不计。

论文链接：https://doi.org/10.1145/3576915.3623205

204、PyRTFuzz: Detecting Bugs in Python Runtimes via Two-Level Collaborative Fuzzing

鉴于Python的广泛使用及其持续影响，Python运行时系统的安全性和可靠性具有高度和广泛的关键性。然而，随着Python运行时中真实存在的bug不断被报告，自动检测此类bug的技术/工具支持仍然严重缺乏。本文中，我们提出了PyRTFuzz，一种新的模糊技术/工具，用于全面测试Python运行时，包括语言解释器及其运行时库。PyRTFuz在编译器和应用程序测试级别分别结合了生成和基于变异的模糊，通过静态/动态分析来提取运行时API描述，一种用于有效和多样Python代码生成的声明性规范语言，以及一种用于格式/结构软件应用程序输入生成的自定义类型导向变异策略。我们为主要的Python实现（CPython）实现了PyRTFuzz，并将其应用于三个版本的运行时。我们的实验揭示了61个新的、明显可利用的漏洞，包括解释器中的漏洞和运行时库中的大多数漏洞。我们的结果还证明了PyRTFuzz有希望的可扩展性和成本效益，以及它在进一步发现漏洞方面的巨大潜力。PyRTFuzz中实例化的两级协作模糊方法也可能适用于其他语言运行时，特别是解释语言。

论文链接：https://doi.org/10.1145/3576915.3623166

205、Ramen: Souper Fast Three-Party Computation for RAM Programs

安全RAM计算允许多方以一种方式评估表示为随机存取机（RAM）程序的功能，除了功能输出本身已经揭示的内容外，该方式不会透露任何关于各方的私人输入的信息。在这项工作中，我们提出了Ramen，这是一种在三方之间安全计算RAM程序的新协议，最多可容忍一次被动破坏。Ramen提供了合理的渐近保证，同时具体有效。我们已经实现了我们的协议，并为各种设置提供了广泛的基准。从渐近的角度来看，我们的协议需要恒定数量的轮次和每次内存访问的平均次线性数量的通信和计算。就具体效率而言，我们的协议优于之前的解决方案。对于大小为226的内存，与之前最快的并发解决方案相比，我们的内存访问在LAN和WAN设置中分别快25倍和8倍。由于我们卓越的渐近保证，随着内存的增大，效率差距只会越来越大，因此Ramen提供了目前最具可扩展性的具体高效解决方案，用于安全计算RAM程序。

论文链接：https://doi.org/10.1145/3576915.3623115

206、Read Between the Lines: Detecting Tracking JavaScript with Bytecode Classification

旨在阻止在线广告和跟踪脚本的浏览器和扩展程序主要依赖于过滤器列表中的规则来确定必须阻止哪些资源请求。这些过滤器列表通常由在线用户社区手动策划。然而，由于阻止器和广告支持的网站之间的军备竞赛，这些规则必须不断更新，以适应新的绕过技术和修改后的请求，从而使检测和规则生成过程变得繁琐和被动（这可能导致传播和检测之间的重大延迟）。在这篇论文中，我们通过提出一个自动化的管道来解决检测问题，该管道可以高精度地检测跟踪和广告JavaScript资源，旨在产生最小的误报和开销。我们的方法将脚本检测建模为文本分类问题，其中JavaScript资源是包含字节码序列的文档。由于字节码直接从JavaScript解释器获得，我们的技术能够抵御常用的绕过方法，如URL随机化或代码混淆。我们用深度学习和传统的基于机器学习的方法进行字节码分类实验，结果表明我们的方法识别广告/跟踪脚本的准确率为97.08%，在精度和所需特征水平方面明显优于尖端系统。我们的实验分析进一步突出了我们系统的能力，展示了它如何通过发现目前未知的广告/跟踪脚本来增强过滤器列表，以及主动检测列表管理员错误添加的脚本。

论文链接：https://doi.org/10.1145/3576915.3616637

207、Realistic Website Fingerprinting By Augmenting Network Traces

网站指纹识别（WF）被认为是对Tor用户（和其他匿名系统）匿名性的主要威胁。……具体而言，我们引入了NetAugment，一种针对Tor痕迹规范的增强技术。我们通过半监督和自监督学习技术来实例化NetAugment。我们广泛的开放世界和封闭世界实验表明，在实际评估设置下，我们的WF攻击比最先进的技术提供了更优的性能；这是由于它们使用增强的网络痕迹进行训练，这使得它们能够在不可观察的设置（例如未知带宽、Tor电路等）中学习目标流量的特征。例如，在封闭世界场景中进行5次学习时，当在WF对手不可观察的设置中收集评估痕迹时，我们的自监督WF攻击（名为NetCLR）达到80%的准确率。这与最先进的三重指纹识别技术[34]的准确率64.4%相比。我们相信，我们工作的良好结果可以鼓励在其他类型的网络流量分析中使用网络跟踪增强。

论文链接：https://doi.org/10.1145/3576915.3616639

208、Realizing Flexible Broadcast Encryption: How to Broadcast to a Public-Key Directory

假设用户想要向K个接收者广播加密消息。使用公钥加密，发送者将构造K个不同的密文，每个接收者一个。然后广播消息的大小与K呈线性关系。一个自然的问题是发送者是否可以使用大小与接收者数量呈非线性关系的密文加密消息。……我们提供了一种灵活的广播加密方案的实现，该方案是通过将我们的编译器应用于Kolonelos、Malavolta和Wee的分布式广播加密方案（ASIACRYPT 2023）而获得的。通过我们的方案，发送者可以将128位对称密钥加密到1000多个收件人（来自拥有100万用户的目录）的2~KB密文中……

论文链接：https://doi.org/10.1145/3576915.3623168

209、Recovering Fingerprints from In-Display Fingerprint Sensors via Electromagnetic Side Channel

最近，显示屏指纹传感器在新发布的智能手机中得到了广泛采用。然而，我们发现这种新技术在屏幕解锁过程中会通过电磁（EM）侧信道泄露用户指纹的信息，该信道可用于恢复指纹。我们提出了FPLogger来证明这种新型侧信道攻击的可行性。具体来说，它利用用户按下显示屏指纹传感器时发出的EM辐射来提取指纹信息，然后将捕获的EM信号映射到指纹图像，并开发3D指纹片来欺骗和解锁智能手机。我们广泛评估了FPlogger在配备光学和超声波显示屏指纹传感器的五款商用智能手机上的有效性，结果表明它在恢复指纹图像方面取得了可喜的相似性。此外，50次端到端欺骗攻击的结果也表明，FPLogger在欺骗五种不同的智能手机时取得了24%（前1名）和54%（前3名）的成功率。

论文链接：https://doi.org/10.1145/3576915.3623153

210、Recursion over Public-Coin Interactive Proof Systems; Faster Hash Verification

SNARK是一个著名的密码工具家族，在计算完整性领域中越来越多地被大规模使用。在这个领域，多项工作引入了SNARK友好的密码原语：散列，以及加密和签名验证。尽管人们努力创建可以更快证明的密码原语，但在实践中仍然存在一个主要的性能漏洞。在这篇论文中，我们提出了一种递归技术，与使用Groth16（Eurocrypt 2016）证明来证明MiMC散列（一种SNARK友好的散列函数，Albrecht等人，2016）相比，可以提高证明器的效率。我们使用GKR（Goldwasser等人提出的著名的公共硬币论证系统，2008年STOC）来证明哈希计算的完整性，并将GKR验证器嵌入到SNARK电路中。挑战来自GKR是一个公共硬币交互协议，并且应用Fiat-Shamir可能会比直接应用现有技术导致更糟糕的性能。这是因为Fiat-Shamir本身涉及对大字符串的哈希计算。我们利用SNARK方案通常具有的属性，构建一个协议，其中Fiat-Shamir哈希具有非常短的输入。我们提出的技术是通用的，可以应用于任何SNARK友好的哈希，最著名的SNARK方案，以及任何（一轮）公共硬币论证系统，以代替GKR。我们强调，虽然我们的通用编译器在随机预言模型中是安全的，但我们的具体实例化（即 GKR 加上外部 SNARK）仅被证明是启发式安全的。这是由于我们首先需要将 GKR 协议转换为单轮协议。因此，从第二轮开始，GKR 的随机预言被替换为外部 SNARK 内部的具体哈希，这使得安全证明具有启发式。

论文链接：https://doi.org/10.1145/3576915.3623078

211、RetSpill: Igniting User-Controlled Data to Burn Away Linux Kernel Protections

利用控制流劫持原语（CFHP）获取root权限对于试图利用Linux内核漏洞的攻击者来说至关重要。随着安全研究人员提出了强大的内核安全缓解措施，这种攻击变得越来越难以捉摸，导致开发了复杂（作为一种权衡，脆弱且不可靠）的攻击技术来重新获得它。在本论文中，我们通过提出RetSpill来消除复杂性的需求，这是一种强大而优雅的利用技术，利用已经存在于内核栈上的用户空间数据进行特权提升。

RetSpill利用通常的做法，即在内核栈上临时存储数据，例如在从用户空间切换到内核空间时保存用户空间寄存器值。我们进行了系统研究，并确定了四种常见的做法，将用户空间数据溢出到内核栈。尽管这种做法完全符合内核的安全规范，但当与控制流劫持（CFH）漏洞配对时，它引入了一条新的利用路径，使RetSpill能够可靠地将这些漏洞直接转化为特权提升。此外，RetSpill可以绕过当前部署在Linux内核中的许多防御措施。为了展示这个问题的严重性，我们收集了22个真实世界的内核漏洞，并构建了一个半自动化工具，以半自动化的方式滥用故意存储在内核栈上的用户空间数据进行内核利用。我们的工具为22个CFH漏洞中的20个生成了端到端的特权提升利用。最后，我们提出了一种新的机制来防御这种攻击。

论文链接：https://doi.org/10.1145/3576915.3623220

212、Riggs: Decentralized Sealed-Bid Auctions

我们引入了第一个使用定时承诺的完全去中心化的密封式拍卖的实用协议。定时承诺确保拍卖是公平的，即使所有参与者都在出价后退出，或者如果有n个竞标人串通试图了解第n个竞标人的出价。我们的协议依赖于一种新颖的不可篡改的定时承诺方案，该方案有效地支持范围证明，以确定竞标人有足够的资金来支付隐藏的出价。这使我们能够惩罚那些放弃出价的用户，而支持在多个拍卖中同时出价，共享抵押池。我们的协议非常有效，我们已经在以太坊兼容的智能合约中实现了它们，该智能合约可以自动执行拍卖数字资产的支付和交付。

论文链接：https://doi.org/10.1145/3576915.3623182

213、SHERLOC: Secure and Holistic Control-Flow Violation Detection on Embedded Systems

基于微控制器的嵌入式系统通常使用低级语言进行编程，容易受到控制流劫持攻击。一种防止此类攻击的方法是强制执行控制流完整性（CFI），但内联CFI强制执行在嵌入式系统中可能构成挑战。例如，它增加了二进制文件的大小并改变了内存布局。基于跟踪的控制流违规检测（CFVD）提供了一种不需要对受保护的软件进行仪器检测或改变其内存布局的替代方案。然而，台式系统中使用的现有CFVD方法需要修改内核以存储和分析跟踪，这限制了它们用于监视未经授权的应用程序。但是，嵌入式系统是中断驱动的，大部分处理发生在特权模式下。因此，提供一种全面的、面向系统的CFVD解决方案至关重要，该解决方案可以监视特权和非特权组件内部和之间的控制流传输。本文中，我们提出了SHERLOC，一种为基于微控制器的嵌入式系统设计的安全和整体控制流违规检测机制。SHERLOC通过配置硬件跟踪单元、存储跟踪记录并在可信执行环境中执行违规检测算法来确保安全性，这可以防止特权程序绕过监控或篡改跟踪。我们通过将问题形式化并监控非特权和特权程序的前后边缘，以及非特权和特权组件之间的控制流传输，解决了实现整体和面向系统的CFVD的挑战。具体而言，SHERLOC通过使用中断和调度感知违规检测算法克服了识别运行时合法异步中断和上下文切换的挑战。我们对ARMv8-M架构的评价证明了SHERLOC的有效性和效率。

论文链接：https://doi.org/10.1145/3576915.3623077

214、SalsaPicante: A Machine Learning Attack on LWE with Binary Secrets

学习误差（LWE）是一个坚实的数学问题，支撑着许多提出的后量子密码（PQC）系统。NIST[13]标准化的唯一PQC密钥交换机制（KEM）基于模块LWE[2]，而当前公开可用的PQ同态加密（HE）库基于环LWE。基于LWE的PQ密码系统的安全性至关重要，但某些实现选择可能会削弱它们。其中一个选择是稀疏二进制秘密，出于效率原因，对于PQ HE方案是可取的。先前的工作SALSA[51]展示了一种基于机器学习的攻击，该攻击针对小维数（n≤=128）和低汉明权重（h≤=4）的稀疏二进制秘密的LWE。然而，这种攻击需要访问数以百万计的窃听LWE样本，并且在更高的汉明权重或维度上失败。我们提出了PICANTE，一种基于稀疏二进制秘密的LWE增强机器学习攻击，可以在更大的维度（高达n=350）和更大的汉明权重（大约n/10，对于n=350，高达h=60）上恢复秘密。我们通过一种新颖的预处理步骤实现了这一巨大的改进，该步骤允许我们根据线性数量的窃听LWE样本（4n）生成训练数据，并改变数据的分布以改进变换器训练。我们还改进了SALSA的秘密恢复方法，并引入了一种新的跨注意力恢复机制，使我们能够直接从训练模型中读取秘密。虽然PICANTE不会威胁到NIST提出的LWE标准，但它表明了相对于SALSA的重大改进，并且可以进一步扩展，突显了未来对稀疏二进制秘密的机器学习攻击进行调查的必要性。

论文链接：https://doi.org/10.1145/3576915.3623076

215、Scalable Multiparty Garbling

多方乱序是常数轮安全多方计算（MPC）中最流行的方法。尽管是重大研究工作的重点，但将之前的多方乱序方法实例化为常数轮MPC，并不能实际容纳大量多方。在这项工作中，我们提出了第一个全球范围的多方乱序协议。我们协议的每方通信复杂度随着参与协议的各方数量的增加而降低，首次与非常数轮MPC协议的渐近通信复杂度相匹配。我们的协议在诚实多数设置中实现了恶意安全，并依赖于噪声学习方的难度假设。

论文链接：https://doi.org/10.1145/3576915.3623132

216、Secure and Timely GPU Execution in Cyber-physical Systems

图形处理单元（GPU）越来越多地部署在信息物理系统（CPS）上，经常用于执行实时安全关键功能，如自动驾驶汽车上的物体检测。因此，可用性对于CPS平台中的GPU任务非常重要。然而，现有的可信执行环境（TEE）解决方案具有可用性保证，但仅关注CPU计算。为了弥合这一差距，我们提出了AvaGPU，这是一种TEE，可保证在受损害的操作系统下涉及GPU执行的CPU任务的实时可用性。有三个技术挑战。首先，为了防止由于CPU和GPU任务的单独调度而导致的恶意资源争用，我们提出了一种CPU-GPU协同调度框架，将CPU和GPU任务的优先级结合起来。其次，我们提出了基于软件的安全抢占GPU任务，以限制GPU上的优先级反转程度。第三，我们提出了一种新的GPU驱动程序分割设计，该设计将可信计算基础（TCB）最小化，以实现CPS安全高效的GPU管理。我们在Jetson AGX Orin平台上实现了AvaGPU原型。该系统在基准测试、合成任务和实际应用中进行了评估，平均运行时开销为15.87%。

论文链接：https://doi.org/10.1145/3576915.3623197

217、Securely Sampling Discrete Gaussian Noise for Multi-Party Differential Privacy

差分隐私（DP）是一种广泛使用的技术，通过限制从汇总数据中推断出关于个人的信息来保护个人隐私。最近，人们一直在努力使用安全多方计算（MPC）来实现DP，以实现高实用性，而不需要可信的第三方。在MPC中实现DP的关键组件之一是噪声采样。我们的工作提出了第一个MPC解决方案，用于采样离散高斯分布，这是一种用于构建DP机制的常见噪声类型，与恶意安全MPC协议很好地配合。我们的解决方案是通用的，支持各种MPC协议和任何数量的各方，并且是高效的，主要依赖于位操作，避免使用超越函数或非整数运算进行计算。我们的实验表明，我们的方法可以在1.5分钟内生成215个离散高斯样本，标准差为20，安全参数为128。

论文链接：https://doi.org/10.1145/3576915.3616641

218、Securing NISQ Quantum Computer Reset Operations Against Higher Energy State Attacks

在不同用户之间共享量子计算机需要安全重置操作，该操作可以将量子比特的状态重置为基态|0>，并防止状态泄漏到重置后的电路。这项工作强调了超导量子比特NISQ量子计算机中现有的重置操作并不完全安全。特别是，这项工作首次展示了一种新型的高能态攻击。虽然NISQ量子计算机通常被抽象为仅使用能量状态|0>和|1>，但这项工作表明，非特权用户可以将量子比特状态设置为|2>或|3>。通过打破二能级系统的抽象，新的高能态攻击可以被部署来影响电路的操作或用于电路之间的隐蔽通信。这项工作表明，常见的重置协议在重置高能态量子比特方面是无效的。为了提供防御，这项工作提出了一种新的级联安全重置（CSR）操作。CSR无需硬件修改，能够高效可靠地将高能态重置回|0>。CSR使|3>初始化状态泄漏信道容量减少了1到2个数量级，并且与默认退相干重置相比，速度提高了25倍。

论文链接：https://doi.org/10.1145/3576915.3623104

219、Security Verification of Low-Trust Architectures

从软件的角度来看，低信任架构适用于始终加密的数据，并大大减少了硬件对小型无软件飞地组件的信任。在这篇论文中，我们对一个特定的低信任架构——隔离加密（SE）架构进行了完整的正式验证，以表明该设计对于所有可能程序的数据直接泄露和数字侧通道都是安全的。我们首先定义了SE低信任架构ISA的安全要求。向上看，该ISA是软件硬件的抽象，用于显示任何包含这些指令的程序如何不会泄露信息，包括通过数字侧通道。向下看，该ISA是硬件的规范，用于定义ISA级安全要求引起的任何RTL实现中的证明义务。这些包括功能和数字侧通道泄漏。接下来，我们将展示如何使用商业形式验证工具成功履行这些证明义务。我们展示了RTL安全验证技术在SE架构的七个不同正确和有缺陷的实现中的有效性。

论文链接：https://doi.org/10.1145/3576915.3616643

220、Sharing Communities: The Good, the Bad, and the Ugly

共享社区有很多谜团，主要是因为它们隐藏的运作方式和加入的复杂性。然而，这些社区对安全生态系统至关重要，因此需要更深入的了解。此外，它们还面临着建立信任、有效沟通、解决社会问题等挑战。这项工作的目的是更好地了解共享社区的工作方法、组织结构、目标、利益和挑战，以帮助提高其有效性和效率。为了实现这一目标，我们对来自世界不同国家的25位参与各种共享社区的专家进行了视频访谈。此外，我们在分析过程中应用了社会技术系统（STS）理论，以阐述我们的访谈结果，确定它们之间的相关性，并探索共享社区的社会和技术要素之间的相互关系。我们的发现强调了需要全面了解共享社区的工作方式。考虑到不同要素之间的相互关系，尤其是社会关系，而不是孤立地看待单个方面，这一点至关重要。这种整体视角使我们能够更好地理解共享社区的复杂性和动态性，以及它们如何有效和高效地运作。这项研究的结果为共享社区的进一步发展提供了宝贵的动力，可以作为未来研究的基础。

论文链接：https://doi.org/10.1145/3576915.3623144

221、Short Privacy-Preserving Proofs of Liabilities

在涉及去中心化交易所的欺诈丑闻和个人遭受重大经济损失之后，监管机构面临着建立机制以在去中心化生态系统中实施客户保护和资本要求的压力。责任证明（PoL）就是这样一种机制：它允许证明者（例如交易所）向验证者（即客户）证明其责任。本文介绍了一种具有短证明的完全隐私保护PoL方案。我们将证明者的责任存储在一个新颖的数据结构中，稀疏求和Verkle树（SSVT），其中每个内部节点都是其子节点的隐藏向量承诺，其根承诺树中所有叶子之和。我们利用内积参数证明用户的责任包含在证明者的总责任中，而不会泄露任何超出责任范围的信息。我们的构建产生了大小为Ologn N的证明，其中n是SSVT的元数，N是用户数量的上限。此外，我们展示了如何使用聚合进一步优化证明大小。我们使用大小为2256的SSVT和大小为10^{9的SSVT作为基准，其中10}9的SSVT涵盖了所有美国社会保障号码。

论文链接：https://doi.org/10.1145/3576915.3616645

222、Shufflecake: Plausible Deniability for Multiple Hidden Filesystems on Linux

我们提出了Shufflecake，这是一种新的似是而非的可否认性设计，用于隐藏存储介质上加密数据是否存在，使对手很难证明这些数据是否存在。Shufflecake可以被认为是TrueCrypt和VeraCrypt等工具的“精神继承者”，但得到了极大的改进：它可以在Linux上本地运行，支持任何选择的文件系统，并且可以管理每个设备的多个卷，从而使对隐藏分区存在的可否认性变得非常合理。与基于ORAM的解决方案相比，Shufflecake非常快速和简单，但不提供针对多快照对手的本机保护。然而，我们讨论了其架构所实现的安全扩展，并展示了这些扩展可能足以挫败更强大的对手的证据。我们实现了Shufflecake作为Linux的内核工具，增加了有用的功能，我们对它的性能进行了基准测试，与基本加密系统相比，只出现了轻微的减速。我们认为Shufflecake对于那些言论自由受到压制当局或危险犯罪组织威胁的人来说是一个有用的工具，特别是：举报人、调查记者和压迫政权中的人权活动家。

论文链接：https://doi.org/10.1145/3576915.3623126

223、Silence is not Golden: Disrupting the Load Balancing of Authoritative DNS Servers

授权域名服务器被委托提供最终资源记录。由于DNS的安全性和稳健性对互联网的总体运行至关重要，域名所有者需要部署多个候选域名服务器以实现流量负载平衡。一旦负载平衡机制受到威胁，对手就可以操纵大量合法的DNS请求到指定的候选域名服务器。因此，它不仅可以绕过用于过滤恶意流量的防御机制，这些流量可能会使受害者域名服务器过载，而且降低了DNS流量劫持和缓存中毒攻击的门槛。在这项研究中，我们报告了一类DNS漏洞，并提出了一种名为Disablance的新攻击。我们提出的攻击允许对手以低成本悄悄破坏权威域名服务器的DNS负载平衡。通过执行少数精心设计的请求，对手可以操纵给定的DNS解析器，在一段时间内使特定的权威服务器过载。因此，Disablance可以将所有托管域名的良性DNS请求重定向到特定的域名服务器，并破坏负载平衡机制。上述攻击破坏了DNS解析的鲁棒性，增加了单点故障的安全威胁。我们广泛的研究证明了Disablance的安全威胁是现实存在的，并且很普遍。首先，我们证明了主流DNS实现，包括BIND9、PowerDNS和Microsoft DNS，都容易受到Disablance的攻击。其次，我们开发了一个测量框架来测量在野的易受攻击的权威服务器。前100万个FQDN中有22.24%和前100万个SLD中有3.94%被证明是Disablance的受害者。我们的测量结果还显示，37.88%的稳定开放解析器和14个流行的公共DNS服务中的10个可被用于进行阻断，包括Cloudflare和Quad9。此外，通过与世界领先的DNS服务提供商进行深入讨论，观察并确认了阻断的关键安全威胁。我们已经报告了发现的漏洞，并向受影响的供应商提供了建议。到目前为止，腾讯云（DNSPod）和亚马逊已根据我们的建议采取行动修复此问题。

论文链接：https://doi.org/10.1145/3576915.3616647

224、Simplifying Mixed Boolean-Arithmetic Obfuscation by Program Synthesis and Term Rewriting

混合布尔代数（MBA）混淆将程序表达式转换为等价的但复杂的难以理解的表达式。MBA混淆因其简单性和有效性而受到保护，以防止程序被逆向工程。然而，它也被用于逃避恶意软件检测，需要开发有效的MBA解混淆技术。现有的解混淆方法受到以下四种限制的困扰：（1）缺乏普遍适用性，（2）缺乏灵活性，（3）缺乏可扩展性，以及（4）缺乏正确性。在这篇论文中，我们提出了一种通用的MBA解混淆方法，该方法将程序合成、项重写和代数简化方法协同结合。我们方法的关键新颖之处在于，我们对解混淆的转换规则进行即时学习，并将其应用于重写输入的MBA表达式。我们在名为ProMBA的工具中实现了我们的方法，并在4000多个由最先进的混淆工具混淆的MBA表达式上对其进行评估。实验结果表明，我们的方法远远优于最先进的MBA解混淆工具，成功地将绝大多数混淆表达式简化为原始形式。

论文链接：https://doi.org/10.1145/3576915.3623186

225、SkillScanner: Detecting Policy-Violating Voice Applications Through Static Analysis at the Development Phase

亚马逊 Alexa 市场是最大的语音个人助理 (VPA) 平台，在技能商店中发布了 100,000 多个语音应用程序（即技能）。为了保持语音应用程序的质量和可信度，亚马逊 Alexa 实施了一套第三方技能开发者必须遵守的政策要求。然而，最近的工作表明，在当前的技能商店中，违反政策的技能普遍存在。为了了解技能中违反政策的原因，我们首先对 34 名第三方技能开发者进行了用户研究，重点关注他们是否了解亚马逊 Alexa 平台定义的各种政策要求。我们的用户研究结果显示，VPA 的政策要求与技能开发者的实践之间存在显著差距。因此，违反政策的技能被发布是不可避免的。为了防止新的违反策略的技能从源头流入技能库，在开发阶段识别潜在的违反策略的行为至关重要。在这项工作中，我们设计并开发了SkillScanner，这是一种高效的静态代码分析工具，可帮助第三方开发人员在技能开发生命周期的早期检测违反策略的行为。为了评估SkillScanner的性能，我们对从GitHub收集的2,451个开源技能进行了实证研究。SkillScanner有效地从786个技能中识别出1,328个不同的违反策略的行为。我们的结果表明，这些违反策略的行为中有32%是通过代码复制（即代码复制和粘贴）引入的。特别是，我们发现来自潜在的 Alexa 官方帐户（例如 GitHub 上的“alexa”和“alexa-samples”）的 42 个技能代码示例包含违反政策的行为，由于这些 Alexa 代码示例中的复制粘贴代码片段，导致其他技能中存在 81 次违反政策的行为。

论文链接：https://doi.org/10.1145/3576915.3616650

226、SpecVerilog: Adapting Information Flow Control for Secure Speculation

为了解决瞬态执行漏洞，处理器架构师提出了防御性设计和对其提供的安全性进行形式化描述。然而，这些设计通常没有经过形式化证明来强制执行所声称的保证；更重要的是，很少有工具可以自动确保寄存器传输级别（RTL）描述忠实于高级设计。

在本论文中，我们展示了如何扩展现有的安全类型硬件描述语言，以表达推测性安全条件并验证可合成实现的安全性。我们的工具可以在不需要手动证明的情况下静态验证RTL硬件设计是否没有瞬态执行漏洞。我们的关键见解是，擦除标签可以被适应为静态可检查的形式，并表示短暂访问或修改的数据及其在错误推测下的强制擦除。此外，我们展示了如何使用擦除标签来捍卫对推测性安全的强大形式定义。为了验证我们的方法，我们实现了几个对于推测性乱序处理器至关重要且常见的瞬态执行漏洞向量的组件。我们展示了现有防御的安全性可以被正确验证，并且检测到必要防御的缺失作为潜在漏洞。

论文链接：https://doi.org/10.1145/3576915.3623074

227、Specification and Verification of Side-channel Security for Open-source Processors via Leakage Contracts

最近，泄漏合约被提出作为指令集架构（ISA）级别的新安全抽象。泄漏合约旨在捕获处理器通过其微体系结构实现泄漏的信息。然而，到目前为止，我们缺乏一种方法来验证处理器是否实际满足给定的泄漏合约。在这篇论文中，我们通过开发LeaVe来解决这一挑战，这是第一个针对ISA级泄漏合约验证寄存器传输级（RTL）处理器设计的工具。为此，我们展示了如何将安全性和功能正确性分开。LeaVe利用这种分离来使合约满足的验证变得切实可行。为了扩展到实际的处理器设计，LeaVe进一步在关系抽象上采用了归纳推理。使用LeaVe，我们精确地描述了三个开源RISC-V处理器的侧信道安全保证，从而获得了RTL处理器设计合同满足性的第一个证明。

论文链接：https://doi.org/10.1145/3576915.3623192

228、Speranza: Usable, Privacy-friendly Software Signing

用于大规模开放软件分发的软件存储库是安全攻击的重要载体。软件签名提供了真实性，减轻了许多此类攻击。开发人员管理的签名密钥带来了可用性挑战，但基于证书的系统引入了隐私问题。这项工作，Speranza，使用证书来验证软件真实性，但仍然使用零知识身份共同承诺为签名者提供匿名性。在Speranza中，签名者使用自动证书颁发机构（CA）创建私有身份绑定签名和授权证明。验证者检查签名者是否有权发布包，而无需了解签名者的身份。包存储库私下记录每个包的授权签名者，但仅在公共地图中发布对身份的承诺。然后，在颁发证书时，CA将证书颁发给同一身份的不同承诺。然后，签名者创建了一个零知识证明，证明这些是共同承诺。我们为Speranza实施了一个概念验证。我们发现，即使对于拥有数百万个包的存储库，维护者（签名）和最终用户（验证）的成本也很小（亚毫秒级）。受最近密钥透明度系统启发的技术将服务授权策略的带宽减少到2 KiB。这个系统中的服务器成本可以忽略不计。我们的评估发现，Speranza在最大的软件存储库规模上是实用的。我们还强调了这个项目的实用性和可部署性。通过在现有技术的基础上，采用相对简单和成熟的加密技术，Speranza可以部署为大规模使用，只需要几百行代码，对现有基础设施的改动最小。Speranza是将隐私和真实性结合在一起的一种实用方法，适用于更值得信赖的开源软件。

论文链接：https://doi.org/10.1145/3576915.3623200

229、Splice: Efficiently Removing a User’s Data from In-memory Application State

Splice是一种新的编程框架，允许具有安全意识的应用程序有效地定位和删除用户的内存状态。核心技术挑战是确定如何在不破坏涉及剩余用户内存状态的应用程序特定语义不变性的情况下删除用户的内存值。Splice使用三种技术解决了这个问题：污点跟踪（跟踪用户数据如何通过内存流动），合成删除（覆盖每个用户拥有的内存值，用保留封闭数据结构的符号约束的值替换它），以及一种新型类型系统（迫使应用程序采用防御性编程，以避免以不安全的方式计算合成删除的值）。使用我们移植到Splice的四个现实应用程序，我们表明Splice的类型系统和防御性编程要求对开发人员来说并不繁重。我们还证明，Splice的运行时开销与之前的污点跟踪系统类似，同时实现了强大的删除语义。

论文链接：https://doi.org/10.1145/3576915.3623070

230、Stateful Defenses for Machine Learning Models Are Not Yet Secure Against Black-box Attacks

最近的工作提出了状态防御模型（SDM），作为防御黑盒攻击者的有力策略，黑盒攻击者只能查询模型，这是在线机器学习平台的常见情况。这种状态防御旨在通过跟踪查询历史和检测并拒绝“相似”查询来防御黑盒攻击，从而防止黑盒攻击者在合理的查询预算内找到有用的梯度并取得进展，从而找到对抗攻击。最近的SDM（例如Blacklight和PIHA）在防御最先进的黑盒攻击方面取得了显着的成功。在这篇论文中，我们表明SDM极易受到一类新的自适应黑盒攻击。我们提出了一种新的自适应黑盒攻击策略，称为Oracle-guided Adaptive Rejection Sampling（OARS），该策略涉及两个阶段：（1）使用初始查询模式来推断SDM防御的关键属性；（2）利用这些提取的属性来设计后续查询模式，以逃避SDM的防御，同时逐步找到对抗性输入。OARS广泛适用于增强现有黑盒攻击-我们展示了如何应用该策略来增强六种常见的黑盒攻击，以更有效地对抗当前类别的SDM。例如，OARS增强的黑盒攻击版本在合理的查询预算内，提高了多个数据集对最近有状态防御的攻击成功率，从几乎0%提高到几乎100%。

论文链接：https://doi.org/10.1145/3576915.3623116

231、Stealing the Decoding Algorithms of Language Models

从现代语言模型（LM）生成文本的一个关键组成部分是解码算法的选择和调优。这些算法决定了如何从 LM 生成的内部概率分布中生成文本。选择解码算法并调整其超参数的过程需要大量的时间、人工努力和计算，还需要大量的人工评估。因此，此类解码算法的身份和超参数被认为对其所有者来说非常有价值。在这项工作中，我们首次表明，对LM具有典型API访问权限的对手可以以非常低的货币成本窃取其解码算法的类型和超参数。我们的攻击对文本生成API中使用的流行LM有效，包括GPT-2、GPT-3和GPT-Neo。我们证明了仅用几美元（例如，GPT-3的四个版本分别为0.8、1、4和40美元）窃取此类信息的可行性。

论文链接：https://doi.org/10.1145/3576915.3616652

232、Stealth Key Exchange and Confined Access to the Record Protocol Data in TLS 1.3

我们展示了如何在常规的 TLS 1.3 执行中嵌入一个秘密密钥交换子协议，除了常规的会话密钥外，还生成了一个隐秘密钥。这个想法之前在文献中已经出现，是使用交换的随机数来传输另一个密钥值。我们的贡献是给出了这种嵌入式密钥交换的安全性的严格模型和分析，要求隐秘密钥保持安全，即使常规密钥处于对抗控制之下。特别是对于我们的隐秘版本的 TLS 1.3 协议，我们证明了这个额外的密钥在 TLS 协议的常见假设下在这种设置中是安全的。作为隐秘密钥交换的应用，我们讨论了可净化的通道协议，其中指定的一方可以部分访问和修改通道协议中的有效负载数据。这可能是，例如，一个入侵检测系统，监控传入流量中的恶意内容，并将可疑部分隔离。从隐秘密钥交换部分继承下来的一个值得注意的特征是，发送方和接收方可以使用额外的密钥在可净化的通道内安全隐蔽地通信，例如通过预加密机密部分，并仅使专用部分可用于净化器。我们讨论了如何使用诸如GCM或ChaChaPoly之类的经过身份验证的加密方案来实现这种可净化的通道。结合我们的隐秘密钥交换协议，我们由此推导出一个完整的可净化的连接协议，包括密钥建立，该协议完全符合网络级别上的常规TLS 1.3流量。我们还评估了该方法对入侵检测系统Snort的潜在有效性。

论文链接：https://doi.org/10.1145/3576915.3623099

233、Stolen Risks of Models with Security Properties

可验证的鲁棒机器学习作为机器学习安全防御的新趋势，在机器学习模型上强制实施安全属性（例如Lipschitzness，Monotonicity），并实现了令人满意的精度-安全权衡。这些安全属性识别了机器学习安全攻击者的一系列规避策略，并指定了它们对分类器影响的逻辑约束（例如，分类器沿着某些特征维度单调递增）。然而，到目前为止，人们对这些安全属性对模型隐私的副作用知之甚少。在这篇论文中，我们的目标是更好地理解隐私对鲁棒机器学习模型安全属性的影响。特别是，我们报告了第一个测量研究，调查满足四个安全属性（即局部不变性、Lipschitzness、小邻域和单调性）的鲁棒模型的模型被盗风险。我们的发现揭示了影响模型窃取攻击和用安全属性训练的模型的防御性能的因素。此外，为了训练满足准确性、安全性和隐私性目标的ML模型，我们提出了一种称为BoundaryFuzz的新技术，该技术将隐私属性引入可验证的鲁棒训练框架中，以防御对鲁棒模型的模型窃取攻击。实验结果证明了BoundaryFuzz的防御有效性。

论文链接：https://doi.org/10.1145/3576915.3616653

234、SymGX: Detecting Cross-boundary Pointer Vulnerabilities of SGX Applications via Static Symbolic Execution

Intel Security Guard Extensions (SGX)在关键数据保护方面显示出了有效性。最近基于符号执行的技术揭示了SGX应用程序容易受到内存损坏漏洞的影响。虽然现有方法主要关注SGX应用程序中ECalls中的常规内存损坏问题，但忽视了一种重要类型的SGX漏洞：跨边界指针漏洞。这种漏洞对于SGX应用程序来说至关重要，因为它们在安全飞地和不可信环境之间广泛使用指针来交换数据。不幸的是，由于缺乏适当处理SGX应用程序的三个特性（多入口任意顺序执行、有状态执行和上下文敏感指针），导致现有符号执行方法无法检测跨边界指针漏洞。为解决这些问题，我们提出了一个名为具有上下文敏感指针的全局状态转换图（GSTG-CAP）的新分析模型，该模型模拟SGX应用程序的保持属性的执行行为，并驱动符号执行进行漏洞检测。基于GSTG-CAP，我们构建了一个名为SYMGX的新颖的基于符号执行的漏洞检测器，用于检测跨边界指针漏洞。根据我们的评估，SYMGX能够在14个开源项目中找到30个0-DAY漏洞，其中三个已经得到开发人员的确认。SYMGX在效果、效率和准确性方面也优于两个最先进的工具COIN和TeeRex。

论文链接：https://doi.org/10.1145/3576915.3623213

235、SysPart: Automated Temporal System Call Filtering for Binaries

限制应用程序可用的系统调用会减少内核的攻击面，并限制受感染应用程序可用的功能。最近的方法会自动识别程序所需的系统调用以阻止不需要的系统调用。对于服务器，它们甚至考虑了执行的不同阶段，以在初始化完成后加强限制。然而，它们需要访问应用程序和库的源代码，依赖于用户识别服务器从初始化到为客户服务时的过渡，或者不考虑动态加载的库。本文介绍了一种自动系统调用过滤系统SYSPART，该系统专为二进制服务器程序设计，解决了上述限制。SYSPART使用一种结合静态和动态分析的新算法，识别服务器所有工作线程的服务阶段。静态分析用于以合理的方式计算各个服务阶段所需的系统调用，动态观察仅用于在必要时补充动态加载库的静态解析。我们使用x86-64 Linux上的六种流行服务器对SYSPART进行了评估，以证明其在自动识别服务阶段、生成准确的系统调用过滤器和缓解攻击方面的有效性。我们的结果表明，SYSPART优于之前的仅二进制方法，与源代码方法相比表现相当。

论文链接：https://doi.org/10.1145/3576915.3623207

236、SysXCHG: Refining Privilege with Adaptive System Call Filters

我们介绍了SysXCHG的设计、实现和评估：一个系统调用（的系统调用）过滤执行机制，使程序能够按照最小特权原则运行。与当前seccomp-BPF的分层设计不同，该设计不允许程序运行时使用与其后代不同的允许的系统调用集，SysXCHG使应用程序能够运行“严格”的系统调用过滤器，不受任何未来执行的（子）程序的影响，允许过滤器在execve[at]期间在运行时动态交换。作为SysXCHG的一部分，我们还介绍了xfilter：一种使用内核的系统调用表特定视图进行快速过滤的机制，其中执行过滤。在评估SysXCHG时，我们发现我们的过滤器交换设计性能良好，在PaSH基准测试套件中的实际程序中，其性能下降≤= 1.71%，并且有效阻止了大量无关功能，包括安全关键的系统调用，这是seccomp-BPF的当前设计所无法实现的。

论文链接：https://doi.org/10.1145/3576915.3623137

237、SyzDirect: Directed Greybox Fuzzing for Linux Kernel

操作系统内核错误报告和补丁提交数量急剧增加，迫切需要在内核上进行错误重现和补丁程序测试。。针对特定代码部分进行压力测试的定向灰盒模糊测试（DGF）是一种有前景的方法，可用于错误重现和补丁程序测试。然而，现有的DGF方法仅针对用户空间应用程序，在内核方面存在局限性。特别是这些方法无法精确定位系统调用及其参数值，以到达目标位置，导致低效率和资源浪费。在这篇论文中，我们提出了SyzDirect，一个Linux内核的DGF解决方案。通过Linux内核的新颖、可扩展的静态分析，SyzDirect识别有价值的信息，如正确的系统调用和其参数的条件，以到达目标位置。在模糊测试期间，SyzDirect利用静态分析结果来指导测试用例的生成和变异，然后利用基于距离的反馈来进行种子优先级排序和功率调度。我们在Linux内核上评估了SyzDirect的错误复现和补丁测试。结果表明，与通用内核模糊器相比，SyzDirect可以再现320%的错误，并达到更多的目标修补程序（增加25.6%），还分别将错误再现和补丁的速度提高了154.3和680.9倍。

论文链接：https://doi.org/10.1145/3576915.3623146

238、Tainted Secure Multi-Execution to Restrict Attacker Influence

攻击者可以通过第三方脚本从网页中窃取敏感的用户信息。先前的工作表明，具有解密功能的安全多执行（SME）对于减轻此类攻击很有用，但攻击者可以利用动态Web功能解密更多内容。建议的解决方案不允许动态Web元素中的事件被解密，这限制了实际应用；从动态元素中解密事件的网站无法正常运行。在这篇论文中，我们提出了基于SME的新的信息流监控器SMT(T)，它在每次执行中使用污点跟踪来记住哪些内容受到了攻击者的影响。由此产生的监控器比先前的工作提出的监控器更加宽松，并且满足基于知识和影响的安全定义，分别用于机密性和完整性策略。我们还表明，基于影响的安全条件可以免费实现稳健的解密。最后，我们通过在轻量级Firefox上实现SMT(T)，研究了使用SME监控攻击者影响力的性能影响。

论文链接：https://doi.org/10.1145/3576915.3623110

239、Take Over the Whole Cluster: Attacking Kubernetes via Excessive Permissions of Third-party Applications

作为主要的容器编排系统，Kubernetes被许多公司和云供应商广泛使用。它在控制平面上运行第三方插件和应用程序（称为第三方应用程序）来管理整个集群。这些第三方应用程序的安全性对整个集群至关重要，但到目前为止还没有得到系统的研究。因此，本文分析了第三方应用程序的安全性，并揭示了第三方应用程序被授予过多的关键权限，攻击者可以利用这些权限逃离工作节点并接管整个Kubernetes集群。更糟糕的是，不同第三方应用程序的过多权限可以链接在一起，将非关键问题转变为严重的攻击媒介。为了系统地分析过度权限的可利用性，我们根据不同的攻击路径设计了三种策略。这三种策略可以直接通过第三方应用程序的DaemonSet或间接通过同一应用程序或另一个应用程序的关键组件窃取集群管理员权限。我们调查了实际生产环境中过度权限攻击的安全影响。我们分析了CNCF中的所有第三方应用程序，并发现153个应用程序中有51个（33.3%）存在潜在的安全风险。我们进一步扫描了四大云供应商提供的Kubernetes服务。结果表明，它们都容易受到过度权限攻击。我们将所有发现报告给相应团队，并从社区获得了8个新的CVE，并从谷歌获得了安全赏金。

论文链接：https://doi.org/10.1145/3576915.3623121

240、Targeted Attack Synthesis for Smart Grid Vulnerability Analysis

现代智能电网利用先进的传感器和数字通信来管理从发电源到消费点的电力流。它们还采用异常检测单元和相量测量单元（PMU）来安全监控电网行为。然而，由于智能电网是分布式的，需要漏洞分析来识别和减轻针对传感器和通信链路的潜在安全威胁。我们提出了一种新颖的算法，该算法使用测量参数（如功率流或负载流）来识别智能电网最脆弱的运行区间。我们的方法结合了蒙特卡洛模拟方法来识别这些区间，并部署了一个深度强化学习代理，在识别的区间内生成攻击向量，可以在尽可能短的时间内危害电网的安全性和稳定性，同时不会被本地异常检测单元和PMU检测到。我们的方法为有效的智能电网漏洞分析提供了一种结构化的方法，使系统运营商能够分析攻击参数对电网安全和稳定性的影响，并促进电网拓扑结构和运行参数的适当设计变更。

论文链接：https://doi.org/10.1145/3576915.3623155

241、The Danger of Minimum Exposures: Understanding Cross-App Information Leaks on iOS through Multi-Side-Channel Learning

长期以来，侧信道泄漏的研究一直集中在单个信道（内存、网络流量、电源等）的信息泄露上。较少研究的是从与目标活动（如网站访问）相关的多个侧信道学习的风险，即使单个信道对于有效攻击来说信息不足。虽然之前的研究在这个方向上迈出了第一步，但从一组全局统计数据推断iOS前台应用程序的操作，仍然不太清楚如何确定系统中所有与目标相关的侧信道泄露的最大信息，从这些泄露中可以了解目标，最重要的是，如何控制整个系统的信息泄露，而不仅仅是单个信道。为了回答这些基本问题，我们对多信道推理进行了第一次系统研究，重点放在iOS上。我们的研究基于一种名为“恶作剧”的新型攻击技术，该技术给定一组与目标活动（例如前台应用程序）相关的潜在侧通道，利用概率搜索来近似暴露最多信息的最佳通道子集，如Merit Score（一种基于相关性的特征选择度量）所测量的。在这样的最佳子集中，推理攻击被建模为多元时间序列分类问题，因此，最先进的基于深度学习的解决方案，特别是InceptionTime，可以应用于实现最佳结果。恶作剧被发现可以在今天的iOS（16.2）上有效工作，即使在开放世界场景中，也能以高置信度识别前台应用程序、网站访问和敏感的物联网操作（例如开门），这表明苹果对已知攻击的保护措施不足。同样重要的是，这种新的理解使我们能够开发更全面的保护，这可以将今天的侧通道研究从抑制单个通道的泄漏提升到控制整个系统的信息暴露。

论文链接：https://doi.org/10.1145/3576915.3616655

242、The Effectiveness of Security Interventions on GitHub

2017 年，GitHub 是第一个向用户显示安全警报的在线开源平台。此后，它引入了进一步的安全干预措施，以帮助开发人员提高其开源软件的安全性。在这项研究中，我们调查并比较了这些干预措施的效果。这为软件开发背景下的安全干预提供了宝贵的经验视角，以大量数据驱动的见解丰富了以定性研究和调查为基础的文献。我们对覆盖 50,000 多个 GitHub 存储库的大型样本的整个历史的安全更改提交进行了时间序列分析，以推断安全警报、安全更新和代码扫描干预的因果效应。我们的分析表明，虽然 GitHub 的所有安全干预措施都对安全有显著积极影响，但它们的效果大小差异很大。通过比较每种干预的设计，我们确定了效果良好的构建块和效果不佳的构建块。我们还就从业者如何改进干预措施的设计以提高其有效性提出了建议。

论文链接：https://doi.org/10.1145/3576915.3623174

243、The Locality of Memory Checking

在扩展部署用于验证区块链系统中大量数据的经过身份验证的数据结构（例如，Merkle Patricia Tries）的推动下，我们开始系统地研究此类系统的I/O效率。我们首先探索了内存检查的基本局限性，这是之前提出的用于可验证存储的抽象，就其局部性而言，我们首次引入了一个复杂性度量，并将其定义为检查器必须查询的非连续内存区域的数量，以验证读取或写入查询。我们的中心结果是任何内存检查器的局部性的Ω（log n/log log n）下限。然后，我们将注意力转向（密集和稀疏）Merkle树，这是最著名的内存检查器之一，并为它们的局部性提供了更强的下限。例如，我们证明任何稠密的Merkle树布局的平均局部性至少为（1/3）log n。此外，如果我们允许节点复制，我们证明如果任何写操作最多具有多项式复杂度，则读取局部性不能小于log n/log log n。我们的下限帮助我们构造了两个新的局部性优化的身份验证数据结构（DupTree和PrefixTree），我们对其随机操作和实际工作负载进行了实现和评估，并且被证明优于传统的Merkle树，尤其是在叶子数量增加的情况下。

论文链接：https://doi.org/10.1145/3576915.3623195

244、Themis: Fast, Strong Order-Fairness in Byzantine Consensus

我们介绍了Themis，一种在n≥4f+1中最多有f个故障节点的（许可）拜占庭共识协议中引入公平交易排序的方案。Themis实施了迄今为止提出的公平排序的最强概念。它还实现了标准的活性，而不是以前工作在相同公平排序属性下的较弱概念。我们通过实验证明，Themis可以以最小的修改或性能开销集成到最先进的共识协议中。此外，我们介绍了一组实验，用于评估各种公平排序概念的实际强度以及公平排序协议对对抗操纵的弹性。我们使用这套实验来证明Themis实施的公平排序概念在实践中比竞争系统更强。我们相信，Themis为多种类型的交易顺序攻击提供了强有力的实际保护，例如当前影响常用智能合约系统的抢先交易和回滚交易。

论文链接：https://doi.org/10.1145/3576915.3616658

245、Threshold Signatures from Inner Product Argument: Succinct, Weighted, and Multi-threshold

阈值签名通过在一组签名者之间共享签名密钥来保护签名密钥，这样对手必须破坏阈值数量的签名者才能伪造签名。如果签名者具有不同的权重，则现有的具有简洁签名和恒定验证时间的阈值签名不起作用。这种加权设置在去中心化系统中越来越重要，特别是在权益证明区块链中。本文提出了一种用于配对和基于离散对数的密码系统的阈值签名的新范式。我们的方案具有一个由7个群元素组成的紧凑验证密钥，以及一个由8个群元素组成的签名。验证签名需要8次求幂和8次双线性配对。我们的方案支持签名者之间的任意权重分布和任意阈值。它需要在通用tau幂设置后进行非交互式预处理。我们在代数群模型中证明了我们的方案的安全性，并使用 Golang 实现了它。我们的评估表明，我们的方案实现了与标准（未加权）门限签名相当的签名大小和验证时间。与现有的多重签名方案相比，我们的方案具有更小的公共验证密钥。

论文链接：https://doi.org/10.1145/3576915.3623096

246、TileMask: A Passive-Reflection-based Attack against mmWave Radar Object Detection in Autonomous Driving

在自动驾驶中，毫米波雷达因其在不同天气和光照条件下的鲁棒性和可靠性而被广泛用于目标检测。对于雷达目标检测，深度神经网络（DNN）正变得越来越重要，因为它们更鲁棒、更准确，并且可以提供关于检测目标的丰富语义信息，这对自动驾驶汽车（AV）做出决策至关重要。然而，最近的研究表明，DNN容易受到对抗性攻击。尽管基于DNN的雷达目标检测模型发展迅速，但还没有关于它们易受对抗性攻击的研究。尽管提出了一些欺骗攻击方法，通过使用一些特殊设备主动发送特定信号来攻击雷达传感器，但这些攻击需要在设备和雷达之间进行亚纳秒级同步，并且成本很高，这限制了它们在现实世界中的实用性。此外，这些攻击方法无法有效地攻击基于DNN的雷达目标检测。为了解决上述问题，本文研究了使用少量对抗物体通过被动反射攻击基于DNN的雷达目标检测模型的可能性。这些物体可以使用3D打印和金属箔以低成本轻松制造。通过将这些对抗物体放置在目标车辆的某些特定位置，我们可以很容易地欺骗受害者AV的雷达目标检测模型。实验结果表明，攻击者仅使用两个对抗物体并将其作为汽车标志隐藏，就可以实现攻击目标，这些物体具有良好的隐身性和灵活性。据我们所知，这是第一次使用低成本、易于获得且易于隐藏的几何形状物体对基于DNN的雷达目标检测模型进行基于被动反射的攻击。

论文链接：https://doi.org/10.1145/3576915.3616661

247、Towards Generic MPC Compilers via Variable Instruction Set Architectures (VISAs)

在MPC中，我们通常将程序表示为电路。这对于使用复杂控制流的程序来说很不合适，因为将控制流编译为电路的成本很高。这促使了之前在MPC中模拟CPU的工作。模拟的CPU可以运行复杂的程序，但由于需要评估的不仅是程序，还有CPU的机制，包括取指令、解码和执行指令、访问RAM等，因此它们引入了很高的开销。因此，电路和CPU模拟似乎都不适合一般的MPC。前者不能扩展到任意程序；后者导致每次操作的高开销。我们提出了可变指令集架构（VISA），这是一种继承了电路和CPU模拟最佳特征的方法。与CPU不同，VISA机器反复执行整个程序片段，而不是单个指令。通过考虑更大的构建块，我们避免了与CPU仿真相关的大部分机制：我们将每个片段直接处理为电路。我们通过乱码电路（GC）实例化VISA机器，为任意汇编程序产生恒定回合2PC。我们使用改进的分支（堆栈乱码，Heath和Kolesnikov，Crypto 2020）和最近的乱码RAM（GRAM）（Heath等人，Eurocrypt 2022）。安全有效地组合这些是复杂的，也是我们的主要贡献之一。我们实现了我们的方法，并在常见的程序上运行，包括Dijkstra和Knuth-Morris-Pratt。我们的2PC VISA机器根据目标程序以300Hz到4000Hz的速度执行汇编指令。我们显著优于基于CPU的最先进方法（Wang等人，ESORICS 2016，我们在我们的设置上重新基准测试了他们的工具）。我们以恒定回合运行，使用6倍的带宽，在低延迟网络上运行40倍以上。在50ms（100ms）的延迟下，我们在相同的设置上快898倍（1585倍）。虽然我们的重点是MPC，但VISA模型也有利于基于CPU模拟的零知识证明编译器，如ZEE和EZEE（Heath等人，Oakland’21和Yang等人，EuroS&P’22）。

论文链接：https://doi.org/10.1145/3576915.3616664

248、Towards Practical Sleepy BFT

比特币最长链协议率先在动态参与下达成共识，也称为睡眠共识，节点不需要永久活动。然而，睡眠共识的现有解决方案仍然面临两个主要问题，我们在本文中进行了阐述。首先，现有的睡眠共识协议具有高延迟（无论是渐进式还是具体式）。我们解决了这个问题，并在最佳情况下实现了4Δ延迟（Δ是网络延迟的界限），这与没有动态参与支持的传统BFT协议相当。其次，现有协议必须假设腐败参与者在协议的整个生命周期内保持不变，这是由于我们称之为无成本模拟的问题。我们解决了这个问题，并支持腐败节点越来越多的参与。我们的新协议还提供了其他几个重要优势，包括支持诚实参与的任意波动，以及新活动节点的有效恢复机制。

论文链接：https://doi.org/10.1145/3576915.3623073

249、Transformer-based Model for Multi-tab Website Fingerprinting Attack

虽然匿名通信系统Tor可以保护用户隐私，但网站指纹识别（WF）攻击者仍然可以通过分析网络通信过程中生成的元数据来识别用户通过加密网络连接访问的网站。尽管近年来出现了新的WF攻击技术，但该领域的大多数研究都集中在单标签浏览行为产生的纯流量痕迹上。然而，多标签浏览行为严重降低了基于单标签假设的WF分类模型的性能。因此，一些研究将重点转向多标签WF攻击，尽管这些工作大多限制了多标签痕迹中包含的混合信息的利用。在这篇论文中，我们提出了一种端到端的多标签WF攻击模型，称为基于Transformer的多标签网站指纹识别攻击模型（TMWF）。受计算机视觉中的目标检测算法的启发，我们将多标签WF识别视为预测最大长度有序集的问题。通过向检测模型添加足够的单标签查询，并让每个查询从多标签轨迹的不同位置提取WF特征，我们模型的Transformer架构更充分地利用了轨迹特征。与我们的新提出的模型训练方法相结合，我们实现了对具有不同数量的网页的多标签轨迹的自适应识别。这种方法成功消除了多标签WF攻击领域中一个强烈且不切实际的假设——样本中包含的标签数量属于攻击者的先验知识。各种场景下的实验结果表明，TMWF的性能明显优于现有的多标签WF攻击模型。为了评估更真实场景中的模型性能，我们提供了一个从真实开放世界环境中收集的多标签轨迹数据集。

论文链接：https://doi.org/10.1145/3576915.3623107

250、Travelling the Hypervisor and SSD: A Tag-Based Approach Against Crypto Ransomware with Fine-Grained Data Recovery

如今，勒索软件已经从经济上的滋扰演变为国家安全威胁，对用户构成了重大风险。为了解决这个问题，我们提出了基于标签的RansomTag方法，该方法针对加密勒索软件，具有细粒度数据恢复功能。与基于SSD的最新解决方案相比，RansomTag在三个方面取得了进展。首先，它将勒索软件检测功能从SSD的固件中分离出来，并将其集成到轻量级I型管理程序中。因此，它可以利用主机系统的强大计算能力和从操作系统中获得的丰富上下文信息，准确检测勒索软件攻击，并防御针对SSD特征的潜在针对性攻击。此外，由于其旁路架构，RansomTag易于部署到台式个人电脑上。其次，RansomTag通过我们提出的基于标签的方法弥合了管理程序和SSD之间的语义鸿沟。第三，RansomTag能够保留被勒索软件覆盖或删除的用户数据的100%，并根据时间戳将任何单个或多个用户文件还原到任何版本。为了验证我们的方法，我们实现了RansomTag的原型，并收集了3,123个最近的勒索软件样本对其进行评估。评估结果表明，我们的原型有效地保护了用户数据，具有最小规模的数据备份和可接受的性能开销。此外，所有被攻击的文件都可以在细粒度上完全恢复。

论文链接：https://doi.org/10.1145/3576915.3616665

251、TsuKing: Coordinating DNS Resolvers and Queries into Potent DoS Amplifiers

本文提出了一种新的DNS放大攻击，名为TsuKing。TsuKing不是独立利用单个DNS解析器来实现放大效果，而是巧妙地协调众多易受攻击的DNS解析器，精心制作查询，形成强大的DoS放大器。我们证明，使用TsuKing，初始的小放大因子可以通过协调放大器的内部层呈指数级增长，从而形成极其强大的放大攻击。TsuKing有三个变种，包括DNSRetry、DNSChain和DNSLoop，它们都利用了一系列不一致的DNS实现来实现巨大的放大效果。通过全面的测量，我们发现130万个开放DNS解析器中约有14.5%可能受到TsuKing的攻击。现实世界的控制评估表明，攻击者可以实现至少3,700X（DNSChain）的数据包放大因子。我们已经向受影响的供应商报告了漏洞，并向他们提供了缓解建议。我们收到了6家供应商的积极回应，包括Unbound、MikroTik和AliDNS，并分配了3个CVE。其中一些供应商正在实施我们的建议。

论文链接：https://doi.org/10.1145/3576915.3616668

252、TunneLs for Bootlegging: Fully Reverse-Engineering GPU TLBs for Challenging Isolation Guarantees of NVIDIA MIG

最近的研究揭示了现代 CPU 的翻译后备缓冲区 (TLB) 的许多详细信息，但我们发现现代 GPU 中此类组件的许多属性仍然未知或不清楚。为了填补这一知识空白，我们开发了一种新的 GPU TLB 逆向工程方法，并将其应用于图灵和安培时代的各种消费级和服务器级 GPU。除了学习更全面和准确的 GPU TLB 属性外，我们还发现了 NVIDIA Multi-Instance GPU (MIG) 功能的设计缺陷。 MIG 声称对整个 GPU 内存系统进行完全分区，以确保云计算中的 GPU 共享。然而，我们惊讶地发现 MIG 没有对最后一级 TLB 进行分区，该 TLB 由 GPU 中的所有计算单元共享。利用这一设计缺陷和TLB属性，我们能够构建一个跨MIG强制隔离的数据渗漏的隐蔽通道。据我们所知，这是对MIG的第一次攻击。我们在一个商业云平台上评估了提出的攻击，我们成功地以高达31kbps的速度从受害者租户那里实现了可靠的数据渗漏，准确率高达99.8%。即使受害者使用GPU进行深度神经网络训练，传输速度仍能达到25kbps以上，准确率超过99.5%。我们提出并实施了一种缓解方法，可以有效地阻止通过这个隐蔽通道的数据渗漏。此外，我们对利用最后一级TLB的访问模式进行了初步研究，以推断在其他MIG创建的GPU实例中运行的应用程序的身份。

论文链接：https://doi.org/10.1145/3576915.3616672

253、Turning Privacy-preserving Mechanisms against Federated Learning

最近，研究人员成功地利用图神经网络（GNN）构建了增强的推荐系统，因为它们能够从相关实体之间的交互中学习模式。此外，之前的研究已经将联邦学习作为主要解决方案，为构建全局GNN模型提供了一种本机隐私保护机制，而无需将敏感数据收集到单个计算单元中。然而，由于对联邦客户端生成的本地模型更新的分析可能会返回与敏感的本地数据相关的信息，因此可能会出现隐私问题。为此，研究人员提出了将联邦学习与差分隐私策略和社区驱动方法相结合的解决方案，其中包括将来自邻居客户端的数据结合起来，使单个本地更新对本地敏感数据的依赖性降低。在这篇论文中，我们发现了这种配置中的一个关键安全漏洞，并设计了一种能够欺骗联邦学习最新防御的攻击。提出的攻击包括两种操作模式，第一种模式侧重于收敛抑制（对抗模式），第二种模式旨在在全球联邦模型上构建欺骗性评级注入（后门模式）。实验结果表明，我们的攻击在两种模式下都有效，在所有对抗模式测试中平均返回60%的性能损失，在93%的后门模式测试中完全有效的后门。

论文链接：https://doi.org/10.1145/3576915.3623114

254、TxPhishScope: Towards Detecting and Understanding Transaction-based Phishing on Ethereum

以太坊的繁荣吸引了许多用户发送交易和交易加密资产。然而，这也引发了一种新的基于交易的网络钓鱼骗局，名为TxPhish。具体来说，在高额利润的诱惑下，用户被欺骗访问假网站并签署交易，使骗子能够窃取他们的加密资产。过去一年发生了11起大规模的TxPhish事件，造成的总损失超过7000万。在这篇论文中，我们对以太坊上的TxPhish进行了首次实证研究，包括TxPhishTxPhish活动的过程和网络钓鱼交易的详细信息。为了自动检测TxPhish网站并提取网络钓鱼账户，我们提出了TxPhish，它动态访问可疑网站，触发交易并模拟结果。在2022年11月25日至2023年7月31日期间，我们成功检测并报告了26,333个TxPhish网站和3,486个钓鱼账户。在所有记录的TxPhish网站中，78.9%是我们首次报告的，这使得TxPhish成为最大的TxPhish网站检测系统。此外，我们提供了四个钓鱼账户及其资金流共计150万的犯罪证据，以帮助受害者追回资金。此外，我们发现了六个以太坊项目的漏洞，并得到了赞赏。

论文链接：https://doi.org/10.1145/3576915.3623210

255、TypeSqueezer: When Static Recovery of Function Signatures for Binary Executables Meets Dynamic Analysis

控制流完整性（CFI）被认为是阻止高级代码重用攻击的有前景的解决方案。虽然CFI中的后边缘保护问题几乎已经解决，但有效的前边缘保护仍然是一个重大挑战。保护前边缘的关键是解决间接调用目标，虽然使用基于类型的解决方案可以非常准确地完成，但考虑到程序源代码，在二进制级别执行时面临困难。由于COTS二进制文件中没有实际类型信息，基于类型的间接调用目标匹配通常会使用间接调用点和调用目标的参数个数和宽度来推断出近似函数签名。因此，使用静态分析这样做，迫使现有解决方案以过于宽松的方式假设参数个数/宽度边界，以击败复杂的攻击。本文提出了一种新的混合方法来恢复二进制级别的细粒度函数签名，称为TypeSqueezer。通过动态观察程序行为，TypeSqueezer将间接调用点和调用目标的静态分析结果结合在一起，从而可以根据类似于挤压定理的原理计算出其元数/宽度的下限和上限。此外，动态分析的引入也使TypeSqueezer能够近似函数参数的实际类型，而不仅仅是使用它们的宽度来表示它们。这些一起使TypeSqueezer能够显著提高间接调用目标解析的能力，并生成具有更高精度的近似CFG。我们在SPEC CPU2006基准测试以及几个实际应用中评估了TypeSqueezer。实验结果表明，与现有的基于二元的类型匹配解决方案相比，TypeSqueezer 实现了更高的类型匹配精度。此外，我们还讨论了静态分析的内在局限性，并表明它不足以击败某些类型的实际攻击；而另一方面，通过我们的方法的混合分析结果，可以成功地挫败同样的攻击。

论文链接：https://doi.org/10.1145/3576915.3623214

256、Uncle Maker: (Time)Stamping Out The Competition in Ethereum

我们提出并分析了一种对以太坊1共识机制的攻击，与诚实的同行相比，这种攻击允许矿工获得更高的挖矿奖励。这种攻击是新颖的，因为它依赖于操纵块时间戳和难度调整算法（DAA），以便在块竞赛发生时给矿工带来优势。我们称我们的攻击为Uncle Maker，因为它诱导了更高的 uncle 块率。我们描述了攻击的几个变种。其中，一个对矿工来说是安全的。我们的攻击不同于过去的攻击，如自私挖矿，这些攻击已被证明是有利可图的，但在实践中从未被观察到：我们分析了以太坊区块链的数据，并表明以太坊的一些矿工多年来一直在积极运行这种攻击的变种而未被发现，这成为矿工操纵主要共识机制的第一个证据。我们提供了我们的证据，以及对攻击者所获利润的估计，代价是牺牲了诚实的矿工。由于几个区块链仍在运行以太坊1的协议，我们建议采取具体的修复措施，并将其作为geth的补丁实施。

论文链接：https://doi.org/10.1145/3576915.3616674

257、Uncovering Impact of Mental Models towards Adoption of Multi-device Crypto-Wallets

在过去十年中，加密货币用户在不同类型的加密钱包中看到了急剧增长。然而，新兴的多设备钱包，即使在安全性方面比单设备钱包有所提高，也尚未得到相应的采用。这项工作通过调查357名加密钱包用户，对用户对多设备钱包的看法进行了数据驱动的研究。我们的结果表明，我们的参与者中有两个重要群体——新手和非新手。在教育之后，我们的后续定性分析揭示了这些参与者的心理模型与实际安全保障之间的差距。此外，我们调查了参与者对加密钱包的默认设置偏好，以及多设备钱包的不同密钥共享分布设置——威胁模型考虑因素影响了用户偏好，表明需要对默认设置进行情境化。我们为未来的多设备钱包开发人员确定了具体可行的设计途径，以提高采用率。

论文链接：https://doi.org/10.1145/3576915.3623218

258、Uncovering and Exploiting Hidden APIs in Mobile Super Apps

移动应用程序，特别是来自微信和TikTok等社交媒体平台的应用程序，正演变成提供广泛服务的“超级应用程序”，包括即时通讯和媒体共享、电子商务、在线学习和电子政务等。这些超级应用程序通常为开发人员提供API，用于在超级应用程序内部创建“迷你应用程序”。这些API应该经过彻底的安全审查。不幸的是，我们发现其中许多API是未记录和不安全的，这可能允许迷你应用程序绕过限制并获得更高权限的访问。为了在这些隐藏的API被攻击者利用之前系统地识别它们，我们开发了一个名为APIScope的工具，结合静态和动态分析，静态分析用于识别隐藏的未记录的API，而动态分析用于确认被识别的API是否可以被非特权第三方迷你应用程序调用。我们已将APIScope应用于五款热门应用（即微信、企业微信、百度、QQ和TikTok），发现它们都包含隐藏的API，其中许多由于缺少安全检查而容易受到攻击。我们还通过验证这些可能具有安全隐患的隐藏API是否可以访问受Android权限保护的资源，对其进行了量化。此外，我们通过展示各种攻击场景，包括未经授权访问任何网页、下载和安装恶意软件以及窃取敏感信息，来展示潜在的安全风险。我们已将我们的发现报告给相关厂商，其中一些已修补了漏洞，并以漏洞赏金的形式奖励我们。

论文链接：https://doi.org/10.1145/3576915.3616676

259、Under the Dark: A Systematical Study of Stealthy Mining Pools (Ab)use in the Wild

加密货币挖矿是区块链中的关键操作，矿工经常加入矿池以增加获得奖励的机会。然而，PoW加密货币挖矿的能源密集性导致其在美国纽约州、中国和印度被禁止。因此，作为挖矿活动中心枢纽的矿池已成为监管执法的首要目标。此外，加密劫持恶意软件是指自有的隐秘矿池，以逃避检测技术和隐藏利润钱包地址。然而，由于对隐秘矿池的协议实施、使用和端口分布缺乏全面了解，尚未进行系统研究来分析它。据我们所知，我们进行了第一次大规模的纵向测量研究，以填补这一空白。我们报告了59个国家的7629个隐秘矿池。此外，我们还研究了隐秘矿池的内部机制。通过检查19601个隐秘矿池域名和IP，我们的分析表明，隐秘矿池精心制作了域名语义、协议支持和生命周期，以提供地下、用户友好和强大的挖矿服务。更糟糕的是，我们发现隐秘矿池与恶意软件之间存在很强的相关性，其中23.3%被标记为恶意。此外，我们还评估了用于逃避最先进挖矿检测的技巧，包括迁移域名解析方法、利用僵尸网络和启用TLS加密。最后，我们进行了一项定性研究，从内部角度评估了通过隐秘矿池进行恶意加密挖矿活动的利润收益。我们的结果表明，犯罪分子每年有可能赚取超过100万美元的收入，平均投资回报率为2750%。我们已经向相关互联网服务提供商通报了发现的隐形挖矿池，并收到了他们的确认。

论文链接：https://doi.org/10.1145/3576915.3616677

260、Understanding and Detecting Abused Image Hosting Modules as Malicious Services

作为一种新型的地下生态系统，滥用图像托管API作为恶意服务（AIMIE）在歹徒中越来越流行，以托管非法图像和传播有害内容。然而，在规模、影响和技术方面，对这种新威胁的理解还很少，更不用说大规模检测易受攻击的图像托管模块的任何严肃努力了。为了填补这一空白，本文首次对AIMIE进行了测量研究。通过收集和分析89个开源的AIMIE，我们揭示了AIMIE的景观，报告了阿里巴巴、腾讯和字节跳动等知名公司滥用图像托管API的演变和规避，并确定了通过这些AIMIE上传的真实滥用图像。此外，我们提出了一种名为Viola的工具，用于检测网络中的易受攻击的图像托管模块（IHM）。我们发现了477个易受攻击的IHM上传API，这些API与338个集成易受攻击的IHM的Web服务相关联，以及207个受害者FQDN。排名最高的易受攻击的Web服务域是baidu.com，其次是bilibili.com和163.com。我们报告了滥用和易受攻击的IHM上传API，并在论文提交时收到了其中69个的确认。

论文链接：https://doi.org/10.1145/3576915.3623143

261、Unforgeability in Stochastic Gradient Descent

随机梯度下降（SGD）是一种流行的训练算法，是现代机器学习系统的基石。一些安全应用程序受益于确定SGD执行是否可伪造，即给定步骤中看到的模型参数是否可以通过一组不同的数据样本获得。在这篇论文中，我们首次尝试证明这种伪造的不可能性。我们提供了一组条件，这些条件在训练运行期间看到的具体检查点上可以有效地检查，在这些条件下，检查点在那个步骤上可以证明是不可伪造的。我们的实验表明，这些条件有些温和，因此在我们的实验中取样的检查点总是满足这些条件。我们的结果与之前的高层次发现形成了鲜明对比：我们证明，我们发现的可证明不可伪造的检查点被认为是可以使用之前的工作中建议的相同方法和实验设置伪造的。这种差异是由于定义中未指明的微妙之处引起的。我们通过实验证实了这种区别的重要性，即小误差在训练过程中会放大，从而在训练的最终模型中产生显著可观察的差异。我们希望我们的结果能够提醒人们注意代数精度在伪造定义和相关安全论证中的作用。

论文链接：https://doi.org/10.1145/3576915.3623093

262、Unhelpful Assumptions in Software Security Research

在软件安全研究中，必须考虑许多因素。一旦冒险超越最简单的实验室实验，研究人员就必须应对指数级复杂的条件。软件安全已被证明受到启动、工具可用性、库文档、组织安全文化、互联网资源的内容和格式、IT团队和开发人员互动、互联网搜索引擎排序、开发人员个性、安全警告位置、指导、开发人员经验等的影响。在对2016年以来发表的软件安全论文进行系统回顾时，我们发现了一些软件安全研究人员通常会做出的无益假设。在这篇论文中，我们列出了这些假设，描述了为什么它们有时不能反映现实，并建议对研究人员的影响。

论文链接：https://doi.org/10.1145/3576915.3623122

263、Unraveling the Connections between Privacy and Certified Robustness in Federated Learning Against Poisoning Attacks

联邦学习（FL）提供了一种有效的范式，利用来自分布式用户的数据联合训练全局模型。由于本地训练数据来自可能不可靠的不同用户，一些研究表明，FL容易受到中毒攻击。同时，为了保护本地用户的隐私，FL通常以差分隐私的方式进行训练（DPFL）。因此，在这篇论文中，我们问：差分隐私和FL对中毒攻击的认证鲁棒性之间有什么内在联系？我们能否利用DPFL的固有隐私特性为FL提供认证鲁棒性？我们能否进一步提高FL的隐私性，以提高这种鲁棒性认证？我们首先研究了FL的用户级和实例级隐私，并提供正式的隐私分析，以实现改进的实例级隐私。然后，我们提供了两个鲁棒性认证标准：用户和实例级别的DPFL的认证预测和认证攻击无效性。理论上，我们根据给定有限数量的对抗用户或实例的两个标准，提供了DPFL的认证稳健性。经验上，我们在不同数据集上进行了广泛的实验，以验证我们的理论。我们发现，提高DPFL中的隐私保护水平可以增强认证攻击的无效性；然而，这并不一定会导致更强的认证预测。因此，实现最佳的认证预测需要在隐私和效用损失之间取得适当的平衡。

论文链接：https://doi.org/10.1145/3576915.3623193

264、Unsafe Diffusion: On the Generation of Unsafe Images and Hateful Memes From Text-To-Image Models

最先进的文本到图像模型，如Stable Diffusion和DALLE\·2，正在彻底改变人们生成视觉内容的方式。与此同时，社会严重关注对手如何利用这些模型生成有问题或不安全的图像。在这项工作中，我们专注于揭开文本到图像模型生成不安全图像和仇恨表情包之谜。我们首先构建了一个由五类（色情、暴力、令人不安、仇恨和政治）组成的不安全图像分类。然后，我们使用四个提示数据集评估了四个高级文本到图像模型生成的不安全图像的比例。我们发现文本到图像模型可以生成大量不安全图像；在四个模型和四个提示数据集中，所有生成的图像中有14.56%是不安全的。在比较四个文本到图像模型时，我们发现了不同的风险水平，其中Stable Diffusion最容易生成不安全的内容（所有生成的图像中有18.92%是不安全的）。鉴于Stable Diffusion倾向于生成更多不安全的内容，我们评估了其在被对手利用攻击特定个人或社区时生成仇恨模因变体的可能性。我们采用了三种图像编辑方法，DreamBooth、文本反转和SDEdit，这些方法都得到了Stable Diffusion的支持，以生成变体。我们的评估结果表明，使用DreamBooth生成的图像中有24%是仇恨模因变体，这些变体呈现了原始仇恨模因和目标个人/社区的特征；这些生成的图像与从现实世界收集的仇恨模因变体相当。总的来说，我们的结果表明，大规模生成不安全图像的危险迫在眉睫。我们讨论了几种缓解措施，如整理训练数据、规范提示和实施安全过滤器，并鼓励开发更好的防护工具来防止不安全生成。我们的代码可以在https://github.com/YitingQu/unsafe-diffusion上找到。

论文链接：https://doi.org/10.1145/3576915.3616679

265、Using Range-Revocable Pseudonyms to Provide Backward Unlinkability in the Edge

本文提出了一种新的抽象概念，我们将其命名为范围可撤销的假名（RRPs）。RRPs是一种新的假名，其有效性可以在其原始有效期内随时撤销。RRPs的关键特征是，在给定时间范围内撤销假名所提供的信息不能与在撤销范围外使用假名时提供的信息相关联。我们提供了一种使用高效密码原语实现RRPs的算法，其中假名的空间复杂度是常数，而不管撤销范围的粒度如何，撤销信息的空间复杂度仅随粒度呈对数增长；这使得使用RRPs比使用许多短命的假名更有效。我们使用RRP设计了EDGAR，这是一种用于VANET场景的访问控制系统，提供反向不可链接性。EDGAR的实验评估表明，使用RRP时，可以高效地执行撤销（即使使用1秒的时隙），并且用户可以以低延迟（0.5-3.5ms）进行身份验证。

论文链接：https://doi.org/10.1145/3576915.3623111

266、Verifiable Learning for Robust Tree Ensembles

在测试时验证机器学习模型对规避攻击的鲁棒性是一个重要的研究问题。不幸的是，先前的工作表明，对于决策树集成来说，这个问题是NP难的，因此对于特定的输入来说是难以处理的。在这篇论文中，我们确定了一类受限的决策树集成，称为大范围集成，它允许在多项式时间内运行安全验证算法。然后，我们提出了一种称为可验证学习的新方法，它提倡训练这种受限的模型类，这些模型类易于进行有效的验证。我们通过设计一种新的训练算法来展示这一想法的好处，该算法可以从标记数据中自动学习大范围决策树集成，从而使其在多项式时间内进行安全验证。公共数据集上的实验结果证实，使用我们的算法训练的大范围集成可以在几秒钟内使用标准商用硬件进行验证。此外，大传播集成在非对抗性环境中以可接受的准确度损失为代价，比传统集成更抗逃避攻击。

论文链接：https://doi.org/10.1145/3576915.3623100

267、Verifiable Mix-Nets and Distributed Decryption for Voting from Lattice-Based Assumptions

密码投票协议最近引起了从业者的极大兴趣，因为它们（计划）在爱沙尼亚、瑞士、法国和澳大利亚等国家使用。实用协议通常依赖于经过测试的设计，如混合和解密范式。在那里，多个服务器可验证地洗牌加密选票，然后以分布式方式解密。虽然存在几个基于离散对数假设的实现这一范式的有效协议，但对于格等后量子替代方案，情况不太清楚。这是因为基于离散对数的投票协议的设计思想不容易转移到格设置中，因为存在噪声增长和近似关系等具体问题。这项工作提出了一个新的可验证的BGV密文秘密洗牌和兼容的可验证分布式解密协议。洗牌是基于对已知值的承诺洗牌的扩展，并结合了正确的重新随机化的摊销证明。可验证的分布式解密协议使用噪声淹没，在零知识中证明解密步骤的正确性。然后，这两种原语被用来从基于格的假设中实例化混合和解密的电子投票范式。我们为我们的系统提供了具体的参数，估计了每个组件的大小，并提供了所有重要子协议的实现。我们的实验表明，洗牌和解密协议适用于现实世界的电子投票方案。

论文链接：https://doi.org/10.1145/3576915.3616683

268、Verifiable Verification in Cryptographic Protocols

加密协议中的常见验证步骤，如签名或消息认证码检查或椭圆曲线点的验证，对于协议的整体安全性至关重要。然而，省略这些步骤的实施错误很容易被忽视，因为协议通常会完美运行。最突出的例子之一是苹果的 goto fail bug，其中错误的证书验证跳过了几个必需的步骤，将无效证书标记为正确验证。这个漏洞至少在 17 个月内未被发现。 我们在这里提出了一种机制，支持在加密级别检测此类错误。我们不是仅仅返回二进制接受决定，而是让验证以我们称之为确认码的形式返回更细粒度的信息。读者可能会认为确认码是作为相关验证步骤的一部分而产生的一次性信息。如果出现像 goto fail 这样的实现错误，确认码就会遗漏关键元素。现在的问题是如何验证确认码本身。我们展示了如何使用确认码将安全与整体协议级别的基础功能联系起来，通过协议无法正常工作来检测错误的实现。更具体地说，我们讨论了确认码在安全连接中的使用，通过密钥交换协议建立并通过派生密钥保护。如果密钥交换协议执行中的某些验证步骤有错误，那么确认码也会出错，因为我们可以让确认码进入密钥派生，双方连接最终会失败。因此，通过简单的连接测试，现在可以检测到像 goto fail 这样的实现错误。我们在这里提出了一种机制，支持在密码学级别检测此类错误。我们不是仅仅返回二进制接受决定，而是让验证以我们所谓的确认码的形式返回更细粒度的信息。读者可能会认为确认码是作为相关验证步骤的一部分而产生的一次性信息。如果出现像goto fail bug这样的实现错误，确认码就会遗漏基本元素。现在的问题是如何验证确认码本身。我们展示了如何使用确认码将安全与整个协议级别的基础功能联系起来，通过协议不能正常运行来检测错误的实现。更具体地说，我们讨论了确认码在安全连接中的使用，通过密钥交换协议建立并通过派生密钥保护。如果密钥交换协议执行中的某些验证步骤有错误，那么确认码也会出错，并且因为我们可以让确认码进入密钥派生，双方连接最终会失败。因此，像goto fail这样的实现错误现在可以通过简单的连接测试来检测。

论文链接：https://doi.org/10.1145/3576915.3623151

269、Vulnerability Intelligence Alignment via Masked Graph Attention Networks

网络安全漏洞信息通常来自多个渠道，如政府漏洞库、单独维护的漏洞收集平台或漏洞披露电子邮件列表和论坛。整合来自不同渠道的漏洞信息可以实现全面的威胁评估和快速部署到各种安全机制。然而，漏洞信息的自动整合，特别是那些缺乏决定性信息（如CVE-ID）的漏洞信息，受到当今实体对齐技术局限性的阻碍。在我们的研究中，我们注释并发布了第一个网络安全领域漏洞对齐数据集，并突出了安全实体的独特特征，包括不同漏洞库中相同漏洞的不一致漏洞工件（如影响和受影响版本）。基于这些特征，我们提出了一种实体对齐模型CEAM，用于整合来自多个来源的漏洞信息。CEAM为基于图神经网络的实体对齐技术配备了两种应用驱动的机制：不对称掩蔽聚合和分区注意力。这些技术有选择地聚合漏洞工件，通过不对称掩蔽学习漏洞的语义嵌入，同时确保始终对漏洞识别至关重要的工件给予更多考虑。漏洞对齐数据集上的实验结果表明，CEAM明显优于最先进的实体对齐方法。

论文链接：https://doi.org/10.1145/3576915.3616686

270、Waks-On/Waks-Off: Fast Oblivious Offline/Online Shuffling and Sorting with Waksman Networks

随着越来越多的隐私保护解决方案利用像英特尔SGX这样的可信执行环境（TEE），这些解决方案在设计上能够阻止TEE侧信道攻击就变得非常有必要。特别是，这些解决方案需要完全无视通过内存或时间侧信道泄露私人信息。在这项工作中，我们提出了快速完全无意识的数据洗牌和排序算法。无意识的数据洗牌和排序是隐私保护解决方案中经常用于排列数据的两个基本原语。我们提出了新的无意识洗牌和排序算法，这些算法在离线/在线模型中工作，这样大部分计算可以在离线阶段完成，与要排列的数据无关，导致在线阶段比无意识洗牌和排序（O（βn log² n））的最新解决方案在排列n个大小为β的项目时更有效（O（βn log² n））。我们的工作重新审视了Waksman网络，并利用了关键的观察结果，即设置Waksman网络的控制位进行均匀随机洗牌与要洗牌的数据无关。然而，有效地完全无意识地设置Waksman网络的控制位是一个挑战，我们为此提供了一种新的控制位设置算法。我们的算法 WaksShuffle 和 WaksSort 的总成本（包括离线计算）低于其他所有用于中等规模问题（β>1400 B）的全无意识洗牌和排序算法，并且性能差距随着项目规模的增加而扩大。此外，我们的洗牌算法 WaksShuffle 提高了任何规模的 220 个项目的无意识洗牌的在线成本>5倍；同样，WaksShuffle+QS 提供了无意识排序的在线成本>2.7倍的加速。

论文链接：https://doi.org/10.1145/3576915.3623133

271、Watch This Space: Securing Satellite Communication through Resilient Transmitter Fingerprinting

由于廉价的现成无线电硬件可用性的增加，对卫星地面系统的信号欺骗和重放攻击比以往更容易实现。这对传统系统来说尤其是一个问题，其中许多系统不提供加密安全性，也无法进行修补以支持新的安全措施。因此，在本文中，我们探索了卫星系统背景下的无线电发射机指纹识别。我们引入了SatIQ系统，提出了使用发射机硬件特征（表示为下行无线电信号的损伤）进行传输认证的新技术。我们特别关注高采样率指纹识别，在没有类似高采样率传输硬件的情况下，设备指纹难以伪造，从而增加了欺骗和重放攻击所需的预算。我们还研究了这种方法在高大气噪声和多径散射情况下的困难，并分析了解决这一问题的潜在解决方案。我们专注于铱星卫星星座，我们以25 MS/s的采样率收集了1705202条消息。我们使用这些数据训练了一个由自动编码器和连体神经网络组成的指纹识别模型，使模型能够学习消息头的有效编码，保留识别信息。我们使用软件定义无线电重放消息，展示了指纹识别系统在攻击下的鲁棒性，实现了0.120的等错误率和0.946的ROC AUC。最后，我们通过在训练和测试数据之间引入时间间隔来分析其随时间的稳定性，并通过引入以前从未见过的新发射器来分析其可扩展性。我们的结论是，我们的技术可用于构建随时间稳定的指纹识别系统，无需重新训练即可立即与新发射器一起使用，并通过提高攻击所需的预算来提供对欺骗和重放攻击的鲁棒性。

论文链接：https://doi.org/10.1145/3576915.3623135

272、When Free Tier Becomes Free to Enter: A Non-Intrusive Way to Identify Security Cameras with no Cloud Subscription

无线安全摄像头可以阻止入侵者。除了硬件，消费者可能每月支付费用将视频记录到云端，或使用免费提供的运动警报，有时通过摄像头app进行实时流传输。许多用户可能会购买硬件而不购买订阅以节省资金，这必然会降低其效率。我们发现，摄像头响应刺激运动产生的无线流量可能会泄露视频是否正在流式传输。恶意用户，如窃贼，可能会利用这些知识来瞄准没有上传视频或打开实时查看模式的“弱摄像头”的房屋。在这种情况下，犯罪活动虽然是在摄像头的监控区域内进行的，但不会被记录下来。因此，我们描述了一种称为WeakCamID的新技术，它创建运动刺激并嗅探由此产生的无线流量，以推断摄像头状态。我们进行了一项涉及220名用户的调查，发现所有用户都认为摄像头具有一致的安全保障，无论订阅状态如何。我们的发现打破了这种“常识”。我们在移动应用程序中实现了WeakCamID，并对11个流行的无线摄像头进行了实验，表明WeakCamID可以识别弱摄像头，平均准确率约为95%，耗时不到19秒。

论文链接：https://doi.org/10.1145/3576915.3623083

273、Whole-Program Control-Flow Path Attestation

路径认证是一种远程认证程序执行的方法。在路径认证中，执行程序平台的证明者通过记录程序执行特定输入时所采取的路径，向远程验证者V证明程序的完整性。虽然已经开发了许多用于路径认证的技术，但它们通常仅适用于记录程序执行的部分路径。在这篇论文中，我们考虑了整个程序控制流路径认证的问题，即证明整个程序路径在程序中的执行。我们证明，现有路径认证方法使用次优技术，从根本上无法扩展到整个程序路径，并对程序执行造成很大的运行时开销。然后，我们开发了Blast，这是一种使用受程序分析文献中先前工作启发的许多新颖方法来降低这些开销的方法。我们的实验表明，Blast使路径认证在各种嵌入式程序上使用更加实用。

论文链接：https://doi.org/10.1145/3576915.3616687

274、You Call This Archaeology? Evaluating Web Archives for Reproducible Web Security Measurements

鉴于网络的动态性，其上的安全测量存在可重复性问题。在本文中，我们系统地研究了使用网络档案进行网络安全测量的潜力。我们首先评估了一系列广泛的网络档案作为档案数据的潜在来源，展示了互联网档案相对于其竞争对手的优越性。然后，我们评估了互联网档案用于历史网络安全测量的适当性，检测了其采用中的微妙之处和可能的陷阱。最后，我们研究了使用互联网档案代替实时数据，使用最新档案数据模拟实时安全测量的可行性。我们的分析表明，基于档案的安全测量是传统实时安全测量的一个有前景的替代方案，其设计具有可重复性；然而，它也显示了基于档案的测量的潜在陷阱和缺点。作为一项重要贡献，我们利用收集到的知识来确定未来基于档案的安全度量的见解和最佳实践。

论文链接：https://doi.org/10.1145/3576915.3616688

275、Your Battery Is a Blast! Safeguarding Against Counterfeit Batteries with Authentication

锂离子（Li-ion）电池因其高能量和功率密度而在各种应用中成为主要电源。2022年，其市场估计高达480亿美元。然而，锂离子电池的广泛采用导致了假冒电池的生产，这可能对用户构成安全隐患。假冒电池可导致爆炸或火灾，其在市场上的流行使用户难以检测到假冒电池。事实上，目前的电池认证方法可能容易受到先进的造假技术的影响，并且通常不适应各种电池和系统。在这篇论文中，我们通过提出两种新颖的方法来改进电池认证的现状，DCAuth和EISth authentication，它们通过机器学习模型利用每个电池的内部特征。我们的方法使用锂离子电池常规使用数据自动验证其型号和架构，无需任何外部设备。它们还具有应对最常见和最关键的造假行为的能力，可以扩展到多个电池和设备。为了评估我们提出的方法的有效性，我们分析了来自20个数据集的时间序列数据，我们处理这些数据集以提取有意义的分析特征。我们的方法在两种架构（高达0.99）和模型（高达0.96）的电池认证中都达到了高精度。此外，我们的方法提供了可比较的识别性能。通过使用我们提出的方法，制造商可以确保设备只使用合法的电池，保证任何系统的运行状态和用户的安全措施。

论文链接：https://doi.org/10.1145/3576915.3623179

276、iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices

在过去的几年里，高端CPU市场正在经历一场转型变革。我们目睹了重量级Arm CPU计算设备的推出，它们不再使用x86作为高性能设备的唯一架构。其中，最具影响力的是苹果公司推出的M系列架构，旨在完全取代苹果生态系统中的英特尔CPU。然而，尽管在分析x86 CPU方面投入了大量精力，但苹果生态系统在很大程度上仍未被探索。在这篇论文中，我们着手研究苹果生态系统对投机性侧信道攻击的弹性。我们首先建立了安装侧信道攻击所需的基本工具包，如缓存结构和CPU推测深度。然后，我们解决了苹果在本地和基于浏览器的代码中降低计时器分辨率的问题。值得注意的是，我们表明，区分缓存缺失和缓存命中可以在没有时间测量的前提下完成，用基于竞争条件的无定时器替代基于定时的原语。最后，我们使用我们的区分原语来构建驱逐集和安装幽灵攻击，同时避免使用定时器。然后，我们评估了Safari的侧通道弹性。我们绕过了压缩的35位寻址和值中毒对策，创建了一个可以推测读取和泄漏Safari渲染过程中任何64位地址的原语。将其与一种将来自不同域的网站合并到同一渲染器进程的新方法相结合，我们演示了泄露敏感信息（如密码、收件箱内容和来自Google等流行服务的位置）的端到端攻击。

论文链接：https://doi.org/10.1145/3576915.3616611

277、martFL: Enabling Utility-Driven Data Marketplace with a Robust and Verifiable Federated Learning Architecture

机器学习模型的开发需要大量的训练数据。数据市场是交易高质量和私域数据的关键平台，这些数据在互联网上无法公开获取。然而，随着数据隐私变得越来越重要，直接交换原始数据变得不合适。联邦学习（FL）是一种分布式机器学习范式，在多方之间交换数据工具（以本地模型或梯度形式），而不直接共享原始数据。然而，我们认识到将现有的FL架构应用于构建数据市场的一些关键挑战。（i）在现有的FL架构中，数据采集器（DA）在交易之前无法私下评估不同数据提供者（DP）提交的本地模型的质量；（ii）现有FL设计中的模型聚合协议无法有效地排除恶意DP，而不会对DA（可能存在偏见）的根数据集进行“过拟合”；（iii）之前的FL设计缺乏适当的计费机制来执行DA，以根据不同DP的贡献公平分配奖励。为了解决上述挑战，我们提出了martFL，这是第一个专门用于实现安全实用驱动数据市场的联邦学习架构。从高层次来看，martFL由两个创新设计授权：（i）质量感知模型聚合协议，允许DA正确地从聚合中排除本地质量甚至有毒的本地模型，即使DA的根数据集有偏差；（ii）可验证的数据交易协议，使DA能够简洁地以零知识证明它已经根据DA承诺的权重忠实地聚合了这些本地模型。这使DP能够明确地要求与他们的权重/贡献成比例的奖励。我们实现了martFL的原型，并在各种任务上对其进行广泛评估。结果表明，martFL可以将模型精度提高25%，同时节省高达64%的数据采集成本。

论文链接：https://doi.org/10.1145/3576915.3623134