180、Release the Hounds! Automated Inference and Empirical Security Evaluation of Field-Deployed PLCs Using Active Network Data

对部署在现场的工业控制系统（ICS）设备进行调查具有众多安全应用，包括攻击面管理和测量漏洞补丁的采用情况。然而，使用大规模互联网扫描数据集发现真实世界的设备既繁琐又容易出错。我们介绍了PLCHound，这是一种新颖的ICS资产发现解决方案，旨在自动揭示隐藏在由互联网规模的扫描器（如Censys或Shodan）收集的网络数据中的难以发现的ICS设备。我们的解决方案系统地揭示了控制器的间接证据，利用了之前的研究中常常被忽视的微妙基于网络的指标和时间上具有抵抗力的特征。我们介绍了PLCHound的架构，实验验证了其准确性，并探讨了增强设备发现带来的安全优势。我们还利用PLCHound对受欢迎供应商的公共可达ICS设备群体进行了最大规模的综合检查。我们的结果显示，业界普遍接受的估算和最新发表的论文低估了公共设备的真实数量，差距高达37倍。我们还发现，95.88%的设备暴露出使其在远程面临近期严重CVE（公共漏洞与披露）风险的协议。

论文链接：https://doi.org/10.1145/3658644.3690195

181、Rules Refine the Riddle: Global Explanation for Deep Learning-Based Anomaly Detection in Security Applications

基于深度学习（DL）的异常检测在安全领域展现出了巨大的潜力，因为它在各种任务中的表现非常出色。然而，DL模型的可解释性差的问题显著阻碍了它们在实际安全应用中的部署。尽管现有研究在DL解释方面取得了一定进展，但大多数研究集中于为单个样本提供局部解释，忽视了对模型知识的整体理解。此外，大多数针对监督模型的解释由于其不同的学习机制，无法应用于异常检测。在本研究中，我们通过提出GEAD（针对基于DL的异常检测的新型全局解释），填补了现有研究的空白，以从DL模型中提取高保真度的规则。我们将GEAD应用于两个安全应用：网络入侵检测和系统日志异常检测，并通过三种用法证明其有效性：比较模型知识与专家知识、识别模型之间的知识差异，以及将模型与专家知识相结合。我们提供了多个案例研究，以展示GEAD如何显著提升现有的异常检测系统。此外，我们还在SCADA系统中提供了一个实际部署实例，以展示其实践潜力。我们总结了一些重要见解，以帮助社区理解和改进安全领域的异常检测系统。

论文链接：https://doi.org/10.1145/3658644.3670375

184、SafeEar: Content Privacy-Preserving Audio Deepfake Detection

文本到语音（TTS）和语音转换（VC）模型在生成真实和自然的音频方面表现出色。然而，它们的阴暗面——音频深伪——对社会和个人构成了重大威胁。现有的对策主要侧重于根据完整的原始音频录音来判断语音的真实性，但这些录音往往包含私人内容。这一疏忽可能会限制深伪检测在许多应用中的使用，尤其是在涉及商业机密等敏感信息的场景中。本文提出了SafeEar，一个新颖的框架，旨在无需访问语音内容的情况下检测深伪音频。我们的关键思路是将神经音频编解码器设计为一种新型解耦模型，有效地将音频样本的语义信息与声学信息分离，并仅使用声学信息（例如韵律和音色）进行深伪检测。通过这种方式，检测器不会接触到任何语义内容。为了克服在缺乏语义线索的情况下识别多样化深伪音频的挑战，我们通过现实世界的编解码器增强来增强我们的深伪检测器。针对四个基准数据集进行的大量实验证明，SafeEar在检测各种深伪技术方面的有效性，其等错误率（EER）降低至2.02%。同时，它能够保护五种语言的语音内容不被机器和人类听觉分析解读，表现在所有字错误率（WER）均高于93.93%的实验结果以及我们的用户研究中。此外，我们为反深伪和反内容恢复评估构建的基准帮助为未来在音频隐私保护和深伪检测领域的研究提供了基础。

论文链接：https://doi.org/10.1145/3658644.3670285

185、SafeGen: Mitigating Sexually Explicit Content Generation in Text-to-Image Models

文本到图像（T2I）模型，例如稳定扩散（Stable Diffusion），近年来在根据文本描述生成高质量图像方面表现出色。然而，文本到图像模型可能会被欺骗，生成不适合工作的（NSFW）内容，特别是在性内容场景中。现有的对策主要集中在过滤不当的输入和输出，或者抑制不恰当的文本嵌入，这能够阻止性内容（例如裸体），但仍然可能对敌对提示—看似无辜但有恶意的输入—存在漏洞。本文提出了一种名为SafeGen的框架，以一种与文本无关的方式减轻文本到图像模型产生性内容的风险。其关键思路是无论文本输入如何，从模型中去除明显的视觉表现。通过这种方式，文本到图像模型能够抵御敌对提示，因为这些不安全的视觉表现被从内部阻止。我们在四个数据集和大规模用户研究上进行了广泛的实验，结果表明SafeGen在减轻性内容生成的同时，能够保持良性图像的高保真度。SafeGen的性能超过了八种最先进的基准方法，达到了99.4%的性内容去除效果。

论文链接：https://doi.org/10.1145/3658644.3670295

186、Samplable Anonymous Aggregation for Private Federated Data Analysis

我们重新审视了当每个设备持有其私人数据时，设计可扩展的私密统计和私密联邦学习协议的问题。局部差分隐私算法对信任的要求较低，但在实用性上（可证明地）有一定的局限性。而中心差分隐私算法则可以提供显著更好的实用性，但需要可信的策展人。这一差距引发了对简单加密原语的设计和实现的重大兴趣，这些原语能够在不需要信任中央服务器的情况下，提供接近中心的效用保证。我们的第一个贡献是提出一种新的原语，允许高效实现几种常用算法，并允许隐私核算接近中心场景下的隐私核算，而不需要承担其所涉及的强信任假设。早期工作中提出的洗牌和聚合原语使得某些算法能够实现这一点，但作为原语存在重大局限性。我们提出了一种可采样匿名聚合原语，它对输入的随机子集进行聚合，并展示它在各种基本任务中能带来更好的隐私-效用权衡。其次，我们提出了实现该原语的系统架构，并对所提议的系统进行了安全分析。我们的设计结合了加法秘密共享与匿名化和认证基础设施。

论文链接：https://doi.org/10.1145/3658644.3690224

187、Scalable Equi-Join Queries over Encrypted Database

在加密数据库上执行安全连接查询，作为SQL查询中最具表现力的类别，最近引起了广泛关注。最先进的JXT（Jutla等，ASIACRYPT 2022）使得在加密关系数据库上执行连接查询成为可能，而无需预先计算所有可能的连接。然而，JXT仅能支持两个表（在加密数据库中）上的连接查询，且要求具有某些高熵连接属性。本文提出了一种两个表之间的等值连接查询协议，称为JXT+，允许使用任意名称的连接属性，而不是JXT要求连接属性具有相同名称。与JXT相比，JXT+将查询复杂性从O(ℓ₁ · ℓ₂)降低到O(ℓ₁)，其中ℓ₁和ℓ₂分别表示两个表中匹配记录的数量。此外，我们还提出了JXT++，这是第一个在加密数据库上支持三个或更多表之间等值连接查询的协议，无需预先计算。具体而言，JXT++支持任意属性的连接，即所有属性（甚至是低熵属性）都可以作为连接候选，而JXT则要求高熵连接属性。此外，JXT++可以缓解在三个或更多表上进行子查询时的信息泄露，进而隐藏来自两个表连接的匹配记录的泄露。最后，我们实现并将我们提出的方案与最先进的JXT进行了比较。实验结果表明，我们的两个方案在搜索和存储成本上均优于JXT。特别是，JXT+（或JXT++）在服务器存储成本上节省了49%（或68%），并在搜索延迟上实现了51.7倍（或54.3倍）的加速。

论文链接：https://doi.org/10.1145/3658644.3690377

188、Secure Parallel Computation with Oblivious State Transitions

我们引入了不可知平行状态计算（Oblivious Parallel Stateful Computation，简称OPSC），这是一种针对状态机计算模型的安全多方计算（secure multi-party computation，MPC）形式，强调在多个数据上的并行执行。OPSC使得参与方能够以并行的方式同时计算多个结果，利用当前状态和动态输入的所有辅助数据。由于其并行和动态的特性，OPSC在涉及多个代理的复杂决策场景中，如交通分析、个体消费者行为经济学和流行病模拟等隐私保护应用中展现了巨大的潜力。

我们专注于二进制分支的OPSC，这类似于具有二进制字母表的确定性有限自动机（DFA），尽管存在多个石子在移动。获得具有N个数据和|S|个状态的OPSC的一种简单方法是为每个DFA运行N个MPC实例，这会导致~O(N |S|)的开销。分布式不可知RAM（Distributed Oblivious RAM，DORAM）是一种相关原语，允许高效的分布式数据的不可知读写，并可以促进OPSC。然而，目前没有现有的方法在所有指标上都能同时达到常数轮次和成本低于~O(N |S|)的效果。在本文中，我们对OPSC进行了形式化，并提出了一种协议，在所有指标（包括通信和存储成本）上实现了常数轮次和~O(N + |S|)的成本。

我们的协议显著提高了存储效率，在处理1600万个数据和26000个状态的场景中，仅需408 MB，而基于DORAM的方法则需要24 TB，基于最新的DUORAM（Vadapalli等人，USENIX Sec'23）实例化，代表了四个数量级的改进。此外，我们的在线处理时间 comparable ，基于DUORAM的方法约快1.3倍。

我们通过代理基模拟的概念验证展示了OPSC的实际效用，并将OPSC应用于不可知地解决所有最近较小值（All Nearest Smaller Values，ANSV）问题，这是并行计算中的一个重要原语。此外，我们还探讨了其在多模式匹配场景中的应用。

OPSC设计的核心是一个具有独立兴趣的新原语：不可知分组稳定排序（Oblivious Group-Wise Stable Sorting），它能够在私密划分的组内对数据进行排序。

论文链接：https://doi.org/10.1145/3658644.3690315

189、Secure Sorting and Selection via Function Secret Sharing

我们重新审视了在秘密共享数据上进行高效安全计算的排序和选择问题（例如，最大值、中位数或前k个最大值），重点研究针对单个半诚实方的安全性案例。以往的解决方案要么具有较高的通信开销，要么需要多轮交互，即使在允许与输入无关的预处理的情况下也是如此。我们提出了一套2方和3方的离线-在线协议，利用函数秘密共享的高效聚合特性，最小化在线通信量和轮次。特别地，我们的大多数协议在在线通信和在线轮次方面都是最优的，仅相差小的常数因子。我们将我们的协议与之前的工作进行了不同输入参数（项目数量、项目位长、批处理大小）和系统参数（CPU核心、网络）的性能比较，并在某些设置下获得了在线运行时间高达14倍的改进，用于排序和选择。

论文链接：https://doi.org/10.1145/3658644.3690359

190、Secure Vickrey Auctions with Rational Parties

在这项工作中，我们构建了一种第二价格（维克里）竞拍协议（SPA），该协议不需要任何拍卖师，并确保在理性参与拍卖的各方面前保持完全隐私。特别地，最高出价的机密性和第二高出价者的身份得到了保护。我们将参与第二价格拍卖的投标者建模为理性、计算受限且对隐私敏感的各方。这些是自利代理人，他们更关心赢得拍卖而不是了解其他各方的私有出价。理性的一方不会任意偏离协议，而是仅出于其自身的“利益”而这样做——而不考虑其他各方。这种利益通过适当的效用函数进行建模。我们证明，对于参与我们第二价格拍卖协议的理性和计算受限的各方，存在一个隐私保护的优势策略均衡，在该均衡中，每一方都更倾向于遵循协议而不是偏离。我们的协议使用开源密码学构件实现。在15个投标者的商品硬件上运行我们的SPA协议，出价长度为10位，完成时间为1.26秒，总通信量为0.77MB，而在类似条件下，Atlas（半诚实）协议耗时增加40%（2.11秒），通信量增加87%（6.09MB）。

论文链接：https://doi.org/10.1145/3658644.3670311

191、Securely Training Decision Trees Efficiently

决策树是监督学习算法的重要类别。当多个实体贡献数据以训练决策树（例如，金融领域的欺诈检测）时，数据隐私问题 necessitate 使用隐私增强技术，例如安全多方计算（MPC），以确保基础训练数据的安全性。之前的最先进的工作（Hamada等人[18]）在为N个样本的训练数据集（每个样本有m个属性）构建高度为h的决策树时，构建了一个MPC协议，其通信复杂度为O(hmN log N)。在本工作中，我们显著降低了安全决策树训练的通信复杂度。我们构建了一个通信复杂度为O(mN log N + hmN + hN log N)的协议，从而在[18]的基础上实现了大约min(h, m, log N)的改进。我们技术的核心是一个改进的协议，它能够在保持相对顺序的同时，将排好序的私有元素进一步分组（根据标志向量）。我们在MP-SPDZ框架[1, 22]中实现了我们的协议，并显示出其通信量比[18]减少了10倍，速度快了9倍。

论文链接：https://doi.org/10.1145/3658644.3670268

192、Securing Cyber-Physical Systems via Advanced Cyber Threat Intelligence Methods

许多使现代社会运作的服务，例如通信和运输，只有通过网络物理系统（CPS）才能实现。这使得CPS成为网络攻击的目标，攻击者旨在破坏我们的社会。我们可以利用网络威胁情报（CTI）来保护CPS。CTI是指帮助我们理解威胁行为者技术的威胁信息。然而，目前关于CPS的CTI信息有限，因为现有方法无法收集和分析针对CPS的最新网络攻击数据。在这篇论文的研究描述中，我们通过开发三种新方法来解决这个问题，旨在推动三种不同CPS的先进CTI：工业控制系统（ICS）、卫星和联网自主车辆（CAV）。第一个研究项目涉及为可编程逻辑控制器（PLC）开发一种新型威胁分类法，PLC是工业控制系统的重要组成部分。第二个项目是开发一个卫星蜜罐，以收集敌对者的技术数据。第三个也是最后一个项目涉及开发一个CAV沙箱，允许我们测试针对CAV的网络攻击，以收集原始威胁情报。我们的初步结果包括文献中的新型ICS威胁矩阵和高交互卫星蜜罐，这推动了CPS的CTI的前沿发展。

论文链接：https://doi.org/10.1145/3658644.3690865

193、SeqMIA: Sequential-Metric Based Membership Inference Attack

大多数现有的成员推断攻击（MIA）利用在模型最终状态上计算的指标（例如，损失），而最近的高级攻击则利用在不同阶段计算的指标，包括模型训练过程中的中间和最终阶段。然而，这些攻击往往独立处理多个中间状态的指标，忽略了它们的时间相关模式。因此，它们难以有效区分显示相似指标值的成员和非成员，特别是导致较高的假阳性率。在本研究中，我们深入探讨了黑盒场景中的新成员信号。我们识别出一种新的、更综合的成员信号：指标序列的模式，该信号源自模型训练的各个阶段。我们认为，目前的信号只提供了对这一新信号的部分视角：新的信号涵盖了模型的多个中间状态和最终状态，更强调它们之间的时间模式。在此基础上，我们提出了一种新的攻击方法，称为基于序列指标的成员推断攻击（SeqMIA）。具体而言，我们利用知识蒸馏获取一组蒸馏模型，代表目标模型训练的各个阶段。然后，我们按照时间顺序在这些蒸馏模型上评估多个指标，创建蒸馏指标序列。最后，我们将蒸馏的多指标序列整合为序列多格式，并采用基于注意力的递归神经网络（RNN）攻击模型进行推断。实证结果显示，SeqMIA在所有基准上表现优异，特别是在0.1%假阳性率（FPR）下能够实现多个数量级的真正例率（TPR）提升。此外，我们深入探讨了这一信号为何有助于SeqMIA的高攻击性能，并评估针对SeqMIA的各种防御机制。

论文链接：https://doi.org/10.1145/3658644.3690335

194、Sparrow: Space-Efficient zkSNARK for Data-Parallel Circuits and Applications to Zero-Knowledge Decision Trees

空间高效的SNARK旨在减少证明者的空间开销，这是在实践中部署SNARK的主要障碍之一，因为它可能会非常庞大（例如，远大于原生执行计算所需的空间）。在这项工作中，我们提出了Sparrow，一种新的空间高效零知识SNARK，专为数据并行算术电路设计，具有两个吸引人的特点：（i）这是第一个空间高效方案，对于给定的域，随着电路规模的增加，证明者的开销以乘法次对数因素增加；（ii）与之前为任意算术电路设计的空间高效SNARK相比，它实现的证明者空间渐近地小于电路本身的大小。我们的关键构建块是一种新颖的空间高效求和检验协议，具有改进的证明者时间，这本身也可能具有独立的研究价值。我们对三个用例（任意数据并行电路、乘法树、批量SHA256哈希）的实验结果表明，Sparrow在总证明者空间和证明时间上比之前的最先进的针对算术电路的空间高效SNARK Gemini（Bootle等人，EUROCRYPT'22）分别提高了3.2-28.7倍和3.1-11.3倍。接着，我们利用Sparrow构建树训练和预测的零知识证明，依赖其空间效率以扩展到大规模数据集和多个决策树的森林。与基于GKR协议的（非空间高效）最优时间SNARK相比，我们观察到树训练的证明者空间减少了16-240倍，同时保持基本相同的证明者和验证者时间以及证明确大小。更有趣的是，我们的证明者在空间上与原生执行底层计算所需的空间相当。例如，对于一个400MB的数据集，我们的证明者所需的空间仅比原生计算多1.4倍。

论文链接：https://doi.org/10.1145/3658644.3690318

195、Stealing Maggie's Secrets-On the Challenges of IP Theft Through FPGA Reverse Engineering

知识产权（IP）盗窃是造成重大财务和声誉损失的原因，报道称美国每年这一损失达到数千亿美元。现场可编程门阵列（FPGAs）特别容易受到知识产权盗窃的威胁，因为它们的配置文件以专有格式包含了知识产权，这可以通过适度的努力映射到门级网络列表中。尽管存在这一威胁，关于这个问题的科学理解仍然滞后于现实，这阻碍了学术界对FPGAs知识产权盗窃的深入评估。我们通过对iPhone 7内部的Lattice iCE40 FPGA进行真实案例研究来解决这一差距。苹果公司将这个FPGA称为Maggie。通过对Maggie上实现的专有信号处理算法进行逆向工程，我们获得了有关进行FPGA知识产权盗窃所需实际努力的新见解，以及攻击者在过程中面临的挑战。在我们的案例研究的启发下，我们随后介绍了通用的网络列表逆向工程技术，这些技术显著减少了所需的手动努力，并适用于各种FPGA实现和架构。我们在六个代表不同FPGA应用的基准测试上评估这些技术，这些基准测试已针对Xilinx和Lattice FPGAs进行了综合，以及在一个端到端的白盒案例研究中。最后，我们提供了一套全面的开源工具集，包括网络列表逆向工程技术，以促进未来的研究，使社区能够进行现实威胁评估，并便于评估新型对策。

论文链接：https://doi.org/10.1145/3658644.3690235

196、Symbolic Execution for Dynamic Kernel Analysis

基于Linux内核的操作系统在企业/网络服务器、超计算机和移动设备领域占据了重要的市场份额。作为一个大型开源项目，Linux内核经历了许多变化，每次发布时会添加新的功能（例如，内核对Rust的支持）。尽管Linux内核的安全分析至关重要，但这是一个具有挑战性的任务。虽然在过去十年中已经使用基于符号执行的技术进行内核分析，但现有工具在内核线程分析方面存在基本限制，例如需要对目标内核进行工具插装，并缺乏对目标执行的用户控制、命令和访问权限。本论文旨在通过提出一种新的内核符号执行引擎来解决这些限制，以便进行内核线程分析。然后，我们打算利用该新引擎对为Linux内核编写的Rust驱动程序进行安全分析。在分析过程中，我们将对Rust驱动程序执行符号执行，检测漏洞，并评估Rust驱动程序与用C语言编写的其余内核的集成是否会导致任何安全漏洞。

论文链接：https://doi.org/10.1145/3658644.3690860

197、TabularMark: Watermarking Tabular Datasets for Machine Learning

水印技术被广泛应用于保护共享数据的所有权，同时保持数据的实用性。然而，现有的表格数据集水印方法在所需属性（可检测性、非侵入性和鲁棒性）方面存在不足，仅从数据统计的角度保留数据实用性，忽视了在这些数据集上训练的下游机器学习模型的性能。我们能否在不显著影响用于训练机器学习模型的实用性的情况下，对表格数据集进行水印，同时防止攻击者在被攻击的数据集上训练可用的机器学习模型？在本文中，我们提出了一种基于假设检验的水印方案TabularMark。在嵌入过程中，利用数据噪声划分进行数据扰动，这种方法适用于数值和分类属性，同时保持数据的实用性。在检测方面，采用了自定义阈值的一类比例z检验，可以可靠地确定水印的存在。对真实世界和合成数据集的实验表明，TabularMark在可检测性、非侵入性和鲁棒性方面优于其他方法。

论文链接：https://doi.org/10.1145/3658644.3690373

199、The HitchHiker's Guide to High-Assurance System Observability Protection with Efficient Permission Switches

保护系统可观察性记录（日志）免受被攻击的操作系统攻击最近获得了显著关注，提出了几种值得注意的方法。不幸的是，所有提出的方法都未能在日志保护延迟极小的情况下实现高性能。它们还依赖于风险较高的环境进行保护（例如，许多使用通用虚拟机监控程序或信任区，这些都有较大的可信计算基（TCB）和攻击面）。HitchHiker是解决这一问题的一次尝试。该系统旨在确保（a）通过高效的硬件权限切换，在短且可配置的实时截止期限内对批处理日志进行内存保护，以及（b）基于硬件保护原语和去膨胀策略构建的端到端高保障环境，以实现安全日志保护、持久性和管理。安全评估和验证表明，HitchHiker在日志保护延迟方面相比于最先进技术降低了93.3%到99.3%，同时减少了可信计算基（TCB）9.4到26.9倍。性能评估表明，HitchHiker在多种真实世界程序上的几何平均开销低于6%，比最先进的方法提高了61.9%到77.5%。

论文链接：https://doi.org/10.1145/3658644.3690188

200、The Invisible Polyjuice Potion: an Effective Physical Adversarial Attack against Face Recognition

人脸识别系统最近受到了一些物理对抗性机器学习攻击的针对，这些攻击通过在对手的脸上附加或投影可见模式来欺骗后端的人脸识别模型。虽然文献中已证明这些攻击的有效性，但它们通常依赖于明显可疑的模式，容易受到环境噪声的影响，或者在实际应用中的成功率有限。在本文中，我们提出了一种针对深度人脸识别系统的新型物理对抗性攻击，称为"敏捷攻击"（Agile，意为“带有红外激光的对抗眼镜”）。该攻击能够生成可调节的、不可见的激光扰动，并将其发射到相机的CMOS中，以发起针对面部生物识别系统的规避和冒充攻击。为此，我们首先在理论上对物理对抗性扰动进行建模，并将其转换为数字域。生成的合成攻击信号用于指导现实世界的激光设置。我们与现实世界的攻击者和基准人脸数据库的实验表明，敏捷攻击在服务拒绝（DoS）、规避和冒充攻击中具有很高的有效性。更重要的是，通过敏捷攻击合成方法确定的候选冒充目标和最佳攻击设置与现实世界的物理攻击结果高度一致。对商业人脸识别模型的灰盒和黑盒评估也证实了敏捷攻击的有效性。

论文链接：https://doi.org/10.1145/3658644.3670382

201、The LaZer Library: Lattice-Based Zero Knowledge and Succinct Proofs for Quantum-Safe Privacy

晶格问题的困难性为量子安全密码学提供了最有前景的安全基础之一。针对公钥加密和数字签名的基本方案已经接近于在NIST及其他几个标准化机构的标准化，而研究的前沿已经转向构建具有更高级隐私特征的原语。在这些原语的核心是零知识证明。近年来，针对晶格关系的零知识证明（以及使用晶格关系的零知识证明）效率大幅提升，现在它们为许多场景提供了可以说是最短和计算上最有效的量子安全证明。非专家（和专家！）在使用这些证明时的主要困难在于它们有很多可变部分，且很多内部参数依赖于具体要证明的实例。我们的主要贡献是一个零知识和简洁证明的库，该库在一个简单易用的Python接口下，包含高效且灵活的C代码。没有任何基于晶格证明背景的用户应该能够指定他们想要证明的晶格关系和范数界限，库会自动创建一个证明系统，完整地包含内在参数，使用的是LaBRADOR的简洁证明（Beullens和Seiler，Crypto 2023）或Lyubashevsky等人的线性大小证明（虽然在某些应用中更小，Crypto 2022）。Python接口还支持晶格密码学中常用的操作，这将使用户能够在语法简单的Python环境中编写和原型化他们的完整协议。我们通过提供盲签名、匿名凭证、近期Swoosh协议（Gajland等，Usenix 2024）中所需的零知识证明、证明Kyber密钥的知识和一个聚合签名方案的协议实现，展示了该库的实用性。这些都是已知的最有效的量子安全实例，从大小、速度和内存的角度来看。

论文链接：https://doi.org/10.1145/3658644.3690330

202、Tight ZK CPU: Batched ZK Branching with Cost Proportional to Evaluated Instruction

我们探索以高层语言（如C或汇编）编写的程序所表达语句的零知识证明（ZKP）。在ZK中执行此类程序的核心是对CPU步骤的重复评估，这通过在CPU的指令集上进行分支来实现。这种方法是通用的，涵盖了程序控制流图（CFG）的遍历执行：在这里，CPU指令是与CFG节点相关联的直线程序片段（具有不同大小）。这突显了具有大量不同大小指令的ZK CPU的实用性。我们正式化并设计了一种高效的紧凑型ZK CPU，其中每个步骤的成本（计算和通信，对于每一方）仅依赖于所执行的指令。这在质上改善了现有的技术，其中成本随着最大CPU指令（最大CFG节点）的大小而增加。我们的方法在标准的承诺与证明范式中进行了形式化，因此我们的结果与各种（交互式和非交互式）通用ZK兼容。

我们基于向量不可知线性评估（VOLE）实现了一种交互式紧凑型算术（在F261-1上）ZK CPU，并将其与当前最先进的基于VOLE的非紧凑型ZK CPU Batchman（Yang等人，CCS'23）进行了比较。在我们的实验中，在相同的硬件配置下，当指令大小相同时，我们实现了可比的性能，而当指令大小多样化时，性能提升了5到18倍。我们的基于VOLE的紧凑型ZK CPU（在F261-1上）可以在类似广域网（WAN）的环境中执行每秒10万（分别在局域网（LAN）环境中执行45万）乘法门。每个乘法门所需的字节数不超过102字节。我们的基础构建块，ZK不平衡只读内存，可能具有独立的兴趣。

论文链接：https://doi.org/10.1145/3658644.3690289

203、Toss a Fault to BpfChecker: Revealing Implementation Flaws for eBPF runtimes with Differential Fuzzing

eBPF是一项革命性的技术，可以在特权上下文中运行沙盒程序，拥有广泛的应用场景，如Linux内核上的网络监控、Windows上的拒绝服务保护以及区块链上智能合约的执行机制。然而，eBPF中的实现缺陷会产生广泛的影响和严重的后果。先前的研究主要集中在eBPF运行时的内存安全上，但很少能够检测到实施缺陷（即实现是否正确）。与此同时，现有的实现缺陷检测方法主要解决验证器中的错误，而忽视了其他组件（即解释器和JIT编译器）中的错误。本文提出了BpfChecker，这是一种差分模糊测试框架，用于检测eBPF运行时中的实现缺陷。它利用eBPF程序作为输入，对不同eBPF运行时的关键状态进行差分测试，以揭示实现缺陷。为了增强生成程序的语义，我们设计了一种轻量级的中间表示，并在错误消息的指导下进行约束变异。我们已实现了BpfChecker的原型，并在三个eBPF运行时（即Solana rBPF、vanilla rBPF和Windows eBPF）上进行了广泛评估。因此，我们发现了28个新的实现缺陷，获得了2个CVE，并获得了80万美元的赏金，得到了开发者的认可。更重要的是，2个新发现的漏洞可以用于在Solana网络的执行层中创建分歧。

论文链接：https://doi.org/10.1145/3658644.3690237

204、Toward Practical Threshold FHE: Low Communication, Computation and Interaction

完全同态加密（FHE）是一个有前景的原语，它能够在保持用户隐私的同时评估任意电路，并且通信轮次达到最优。然而，将FHE扩展到门限FHE，并从二方设置过渡到多方设置，面临一些挑战，例如分布式密钥生成或解密。在关注分布式解密时，需要一个指数级大的 ciphertext 模数，这会降低通信效率。在本论文的研究描述中，我们探索了使用多项式大 ciphertext 模数的可能解决方案。作为第一个方法，我们提出了一种比Boudgoust和Scholl [Asiacrypt'23] 的构造更简单的方案，假设电路隐私，而在实际中使用多项式大模数实现这一点是具有挑战性的。然后，我们引入了一种新的方法，利用多方计算（MPC）进行分布式解密，并增加了通信轮次。这可以看作是在通用多轮MPC和轮次最优的门限FHE之间的权衡，但采用的是多项式大的 ciphertext 模数，而不是指数级大的模数。在保持同态评估的轮次最优性的同时，计算结果可以通过常数轮的分布式解密得到，而与要评估的函数无关。

论文链接：https://doi.org/10.1145/3658644.3690861

205、Towards Proactive Protection against Unauthorized Speech Synthesis

人工语音合成技术的快速进步，受到生成性人工智能（GenAI）的推动，为社会带来了机遇和潜在威胁。虽然这些技术提供了前所未有的机会，但它们也被滥用来制造“深度伪造”语音，用于欺诈、冒充和传播虚假信息，这在最近的现实事件中得到了证实。我们的研究旨在通过探索一种新颖的主动方法来应对这些新兴威胁，从而破坏未经授权的语音合成。

该策略基于对抗性鲁棒性理论，核心防御策略是将不可察觉的“语音斗篷”嵌入用户的语音中。这些微扰旨在防止在未经授权的合成过程中实现准确的语音克隆。这个概念在我们的初步工作AntiFake中得到了实现和验证，展示了初步的可行性。在这些基础上，我们提议开展一项研究，旨在理解保护普适性、音频质量和计算效率之间的基本三维权衡，并进一步在这些维度之间实现平衡改进。

论文链接：https://doi.org/10.1145/3658644.3690868

206、Towards Secure Runtime Auditing of Remote Embedded System Software

低成本和高能效的微控制器单元（MCUs）尽管存在固有的脆弱性，但在现代系统的边缘越来越多地执行关键任务。为了评估它们在远程部署中的安全性，控制流认证（CFA）提供了一种技术，使验证者（Vrf）能够远程检测非法更改软件或证明者MCU（Prv）运行时行为的攻击，通过在任务执行期间生成所有控制流转移的日志（CFLog）。当前的CFA技术无法确保Vrf能够从被攻陷的Prv接收CFLog，这使得Prv可以忽略CFA请求，从而阻止Vrf进行脆弱性分析。本文提案引入了一些架构，以实现运行时审计，确保运行时证据的交付，并使Vrf能够修复检测到的妥协。第一种方法使用硬件-软件协同设计，第二种方法则利用可信执行环境（TEEs）提供相同的保证，而无需硬件修改。未来的工作将集中在进一步的挑战上，如启用特定应用的存储/延迟优化以及运行时证据的自动脆弱性分析。

论文链接：https://doi.org/10.1145/3658644.3690856

207、Trusted Execution Environments for Quantum Computers

当今及未来的量子计算机将在云环境中运行，这引发了对用户知识产权安全和隐私的担忧。提交给云量子计算机提供商的量子电路代表了用户开发的需要保护的敏感或专有算法。此外，输入数据是硬编码到电路中，电路的泄露可能会暴露用户的数据。尽管仍处于噪声中间规模量子（Noisy Intermediate Scale Quantum，NISQ）阶段，量子计算机仍然有望能够执行新颖的算法并创造出无价的数据。然而，与其他类型的计算资源一样，它们可能会受到安全攻击，因此应在硬件和软件设计中内置防御机制。

在经典计算中，受信执行环境（Trusted Execution Environment，TEE）是设备主处理器上的一个区域，与系统的主操作系统分隔开，确保数据在安全环境中存储、处理和保护。与经典计算类似，通过利用受信硬件，我们提出了量子计算机的受信执行环境。所提议的论文将探讨量子计算机受信执行环境架构作为一种新型安全原语的可行性和安全性。在本提案中，概述了面临的挑战和方法，呈现了当前成果以展示所提工作可行性，并给出了未来工作的时间表。

论文链接：https://doi.org/10.1145/3658644.3690855

208、Two-Tier Data Packing in RLWE-based Homomorphic Encryption for Secure Federated Learning

同态加密（HE）在联邦学习（FL）聚合中促进了隐私的保护。然而，HE 会带来显著的计算和通信开销。为了解决这个问题，出现了一些数据编码方法，使得能够批量处理并提高密文的使用效率。现有的方法仅仅通过连接整数或多项式中的系数分配，未能充分利用基于环学习与误差（RLWE）的同态加密。我们提出了一种新颖的针对基于RLWE的同态加密的双层数据编码方法，充分利用了RLWE的多项式结构。我们的方法涉及一个双层数据打包策略，分别在整数层和多项式层进行批量处理。在第一层（整数层），我们将量化的模型数据整合成更大的整数。除了现有的基于连接的编码外，我们引入了一种新的编码方法，基于中国剩余定理（CRT）。这种基于CRT的方法有效地减轻了溢出和错误传播的问题。在第二层（多项式层），我们将这些大整数转化为多项式形式。此外，我们提出了一种新的子环分解方法，即利用环同构映射将多个大整数投影到不同的子多项式环中。我们的双层编码策略提供了一种更灵活且有效的批量同态加密解决方案。我们对该方法的正确性、效率和安全性进行了严格分析。我们的广泛实验评估表明，采用我们的双层编码技术的安全联邦学习显著提高了计算和通信效率，优于现有的批量同态加密方法。

论文链接：https://doi.org/10.1145/3658644.3690191

209、UWBAD: Towards Effective and Imperceptible Jamming Attacks Against UWB Ranging Systems with COTS Chips

UWB（超宽带）测距系统因其精确定位和安全测距能力而被广泛应用于许多关键和安全敏感的领域。我们提出了一种针对商业UWB测距系统的实用干扰攻击，称为UWBAD，该攻击利用了UWB测距中采用的归一化互相关处理的漏洞，可以在没有受害设备配置事先知识的情况下，快速选择性地阻断测距会话，这可能导致严重后果，例如财产损失、未经授权的访问或车辆盗窃。UWBAD的干扰效果更为有效且不易察觉，原因在于：(i) 它通过利用电场级的干扰，有效阻断每一个测距会话，从而对商业UWB测距系统产生显著影响；(ii) 基于商用现成（COTS）UWB芯片的紧凑、反应迅速和选择性的系统设计，使其经济且不易被察觉。我们成功对市场上三大UWB芯片供应商（如苹果、NXP和Qorvo）的商业UWB测距系统进行了真实攻击。我们已将我们的发现报告给苹果、相关的原始设备制造商（OEM）以及汽车安全研究小组。截至本文撰写时，相关OEM已确认其汽车系统存在此漏洞，并提供了5000美元的赏金作为奖励。

论文链接：https://doi.org/10.1145/3658644.3670349

210、Uncovering Gradient Inversion Risks in Practical Language Model Training

梯度反演攻击已被证明是联邦学习（FL）的一个重要隐私威胁，尤其是在视觉模型等连续领域中。相比之下，应用于语言模型时，它通常被认为效果较差或高度依赖于不切实际的训练设置，原因在于文本数据中标记的离散性所带来的挑战。因此，尽管FL是语言模型的一种新兴训练方法，其潜在的隐私威胁仍然被严重低估。在这项工作中，我们提出了一种领域特定的梯度反演攻击，命名为GRAB（<u>gra</u>dient inversion with hy<u>b</u>rid optimization）。GRAB具有两种交替优化过程，以应对实际训练设置带来的挑战，其中包括对层间dropout掩码的同步优化，以改善标记恢复，及针对有效标记序列的离散优化。GRAB能够恢复大量（最高可达92.9%的恢复率）的私有训练数据，其表现优于利用辅助模型的离散优化攻击策略，在基准设置中显著提高了最高28.9%的恢复率，而在实际设置中提高了48.5%的恢复率。GRAB为理解这种隐私威胁在新兴的FL训练模式中的应用提供了一个宝贵的进展。

论文链接：https://doi.org/10.1145/3658644.3690292

211、Understanding and Addressing Online Tracking: Online Privacy's Regulatory Turn

过去几十年的计算和存储突破催生了超越当前隐私增强工具、社会规范和隐私法规的在线追踪能力。用户缺乏阻止无法看到且几乎没有控制权的追踪类型的工具；数据管理者（即处理用户数据的公司）对用户认为规范上有问题的追踪实践缺乏理解；而政策制定者在起草以数据为中心或与追踪相关的法律时缺乏对现实世界实施的有效反馈——而此时这些法规还处于起步阶段，反馈至关重要。用户应该能够在网络上畅通无阻，而不至于沦为隐秘追踪技术的受害者；公司应该意识到用户认为最有问题的追踪类型；立法者应该能够依靠基于实证驱动的测量研究，帮助他们理解法律何处不足，以及公司需要在哪些方面获得帮助。我的论文工作专注于通过开发阻止追踪器的工具、调查用户对在线追踪的感知以及系统化与法律合规测量相关的知识来改善在线隐私。我在此重点讨论最后一项正在进行中的工作：对法律合规测量的系统化——帮助研究人员产生引人注目、伦理且法律上稳健的测量结果。

论文链接：https://doi.org/10.1145/3658644.3690857

212、Unmasking the Security and Usability of Password Masking

密码遮蔽是一种在输入密码时将其模糊处理的做法，广泛应用于在线认证。然而，它的优点已有十多年被争论，关于其安全性和可用性影响的问题仍然存在。至今，密码遮蔽的相关研究仍然有限。在这项工作中，我们实证研究了密码遮蔽的安全性和可用性影响。我们首先评估了流行浏览器和网站的遮蔽实践，展示了遮蔽的普遍性和设计多样性。在真实世界观察的指导下，我们随后对移动和PC设备上的遮蔽进行了混合方法评估，结合了对200多名参与者在使用遮蔽方面的体验和看法的调查，以及600名参与者在不同遮蔽条件下进行密码登录的用户实验。通过我们的研究，我们揭示了关于遮蔽的误解、遮蔽对可用性和安全性的影响，以及用户对遮蔽使用及其设计的偏好。最终，我们的研究为这一流行技术在实践中的表现奠定了实证基础，并提供了未来使用的建议。

论文链接：https://doi.org/10.1145/3658644.3690333

213、Unveiling Collusion-Based Ad Attribution Laundering Fraud: Detection, Analysis, and Security Implications

近年来，移动广告的增长主要是由应用内程序化广告和实时竞价（RTB）等技术推动的。然而，这一增长也导致了广告欺诈的增加，如点击注入、后台广告活动等。虽然现有的研究主要集中在单个应用或设备内的广告欺诈，但本文引入了一种新的基于合谋的广告欺诈形式，称为广告归因洗钱欺诈（ALF）。ALF涉及多个应用之间的合作，通过误导广告主，虚假呈现广告显示的应用。基于合谋的方法使得低质量应用能够利用看似合法应用的信誉身份。这欺骗广告主或广告网络，使其相信投放的广告是在合法应用上接触到潜在有效的终端用户。在这些攻击中，各个应用所采用的看似合法的广告事件和广告归因程序可以逃避现有工具的检测。

为检测ALF，我们设计并实现了第一个检测框架AlfScan。它克服了两个挑战，利用静态和动态分析技术从多样化和模糊的应用中提取应用的身份，然后交叉检查这些身份以识别ALF。我们在一个包含200个应用的真实数据集上评估了AlfScan，结果显示其精确度为92%，召回率也为92%。我们利用AlfScan对91,006个应用进行了大规模分析，识别出4,515个独特的欺诈应用和1,483个欺诈集群，暴露了欺诈开发者之间的模式，并揭示了第三方应用开发框架中的可靠性问题。我们还发现，通过ALF，欺诈应用可以产生比它们正常生成的广告流量多出2.43倍到33.33倍的无效广告流量。在向15家广告网络公司报告我们的发现后，有4家公司表示有兴趣测试AlfScan。特别是，我们已向Unity广告团队提交了344个应用，他们确认这些应用涉及欺诈活动。

论文链接：https://doi.org/10.1145/3658644.3670314

214、Unveiling the Vulnerability of Private Fine-Tuning in Split-Based Frameworks for Large Language Models: A Bidirectionally Enhanced Attack

最近，在预训练大语言模型（LLMs）方面的进展显著影响了各个领域。将这些模型适应于特定任务通常涉及使用私有的、领域特定的数据进行微调（FT）。然而，隐私问题使得这些数据无法公开，而部署LLMs的计算要求对资源有限的数据持有者构成挑战。这引发了对分割学习（SL）的兴趣，这是一种模型即服务（MaaS）范式，将LLMs分割成更小的部分进行分布式训练和部署，仅传输中间激活而非原始数据。SL在行业和学术界都引起了广泛关注，因为它旨在平衡用户数据隐私、模型所有权和私有微调LLMs中的资源挑战。尽管其声称保护隐私，本文揭示了SL与LLM微调结合所带来的显著脆弱性：微调的“非太远性”属性和LLMs的自回归特性。利用这些脆弱性，我们提出了双向半白盒重建攻击（BiSR），这是一种首个数据重建攻击（DRA），旨在针对SL的前向和后向传播过程。BiSR利用预训练权重作为先验知识，将基于学习的攻击与基于双向优化的方法相结合，以实现高效的数据重建。此外，它还结合了噪声自适应专家混合模型（NaMoE），以增强在扰动下的重建性能。我们对各种主流LLMs和不同设置进行了系统实验，经验性地展示了BiSR的先进性能。此外，我们还全面检查了三种具有代表性的防御机制，展示了我们的方法即使在存在这些防御的情况下也能重建私有数据的能力。

论文链接：https://doi.org/10.1145/3658644.3690295

215、VMud: Detecting Recurring Vulnerabilities with Multiple Fixing Functions via Function Selection and Semantic Equivalent Statement Matching

开源软件（OSS）的广泛使用导致了大量的代码重用，使得OSS中的漏洞显得尤为普遍。由于代码重用而产生的漏洞通常被称为易受攻击的代码克隆（VCCs）或重复漏洞。现有的方法主要采用基于克隆的技术，通过匹配软件项目中的易漏洞函数来检测重复漏洞。这些技术并没有纳入针对具有多个修复函数（VM）漏洞的特殊设计机制。通常情况下，它们为每个修复函数生成一个签名，并采用“一对多”的匹配方式报告VM。然而，由于不同修复函数间的漏洞上下文存在差异，检测VM的准确性水平也随之变化，这可能限制了现有方法的有效性。

在本文中，我们介绍了VMud，这是一种用于检测具有多个修复函数漏洞的新方法。VMud通过函数匹配识别易受攻击的函数克隆（VCCs），与现有方法类似。然而，VMud采用了不同的方法，仅选择VM中的关键函数用于签名生成，这些关键函数是修复函数的一个子集。这一步确保了VMud专注于能够提供足够有关VM知识的修复函数。为了应对因排除其余修复函数而可能导致的召回率下降，VMud使用这些关键函数进行语义等价语句匹配。它旨在通过为每个关键函数创建两个签名，并通过在这两个签名上的上下文语义等价语句映射进行精确匹配，以发现更多的VM。

我们的评估表明，VMud在F1分数方面超过了现有最先进的漏洞检测方法30.30%。此外，VMud成功从84个项目中检测到275个新的VM，其中42个已确认，并且有5个分配了CVE标识符。

论文链接：https://doi.org/10.1145/3658644.3690372

216、Verifiably Correct Lifting of Position-Independent x86-64 Binaries to Symbolized Assembly

我们提出了一种将与位置无关的 x86-64 二进制文件提升为符号化的 NASM 的方法。符号化是一个反编译步骤，它使得二进制补丁成为可能：可以修改函数，并且可以交错插入指令。此外，符号化是更大反编译链中的第一个抽象步骤。生成的 NASM 是可以重新编译的，我们广泛测试了重新编译的二进制文件，以检查其是否表现出与原始文件相同的行为。除了测试之外，生成的 NASM 还附带一个证书，该证书构建方式使得如果证书中的所有定理都成立，则符号化已正确完成。原始和重新编译的二进制文件再次通过第三方反编译器（Ghidra）进行提升。这些表示以及证书加载到 Isabelle/HOL 定理证明器中，证明脚本确保可以自动证明其正确性。我们将符号化应用于来自各种来源的多种剥离二进制文件，这些二进制文件来自不同的编译器，并涵盖各种优化级别。我们展示了符号化如何通过解决源于工业界的挑战来实现二进制级别的补丁。

论文链接：https://doi.org/10.1145/3658644.3690244

218、Watch Out! Simple Horizontal Class Backdoor Can Trivially Evade Defense

所有当前针对深度学习（DL）模型的后门攻击都属于垂直类别后门（VCB）。在VCB攻击中，任何来自某一类的样本在存在秘密触发器的情况下都会激活植入的后门，无论它是源类别无关的后门还是源类别特定的后门。例如，佩戴太阳镜的触发器可以误导人脸识别模型，无论是任意（源类别无关）还是特定（源类别特定）的人佩戴太阳镜。现有的防御策略主要集中在反制VCB攻击，特别是那些源类别无关的攻击。这种狭隘的关注忽视了其他更简单但更普遍的后门类型的潜在威胁，导致虚假的安全隐患。因此，发现和解释未知的后门类型，特别是那些易于实现的后门，作为开发对策之前的必要步骤至关重要。本研究引入了一种新的、简单的、通用的后门攻击类型——水平类别后门（HCB），它轻易打破了VCB的类别依赖特征，为该领域带来了全新的视角。HCB在无害特征与触发器同时出现时被激活，而与类别无关。例如，在HCB的情况下，佩戴太阳镜的触发器可以在出现无害特征“微笑”时误导人脸识别模型。微笑是无害的，因为它与人脸识别的主要任务无关。关键在于这些无害特征（例如在自动驾驶中的雨、雾或雪，或在面部识别中的微笑或悲伤的面部表情）在各个类别之间是水平共享的，但每个类别仅部分样本表现出这些特征。对MNIST、人脸识别、交通标志识别、物体检测和医学诊断等多个任务的攻击性能进行了广泛实验，证实了HCB的高效率和有效性。我们严格评估了HCB对一系列十一种代表性对策的规避能力，包括Fine-Pruning (RAID 18'), STRIP (ACSAC 19'), Neural Cleanse (Oakland 19'), ABS (CCS 19'), Februus (ACSAC 20'), NAD (ICLR 21'), MNTD (Oakland 21'), SCAn (USENIX SEC 21'), MOTH (Oakland 22'), Beatrix (NDSS 23') 和 MM-BD (Oakland 24')。即使使用简单触发器，例如一个小且静态的白色方块补丁，这些对策也没有证明其鲁棒性。

论文链接：https://doi.org/10.1145/3658644.3670361

219、What Did Come Out of It? Analysis and Improvements of DIDComm Messaging

自我主权身份 (SSI) 赋予个人和组织对其数据的完全控制。去中心化标识符 (DID) 是其核心，其中一个 DID 包含与某个实体相关联的一组公钥，以及进一步的信息，使得实体能够通过不同平台进行安全和私密的交流。一个关键的里程碑是 DIDComm，这是一个密码通信层，目前已在生产中使用版本 2。由于其广泛和积极的部署，对 DIDComm 的正式研究已经非常迫切。

我们提出了对 DIDComm 密码学的首次正式分析，并规范化其（发送者）匿名性和真实性的目标。我们采用可组合的方法来捕捉其在通用网络上的安全性，将 DIDComm 的目标表述为一个强理想的通信资源。我们证明，所提出的加密模式达到了预期的隐私和真实性水平，但泄露超出了由基础网络引起的泄露（由一个可参数化的资源捕捉）。

我们进一步利用我们的形式化方法提出增强方案并证明其安全性：首先，我们提出了一种优化算法，该算法同时实现匿名性和真实性，符合 DIDComm 消息格式，并在密文大小和计算时间上优于当前的 DIDComm 提案，几乎提高了近两倍。其次，我们提出了一种新的 DIDComm 模式，该模式实现了匿名性保护的概念，即它永远不会泄露超出其执行网络所导致的泄露。最后，我们展示了如何将这种新模式合并到我们改进的算法中，从而获得一种高效的全能模式，实现完全的匿名性和真实性。

论文链接：https://doi.org/10.1145/3658644.3690300