- 博客(96)
- 资源 (24)
- 收藏
- 关注
RSS订阅转载 网络安全顶刊——TIFS 2023 论文清单与摘要(3)
181、How to Disturb Network Reconnaissance: A Moving Target Defense Approach Based on Deep Reinforcement Learning随着互联网流量的爆炸性增长,大量敏感和有价值的信息面临网络攻击的风险,而这些攻击大多以网络侦察为前提。一种名为主机地址突变(HAM)的移动目标防御技术有助于应对网络侦察。然而,...
2024-05-04 18:00:11
21
转载 网络安全顶刊——TIFS 2023 论文清单与摘要(2)
91、DAON: A Decentralized Autonomous Oracle Network to Provide Secure Data for Smart Contracts区块链起源于比特币系统,因其去中心化、持久性和匿名性而引起强烈关注。区块链的执行环境与外部世界隔离,需要“区块链预言机”:从外部世界获取信息的代理。然而,预言机提供腐败、恶意或不准确数据的风险始终存在。为了克服这个...
2024-05-04 18:00:11
11
转载 网络安全顶刊——TIFS 2023 论文清单与摘要(4)
272、PCSF: Privacy-Preserving Content-Based Spam Filter隐私保护垃圾邮件过滤的目的是在检查电子邮件的同时保护其检测规则和电子邮件内容的隐私。尽管出现了许多解决方案,但它们存在以下问题:1)提供的隐私不足,因为电子邮件内容或检测规则可能会暴露给第三方;2)由于加密使用不当,可能会出现详尽的单词搜索攻击,可能会破坏加密电子邮件的机密性;3)当垃圾邮件...
2024-05-04 18:00:11
12
转载 网络安全顶刊——TIFS 2023 论文清单与摘要(1)
1、2PCLA: Provable Secure and Privacy Preserving Enhanced Certificateless Authentication Scheme for Distributed Learning随着机器学习和物联网的快速发展,分布式学习(DL)应运而生。随着边缘服务器预处理和预学习统计数据,全球服务器可以降低成本,提高效率,并输出更精确的结果。然而,为了...
2024-05-04 18:00:11
19
转载 网络安全顶刊——TIFS 2023 论文清单与摘要(5)
351、Secure Cloud-Assisted Data Pub/Sub Service With Fine-Grained Bilateral Access Control安全云辅助数据发布/订阅(Pub/Sub)服务提供了一种异步方法,使发布者和订阅者可以非交互性地交换加密消息。除了执行连接式订阅政策外,最近提出了许多数据Pub/Sub系统,旨在从发布者一侧到订阅者一侧提供动态访问控制。然...
2024-05-04 18:00:11
6
转载 网络安全顶刊——TDSC 2023 论文清单与摘要(3)
183、Leveraging Smart Contracts for Secure and Asynchronous Group Key Exchange Without Trusted Third Party群组密钥交换(GKE)是开发安全多用户应用程序的重要工具,例如群组短信,临时网络等。目前大多数部署的GKE方案是同步的,即在执行期间需要所有参与者在线。然而,随着越来越多的电池供电设备在这类...
2024-05-02 18:08:45
18
转载 网络安全顶刊——TDSC 2023 论文清单与摘要(4)
276、Secret-to-Image Reversible Transformation for Generative Steganography最近,将秘密信息转换为生成的图像的生成隐写术已成为一种有希望的技术,用于抵抗隐写分析检测。然而,由于秘密到图像转换的低效性和不可逆性,很难找到信息隐藏容量和提取准确性之间的良好折衷。为解决这一问题,我们提出了一种用于生成隐写术的秘密到图像可逆转换(S2...
2024-05-02 18:08:45
14
转载 网络安全顶刊——TDSC 2023 论文清单与摘要(1)
1、A Comparative Analysis of Software Aging in Image Classifiers on Cloud and Edge用于识别现实世界物体的图像分类器广泛应用于物联网(IoT)和网络物理系统(CPSs)。分类器通过机器学习算法在离线训练数据集上进行训练,然后部署在云端或边缘计算系统上进行在线标签预测。由于分类器的性能取决于底层软件基础设施,可能会随着时间...
2024-05-02 18:08:45
15
转载 网络安全顶刊——TDSC 2023 论文清单与摘要(2)
91、DPM: Towards Accurate Drone Position Manipulation尽管现有的方法可以打断受保护空域内的无人机入侵,但它们都无法精确引导无人机到达所需位置以进行安全处理。为了解决这个问题,本文提出了无人机位置操纵(DPM)攻击,以探索消费级无人机常见导航算法的弱点。DPM的主要优势在于它能够精准地将入侵无人机重定向到所需位置,通过精心制作虚假引导输入来利用路径跟...
2024-05-02 18:08:45
14
原创 2024年信息安全从业者推荐书单
已有2年多没更新了,这期间看得比较多的IT书,还是人工智能为主,刚好又赶上大模型时代,一些技能刚好派得上用场。重点推荐AI相关的书单,也增加其它书籍,同时删除一些过时的书单。本次更新内容:【注意】书单均是个人看过或者业界认可的经典书籍,跟网上罗列的安全书单不同,并非把网店上的各安全书籍都罗列上的。如果你有何好书推荐可在Issues(https://github.com/riusksk/secboo...
2024-04-21 17:12:51
888
原创 网络安全顶会——S&P '24 论文清单、摘要(中)
80、MQTTactic: Security Analysis and Verification for Logic Flaws in MQTT ImplementationsIoT消息传输协议对连接用户和物联网设备至关重要。在所有协议中,消息队列传输和遥测传输(MQTT)可以说是最广泛使用的。主流物联网平台利用MQTT代理,即MQTT的服务器端实现,来实现和调解用户设备通信(例如控制命令的传输)...
2024-04-03 21:40:51
1162
转载 网络安全顶会——S&P '24 论文清单、摘要(下)
140、SoK: Safer Digital-Safety Research Involving At-Risk Users涉及具有潜在风险的用户的研究,即更有可能受到数字攻击或在发生此类攻击造成伤害时受到不相称影响的用户,可能会对用户和研究人员带来重大的安全挑战。然而,在计算机安全与隐私(S&P)领域进行研究对于理解如何满足有潜在风险用户的数字安全需求并设计更安全的技术至关重要。为了规范...
2024-04-03 21:40:51
685
原创 网络安全顶会——S&P '24 论文清单、摘要(上)
1、"False negative - that one is going to kill you." - Understanding Industry Perspectives of Static Analysis based Security Testing随着对自动化安全分析技术的需求不断增加,如基于静态分析的安全测试(SAST)工具,研究人员和工具设计师必须了解开发人员如何看待、选择和使用...
2024-04-03 21:40:51
1177
原创 网络安全顶会——NDSS '24 论文清单、摘要(下)
71、K-LEAK: Towards Automating the Generation of Multi-Step Infoleak Exploits against the Linux Kernel操作系统内核中信息泄漏(简称infoleak)的严重性不容小觑,已经提出了各种利用技术来实现操作系统内核中的信息泄漏。其中,基于内存错误的infoleak是在实际利用中强大且广泛使用的。然而,现有的...
2024-03-22 20:35:43
1344
原创 网络安全顶会——NDSS '24 论文清单、摘要(上)
1、50 Shades of Support: A Device-Centric Analysis of Android Security UpdatesAndroid是迄今为止最受欢迎的操作系统,拥有超过30亿活跃移动设备。与任何软件一样,在Android设备上发现漏洞并及时应用补丁都至关重要。Android开源项目已经开始努力通过为设备分配安全补丁级别来改善安全更新的可追踪性。尽管这一倡议为漏...
2024-03-22 20:35:43
1774
原创 软件工程顶会——ICSE '24 论文清单、摘要
1、A Comprehensive Study of Learning-based Android Malware Detectors under Challenging Environments近年来,学习型Android恶意软件检测器不断增多。这些检测器可以分为三种类型:基于字符串、基于图像和基于图形。它们大多在理想情况下取得了良好的检测性能。然而,在现实中,检测器常常面临不在分布范围之内的样...
2024-03-03 18:01:03
1116
转载 网络安全顶会——USENIX Security '24 夏季论文清单、摘要
1、"Belt and suspenders" or "just red tape"?: Investigating Early Artifacts and User Perceptions of IoT App Security Certification随着物联网安全法规和标准的出台,该行业开始采用传统的软件合规执行模型来保证物联网领域的合规性,商业许可评估机构(CLEFs)代表监管机构(以及...
2024-03-02 17:02:33
572
原创 软件工程学术顶刊——TSE 2023 论文(网络安全方向)清单与摘要
1、A Source-Level Instrumentation Framework for the Dynamic Analysis of Memory Safety底层控制使得 C 语言不安全,导致内存错误,可能导致数据损坏、安全漏洞或程序崩溃。动态分析工具通常在 IR 或二进制级别进行仪器化,用于在运行时检测内存错误,然而,这些非源代码级别的仪器化框架和工具存在两个固有的缺点:对优化敏感和平...
2024-01-07 18:27:19
971
原创 《漏洞战争》修订版说明
遥想当年,初次著书时的忐忑,几经放弃又重启的波澜,来回修改时的烦躁,出版后的如释重负……不由深为感慨:人生有此一番经历足矣!本书前一版印刷时采用了轻型环保纸,由于纸张颜色偏暗、手感较粗糙,多次被读者误认为是盗版书,因此出版社后来改用常规纸张印刷——这也是网上有人反馈自己买来的书比朋友买的薄许多的原因。这些读者心声,出版社一直在持续关注并改进着。个人认为,书的质量远比数量更重要。此类漏洞案例实战的书...
2024-01-06 20:38:53
451
原创 网络安全学术顶刊——CCS '23 论文清单与摘要(上)
最近大家都来催更了,刚好上周把CCS '23的论文爬下来。之前都是用chatgpt翻译,这次打算用下国产货。一开始用腾讯翻译这种比较传统的翻译工具,在面对这种专业性比较强的领域时,那翻译质量真是一言难尽,果断弃用。大模型时代,传统的翻译手段都会被降维打击。对比文心一言、智谱、千问、讯飞之后,发现还是文心一言的翻译质量更好,但相比chatgpt仍有差距,主要原因是文心更停留于表面翻译,语句冗长且口语...
2023-12-02 20:54:20
4440
转载 网络安全学术顶刊——CCS '23 论文清单与摘要(中)
86、Finding All Cross-Site Needles in the DOM Stack: A Comprehensive Methodology for the Automatic XS-Leak Detection in Web Browsers跨站泄漏(XS-Leaks)是一类漏洞,允许网络攻击者跨源从目标Web应用程序推断用户状态。修复XS-Leaks是一场猫捉老鼠的游戏:一旦...
2023-12-02 20:54:20
2228
转载 网络安全学术顶刊——CCS '23 论文清单与摘要(下)
PS:由于公众号单篇文章的字数有限,因此删减了部分摘要。174、Poster: Metadata-private Messaging without Coordination论文链接:https://doi.org/10.1145/3576915.3624385175、Poster: Mujaz: A Summarization-based Approach for Normalized Vuln...
2023-12-02 20:54:20
1073
原创 软件工程学术顶刊——TSE 2022 (网络安全方向)论文清单、摘要与总结
总结本文总结了27篇关于软件工程安全相关的论文,内容涵盖漏洞检测与修复、测试与验证、安全需求与设计等方面。前3名热门研究方向是:基于深度学习的漏洞检测自动程序修复智能合约安全性分析3个冷门的研究方向是:安全文化对软件开发的影响API误用检测与修复安全需求依赖性分析1、AI-Enabled Automation for Completeness Checking of Privacy Policie...
2023-09-23 09:22:44
361
原创 软件工程学术顶会——ESEC/FSE 2022 议题(网络安全方向)清单、摘要与总结
总结本次会议中网络安全相关议题涵盖区块链、智能合约、符号执行、浏览器API模糊测试等不同研究领域。热门研究方向:1. 基于深度学习的漏洞检测与修复2. 基于AI的自动漏洞修复3. 模糊测试与漏洞发现冷门研究方向:1. 多语言代码的漏洞分析2. 代码审查中的软件安全3. 浏览器API模糊测试未来值得研究的方向建议:1. 结合程序分析和AI技术的端到端自动漏洞管理2. 面向0day漏洞的AI驱动检测...
2023-09-03 19:53:38
1084
原创 软件测试学术顶会——ISSTA 2023 论文(网络安全方向)清单、摘要与总结
总结本次会议涵盖的安全研究主题广泛,包括源代码分析、二进制代码分析、恶意软件检测、漏洞检测、模糊测试、程序验证等。一些热门的研究方向包括:基于机器学习的漏洞检测、大型语言模型在软件安全中的应用、区块链智能合约安全分析。这些方向都在最近几年持续发展。一些较冷门的研究方向包括:嵌入式固件安全、自动驾驶系统安全测试、多媒体内容审核软件验证。这些方向研究的系统及应用场景较为专业。一些值得深入研究的方向包括...
2023-08-16 19:05:55
3306
转载 软件工程学术顶会——ASE 2022 论文(网络安全方向)清单、摘要与总结
总结热门研究方向基于深度学习的漏洞检测技术:多篇论文探讨了如何利用深度学习模型来检测代码中的安全漏洞,例如VDet for Java,ReVulDL等,以及多篇论文探讨了如何设计更高效和自动化的模糊测试技术,例如基于强化学习的漏洞引导模糊测试,语法无关的数据库管理系统模糊测试等。这显示出基于深度学习进行漏洞挖掘的研究热点方向。自动程序修复技术:多篇论文探讨了如何利用机器学习和程序分析技术来自动修...
2023-08-13 19:01:59
892
原创 软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要
按语:IEEE/ACM ICSE全称International Conference on Software Engineering,是软件工程领域公认的旗舰学术会议,中国计算机学会推荐的A类国际学术会议,Core Conference Ranking A*类会议,H5指数74,Impact score 11.55。2023年完整的议题清单参考此处:https://conf.researchr.o...
2023-07-23 11:01:53
2750
原创 人工智能学术顶会——NeurIPS 2022 议题(网络安全方向)清单、摘要与总结
按语:随着大模型的崛起,将AI再次推向一个高峰,受到的关注也越来越大。在网络安全领域,除4大安全顶会外,一些涉及AI的安全话题,包括对AI的攻防研究,以及应用AI做安全的研究方向,也会发表在AI顶会上。但是,像NeurIPS 2022年的议题就有2834个(2023年还在 call for papers),手工翻一遍都得很久,何况还要分类出安全主题的,更是费劲,因此我利用AI去做主题分类,把感兴趣...
2023-07-09 13:20:12
2764
原创 网络安全学术顶会——CCS '22 议题清单、摘要与总结(上)
注意:本文由GPT4与Claude联合生成。按语:ChatGPT在计算机领域的翻译质量还是欠缺一些,翻译出来的中文有的不够自然,经常完全按照英文的表达方式来,导致中文特别长,很绕。GPT4的翻译效果相对ChatGPT效果要好,会长句变短句,表达顺序更符合中文逻辑,更自然。因此,本文主要用GPT4翻译,Claude对所有议题摘要进行长文总结。总结热门研究方向:1.机密计算。许多文章关注如何在不泄密的...
2023-06-18 17:51:56
4436
原创 网络安全学术顶会——CCS '22 议题清单、摘要与总结(下)
注意:本文由GPT4与Claude联合生成。161、Secure Auctions in the Presence of Rational Adversaries密封竞标拍卖用于在一组感兴趣的参与者之间分配资源。传统上,拍卖需要一个受信任的拍卖师在场,竞标者向其提供他们的私人出价。然而,实际上很难实现这样一个受信任的第三方。通用的安全计算协议可以用来去除受信任的第三方。然而,通用技术会导致效率低下...
2023-06-18 17:51:56
1875
原创 网络安全学术顶会——CCS '22 议题清单、摘要与总结(中)
注意:本文由GPT4与Claude联合生成。81、HammerScope: Observing DRAM Power Consumption Using Rowhammer内存单元尺寸的不断缩小使得内存密度提高,功耗降低,但同时也影响了其可靠性。Rowhammer攻击利用这种降低的可靠性在内存中引发比特翻转,而无需直接访问这些比特。大多数Rowhammer攻击针对的是软件的完整性,但一些最近的攻击...
2023-06-18 17:51:56
2437
原创 网络安全学术顶会——S&P 2023 议题清单、摘要与总结(中)
注:本文由ChatGPT与Claude联合生成51、Effective ReDoS Detection by Principled Vulnerability Modeling and Exploit Generation正则表达式拒绝服务攻击(ReDoS)是一种算法复杂度攻击。对于易受攻击的正则表达式,攻击者可以精心制作某些字符串来触发超线性最坏情况匹配时间,从而导致正则表达式引擎的拒绝服务。最...
2023-06-10 19:58:20
3354
原创 网络安全学术顶会——S&P 2023 议题清单、摘要与总结(上)
总结本文总结了196篇近期涉及网络安全领域的研究论文。主要可分为以下几类:隐私保护,涉及到匿名认证、隐私保护机器学习等机器学习安全,主要研究对抗样本和隐蔽后门等问题浏览器和网络安全,涉及指纹识别、端到端加密、网站选择标志等嵌入式系统安全,主要针对 IOT 安全操作系统和软件安全,滥用漏洞检测和代码审计等混合加密和安全多方计算区块链安全,包括以太坊和比特币等密码学相关,如 zk snarks、零知识...
2023-06-10 19:58:20
8151
1
原创 网络安全学术顶会——S&P 2023 议题清单、摘要与总结(下)
注:本文由ChatGPT与Claude联合生成121、QueryX: Symbolic Query on Decompiled Code for Finding Bugs in COTS Binaries可扩展的静态检查工具,如Sys和CodeQL,成功地发现了源代码中的错误。这些工具允许分析人员编写应用程序特定的规则,称为查询。这些查询可以利用分析人员的领域知识,从而使分析更准确和可扩展。然而,...
2023-06-10 19:58:20
2907
原创 网络安全学术顶会——NDSS 2023 议题清单、摘要与总结(下)
51、Let Me Unwind That For You: Exceptions to Backward-Edge Protection通过堆栈缓冲区溢出进行反向边控制流劫持是软件利用的终极目标。直接控制关键的堆栈数据和劫持目标使得攻击者特别喜欢这种利用策略。因此,社区已经部署了强大的反向边保护,如影子堆栈或堆栈金丝雀,迫使攻击者采取不太理想的基于堆的利用策略。然而,这些缓解通常依赖于一个关键假...
2023-06-03 20:08:04
2853
1
原创 网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结(下)
注:本文由ChatGPT与Claude联合生成77、IvySyn: Automated Vulnerability Discovery in Deep Learning Frameworks我们提出了IvySyn,这是第一个能够完全自动发现深度学习(DL)框架中内存错误漏洞的框架。IvySyn利用本地API的静态类型特性,自动执行基于变异的类型感知模糊测试,以对低级内核代码进行测试。给定一组触发本...
2023-05-31 20:56:55
2702
原创 网络安全学术顶会——USENIX Security '23 秋季论文清单、摘要与总结(上)
注:本文由ChatGPT与Claude联合生成总结根据USENIX Security '23 秋季论文信息总结如下:一、研究方向热门方向:1.对抗性机器学习和对抗样本。许多研究探索了如何生成对抗样本躲避检测以及如何提升模型鲁棒性。2.隐私保护和安全加强。研究通过技术手段如对称加密、同态加密等来增强模型的隐私保护能力。3.恶意软件分析和检测。使用机器学习、模糊测试等技术自动发现和分析恶意软件。冷门方...
2023-05-31 20:56:55
4730
1
原创 网络安全学术顶会——USENIX Security '23 夏季论文清单、摘要与总结
注:本文由ChatGPT与Claude联合生成总结根据上述的USENIX Security' 23会议接受的论文,可以总结出以下几个方面:一、攻击与防御研究占比较大比重,大约有30篇论文涉及系统、网络和机器学习模型的各类攻击与防御。包括侧信道攻击、模糊测试技术、认证和授权攻击、隐私攻击与防御等。攻击与防御仍然是重要的研究方向。二、自动化技术也是重点研究内容,大约有25篇论文提出各种自动化技术来发现...
2023-05-28 20:39:30
5262
原创 自学 AI 一年的体会(1):谈技术书籍出版的长长短短
自学AI近一年,发现打开了一片新的技术大门,不再局限于漏洞攻防这块地盘,更关键是AI可以应用于诸多领域,甚至已不局限于计算机领域了,能搞的事情更多了。在此期间,自己也使用NLP自然语言处理技术开发出多个模型来处理文本,效果还行。1、AI书籍虽多,但适合入门的很少AI是门理论要求较高的学科,因此需要学习的内容很多,但发现资料虽多,适合入门的却廖廖无几。AI方面的理论书籍非常多,但真正能教你写出代码的...
2023-03-11 14:56:12
235
转载 【赠书】Ghidra权威指南
对于抽奖赠书的文章内容,我一向尽量精简。相信对于大多数人而言,更多是一种新书资讯,知道主题和目录即可,反正我平时挑书买书差不多如此。关于逆向工具,相信大家会首选IDA,但它售价很贵,连同F5插件,一般也要4万块人民币/年,所以不少人用盗版的。但自从免费的Ghidra出来后,确实是可以作为继IDA之后的不二之选,也支持跨平台。关于书的更多信息可以参考下图,或扫码到京东上自己看。老规矩,文末抽奖送4本...
2023-02-12 13:35:43
358
Microsoft Network Monitor 3.2
2010-03-13
Writing JIT-Spray Shellcode for fun and profit
2010-03-09
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人