51、Let Me Unwind That For You: Exceptions to Backward-Edge Protection

通过堆栈缓冲区溢出进行反向边控制流劫持是软件利用的终极目标。直接控制关键的堆栈数据和劫持目标使得攻击者特别喜欢这种利用策略。因此，社区已经部署了强大的反向边保护，如影子堆栈或堆栈金丝雀，迫使攻击者采取不太理想的基于堆的利用策略。然而，这些缓解通常依赖于一个关键假设，即攻击者依赖于返回地址的破坏来直接劫持函数返回时的控制流。在本文中，我们介绍了这一假设的*异常情况*，并展示了基于反向边控制流劫持的攻击 *不需要* 直接劫持的情况下也是可能的。具体而言，我们证明了堆栈破坏可以导致异常处理作为*混淆代理人*并代表攻击者发起反向边控制流劫持攻击。这种策略提供了被忽视的机会，将执行转移到攻击者控制的catch处理程序（一种我们称为Catch Handler Oriented Programming或CHOP的范例）并创建强大的原语，如任意代码执行或任意内存写入。我们发现CHOP风格的攻击适用于多个平台（Linux、Windows、macOS、Android和iOS）。为了分析发现的攻击面，我们调查了流行的开源软件包并研究了所提出的利用技术的适用性。我们的分析表明，适合异常处理的目标在C++程序中无处不在，可利用的异常处理程序也很常见。最后，我们通过对实际软件的三个端到端利用的呈现，提出了对已部署的缓解措施的更改来解决CHOP。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-295-paper.pdf

52、Machine Unlearning of Features and Labels

从机器学习模型中删除信息是一个非常复杂的任务，需要部分地撤销训练过程。当敏感数据，如信用卡号码或密码，意外进入模型并需要在之后删除时，这个任务是不可避免的。最近，已经提出了不同的机器学习去学习的方法来解决这个问题。虽然这些方法在删除单个数据点方面是有效的，但它们无法扩展到需要撤销更大组的特征和标签的情况。

在本文中，我们提出了第一种去学习特征和标签的方法。我们的方法建立在影响函数的概念上，并通过模型参数的闭合形式更新实现去学习。它能够在回顾性地调整训练数据对学习模型的影响，并从而纠正数据泄露和隐私问题。对于具有强凸损失函数的学习模型，我们的方法提供了带有理论保证的认证去学习。对于具有非凸损失的模型，我们通过实验证明去学习特征和标签是有效的，而且比其他策略要快得多。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-87-paper.pdf

53、MetaWave: Attacking mmWave Sensing with Meta-material-enhanced Tags

毫米波（mmWave）感知已经应用于许多关键应用程序，为全球数百万人服务。但是，在现实世界中，它容易受到攻击。这些攻击基于昂贵和专业的射频（RF）调制器为基础的仪器，并且可以通过常规实践（例如RF指纹）来防止。在本文中，我们提出并设计了一种新颖的被动mmWave攻击，称为MetaWave，使用低成本且易于获得的元材料标签来攻击消失和幽灵攻击类型。这些元材料标签由商用现成材料（COTS）制成，具有定制的标签设计，可用于攻击各种目标，从而大大降低mmWave感知的攻击门槛。具体而言，我们展示了由序数材料（例如C-RAM LF）制成的标签可以用于精确篡改mmWave回波信号并欺骗范围、角度和速度感知测量。此外，为了优化攻击，提出和设计了一种通用的基于模拟器的MetaWave攻击框架，用于模拟标签对mmWave信号的影响，并具有先进的标签和场景参数。我们在模拟和实际实验中评估了MetaWave元材料标签攻击（即20个不同的环境）和各种攻击设置。实验结果表明，在实际应用中，MetaWave可以实现最高97％的范围估计攻击准确度，96％的角度估计攻击准确度和91％的速度估计攻击准确度，比现有的mmWave攻击方法便宜10-100倍。我们还评估了MetaWave在不同实际场景下的可用性和鲁棒性。此外，我们对MetaWave mmWave攻击的对策进行了深入分析和讨论，以改善无线感知和网络基础设施安全性。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-348-paper.pdf

54、MyTEE: Own the Trusted Execution Environment on Embedded Devices

我们提出了一种解决方案MyTEE，即使在缺少主要硬件安全基元（例如，用于内存访问控制的ARM TrustZone扩展）的最坏情况下，也可以构建可信执行环境（TEE）。内存隔离的页面表制作，过滤DMA数据包以及启用安全IO是MyTEE的核心。特别是对于安全IO，我们对控制器的IO缓冲区和内存映射寄存器进行了屏蔽，并安全提升了设备驱动程序的部分代码块的权限，以提供访问受保护对象的权限。通过这样做，免除了在TEE中主机设备驱动程序（全部或部分），这可能会引入新的攻击面。MyTEE的概念证明（PoC）实现在树莓派3板上，该板不支持构建TEE的大部分重要安全基元。此外，演示了三个安全IO示例，包括硬件TPM，帧缓冲区和USB键盘，以展示我们方法的可行性。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-41-paper.pdf

55、Navigating Murky Waters: Automated Browser Feature Testing for Uncovering Tracking Vectors

现代Web浏览器构成了具有广泛API和功能的复杂应用平台。关键是，这包括多种异构机制，允许站点存储明确或隐含地改变客户端状态或功能的信息。这种行为将任何浏览器存储、缓存、访问控制和策略机制都暴露为潜在的跟踪向量。正如先前的工作所示，跟踪向量可能通过复杂的行为表现出来，并展现出在不同浏览上下文中差异巨大的不同特征。在本文中，我们开发了CanITrack，一种自动化的，机制不可知的框架，用于测试浏览器功能并发现新的跟踪向量。我们的系统旨在通过简化系统化浏览器机制测试来为浏览器供应商和研究人员提供帮助。它接受读取和写入机制条目的方法，并在不同的浏览上下文中调用这些方法，以确定机制可能暴露的任何潜在跟踪漏洞。为了展示我们系统的能力，我们测试了21种浏览器机制，并发现了一系列跟踪向量，其中包括13个启用第三方跟踪的向量和两个绕过隐私浏览模式提供的隔离的向量。重要的是，我们展示了来自Google高度公开和广泛讨论的隐私沙箱计划的两个单独机制如何被利用进行跟踪。我们的实验结果已经导致了7个主要浏览器中的20份披露报告，这些报告已经引发了补救措施。总体而言，我们的研究凸显了浏览器在试图平衡采用新功能和保护其用户隐私时面临的复杂和艰巨挑战，以及将CanITrack纳入其内部测试流程中的潜在好处。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_f72_paper.pdf

56、No Grammar, No Problem: Towards Fuzzing the Linux Kernel without System-Call Descriptions

整个计算生态系统的完整性取决于操作系统（OS）的安全性。不幸的是，由于OS代码的规模和复杂性，每年都会发现数百个安全问题。因此，操作系统一直是应用安全分析工具的主要用例。近年来，模糊测试已成为自动发现软件安全问题的主要技术。因此，模糊测试已被适应于在内核中查找数千个漏洞。然而，现代OS模糊测试器（如Syzkaller）依赖于每个在内核中模糊测试的接口的精确、广泛和手动创建的harnesses和语法。由于对语法的依赖，当前的OS模糊测试器面临着规模问题。在本文中，我们介绍了FuzzNG，我们对OS上系统调用进行模糊测试的通用方法。与Syzkaller不同，FuzzNG不需要详细描述系统调用接口才能正常工作。相反，FuzzNG利用基本的内核设计特性来重塑和简化模糊测试器的输入空间。因此，FuzzNG只需要每个新目标的小配置：实际上是模糊测试器应该探索的文件和系统调用数量的列表。我们为Linux内核实现了FuzzNG。在Syzkaller中具有广泛描述的10个Linux组件上测试FuzzNG表明，平均而言，FuzzNG实现了Syzkaller覆盖范围的102.5％。FuzzNG发现了9个新漏洞（其中5个位于Syzkaller已经进行了多年的组件中）。此外，FuzzNG的轻量级配置不到Syzkaller手动编写的语法的1.7％。重要的是，FuzzNG在没有初始种子输入或专家指导的情况下实现了这一点。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-688-paper.pdf

57、OBI: a multi-path oblivious RAM for forward-and-backward-secure searchable encryption

动态可搜索加密（DSE）是一种用户-云协议，用于在外部加密数据上搜索。许多当前的DSE方案采用遗忘式RAM（ORAM）来实现前向隐私和后向隐私，这是描述协议安全级别的概念。然而，我们发现大多数基于ORAM的DSE方案存在一个新问题：获取/插入大量数据块是低效的。我们称之为大储存驱逐问题。为了解决这个问题，我们提出了OBI，一个多路径遗忘式RAM，每次查询访问多个树路径来处理大量数据块。我们将传统的基于树的ORAM分类为单路径ORAM，如果它们每次查询只访问一个路径。OBI具有两个新的高吞吐量多路径驱逐算法，当stash很大时，它们比着名的PATH-ORAM驱逐算法高几个数量级。我们证明了所提出的多路径ORAM在本地stash大小和插入效率方面优于传统的单路径ORAM。安全分析表明，OBI在强前向和后向安全模型下是安全的。OBI可以保护众所周知的DSE泄漏，如搜索模式和大小模式。我们还展示了OBI可以应用于遗忘式文件系统和遗忘式连词查询DSE方案。我们对Enron数据集进行了实验。实验结果表明，OBI比最先进的基于ORAM的DSE方案要高效得多。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-423-paper.pdf

58、OBSan: An Out-Of-Bound Sanitizer to Harden DNN Executables

随着深度神经网络（DNN）模型在各种硬件平台上的快速采用，深度学习（DL）编译器的发展得到了推动。DL编译器以高级DNN模型规范作为输入，并为CPU和GPU等各种硬件架构生成优化的DNN可执行文件。尽管DL编译器在实际场景中的采用正在兴起，但目前还没有解决方案来保护DNN可执行文件。为填补这个关键空白，本文介绍了OBSAN，一种快速的消毒剂，用于检查DNN可执行文件的越界（OOB）行为。从整体上看，DNN包含双向计算：前向传播根据输入预测输出，反向传播描述了如何进行前向预测。前向传播中的神经元激活和反向传播中的梯度都应该落在有效范围内，偏离有效范围的行为将被视为越界。越界主要与DNN的不安全行为相关，这源于异常输入，可能导致误判甚至通过对抗性示例（AE）进行利用。因此，我们设计了OBSAN，它包括两个变体FOBSAN和BOBSAN，分别可以检测前向和后向传播中的OOB。每个OBSAN都被设计为DL编译器的额外传递，以与大规模DNN模型集成，并设计各种优化方案以减少OBSAN的开销。各种异常输入的评估表明，OBSAN具有低开销的有前途的OOB检测能力。我们进一步提出了两个下游应用程序，以展示OBSAN如何防止在线AE生成并促进基于反馈的模糊测试向DNN可执行文件进行。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-103-paper.pdf

59、On the Anonymity of Peer-To-Peer Network Anonymity Schemes Used by Cryptocurrencies

加密货币系统可能会受到去匿名化攻击，这是通过利用点对点网络上的网络层通信来实现的。在点对点网络中控制一组串通的节点的对手可以观察到正在交换的交易并推断出涉及的各方。因此，提出了各种网络匿名方案来缓解这个问题，一些解决方案提供了理论匿名保证。在这项工作中，我们对这些点对点网络匿名解决方案进行建模并评估它们的匿名保证。为此，我们提出了一个新的框架，使用贝叶斯推断来获取将交易与其可能的发起者联系起来的概率分布。我们使用熵作为度量对手不确定性的度量来表征交易匿名性。特别是，我们对Dandelion、Dandelion++和闪电网络进行建模。

我们研究了不同的配置，并证明它们都没有为用户提供可接受的匿名性。例如，我们的分析表明，在广泛部署的闪电网络中，通过控制11个策略性选择的串通节点，对手可以唯一确定网络中总交易量的约50％的发起者。在Dandelion中，控制15个节点的对手平均只有88个可能的发起者中的不确定性。此外，我们观察到，由于Dandelion和Dandelion++的设计方式，增加网络规模并不会对潜在发起者的匿名集合产生增加。令人担忧的是，我们对闪电网络的纵向分析表明，随着网络的增长，总体匿名性反而下降。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-241-paper.pdf

60、OptRand: Optimistically Responsive Reconfigurable Distributed Randomness

公共随机信标定期发布随机数，任何人都可以获取和验证。公共分布式随机信标的设计是一个具有重大影响的研究方向，对区块链、投票等领域具有重要意义。分布式随机信标除了需要具有防偏和不可预测性外，还需要具有低通信开销和延迟、高容错性和易于重新配置的特点。现有的同步随机信标协议牺牲了其中一个或多个属性。在这项工作中，我们设计了一种高效的不可预测同步随机信标协议OptRand，每个信标输出具有二次（在系统节点数n的情况下）通信复杂度。首先，我们创新地采用双线性配对的基于公开可验证密钥分享和非交互式零知识证明的新组合，建立了一个线性（在n中的大小）的公开可验证的随机分享。其次，我们开发了一种具有线性大小输入的状态机复制协议，也是乐观响应的，即它可以在乐观条件下以实际网络速度响应进展，尽管同步假设，因此产生低延迟。此外，我们提供了OptRand的高效重新配置机制，允许节点离开和加入系统。我们的实验表明，在乐观条件下，我们的协议比现有的协议表现显著更好，在正常情况下与现有协议相当。我们也是第一个为分布式信标实现重新配置机制，并证明我们的协议在重新配置期间仍然可以运行。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-832-paper.pdf

61、POSE: Practical Off-chain Smart Contract Execution

智能合约使用户能够根据复杂的程序逻辑执行付款。以太坊是支持智能合约的区块链中最著名的例子，被用于无数的应用，包括游戏、拍卖和金融产品。不幸的是，传统的在链上运行合约代码的方法非常昂贵，例如，在以太坊平台上，费用大幅增加，使得系统不适合复杂的应用。解决这个问题的一个显著解决方案是在链下执行代码，只使用区块链作为信任锚点。虽然在过去几年中在开发链下系统方面已取得了重大进展，但当前的链下解决方案存在各种缺点，包括昂贵的区块链交互、缺乏数据隐私、从锁定抵押品中获得巨额资本成本或仅支持一组受限的应用程序。在本文中，我们介绍了POSE——一种针对现有解决方案的上述缺点的实用链下智能合约协议。POSE利用一组可信执行环境（TEE）池来高效执行计算并快速恢复意外或恶意故障。我们展示了即使大部分参与方被损坏，POSE也提供了强大的安全保障。我们评估了我们的概念验证实现的效率和效果。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-118-paper.pdf

62、PPA: Preference Profiling Attack Against Federated Learning

联邦学习（FL）通过多个分散的用户进行全局模型训练，每个用户都有本地数据集。与传统的集中式学习相比，FL不需要直接访问本地数据集，因此旨在缓解数据隐私问题。然而，FL中的数据隐私泄漏仍然存在，包括成员推理、属性推理和数据反演等推理攻击。在这项工作中，我们提出了一种新型的隐私推理攻击，称为偏好轮廓攻击（PPA），可以准确地描述本地用户的私人偏好，例如客户的在线购物中最受欢迎（最不受欢迎）的商品和用户自拍中最常见的表情。通常情况下，PPA可以在本地客户（用户）的特征条件下描述前kk个（即kk=1,2,31,2,3，特别地kk=1k=1）偏好。我们的关键见解是，本地用户模型的梯度变化对给定类别的样本比例具有可区分的敏感性，特别是对于大多数（少数）类别。通过观察用户模型对类别的梯度敏感性，PPA可以描述用户本地数据集中该类别的样本比例，从而暴露用户的偏好。FL的固有统计异质性进一步促进了PPA的发展。我们已经使用四个数据集（MNIST、CIFAR10、RAF-DB和Products-10K）广泛评估了PPA的有效性。我们的结果显示，在MNIST和CIFAR10中，PPA分别实现了90%和98%的前1攻击精度。更重要的是，在购物（即Products-10K）和社交网络（即RAF-DB）的实际商业场景中，PPA在前1攻击准确率方面分别获得了78%的最高攻击准确率，以推断最常订购的商品（作为商业竞争对手），以及88%的最高攻击准确率，以推断受害者用户最常见的面部表情，例如厌恶。对于Products-10K和RAF-DB，前3攻击准确率和前2攻击准确率分别高达88%和100%。我们还表明，PPA对FL的本地用户数量（我们测试的上限为100）和本地训练轮数（我们测试的上限为20）不敏感。虽然现有的对抗措施，如dropout和差分隐私保护，可以在一定程度上降低PPA的准确性，但它们不可避免地会对全局模型造成显著的恶化影响。源代码可在https://github.com/PPAattack上获得。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-171-paper.pdf

63、Parakeet: Practical Key Transparency for End-to-End Encrypted Messaging

仅靠加密是不足以保证安全的端到端加密消息传递的：服务器还必须诚实地向用户提供公钥。密钥透明度被提出作为一种检测（从而防止）试图不诚实提供密钥的服务器的有效解决方案。密钥透明度包括两个主要组成部分：（1）用户名到公钥映射，由服务器存储和加密承诺；（2）一种用于向用户提供短承诺的离线一致性协议。在实际部署和支持生产规模的情况下，这两个组件必须考虑新的挑战。我们列举这些挑战并提供解决方案。特别地，我们设计并实现了一种内存优化和隐私保护的可验证数据结构，用于提交用户名到公钥存储。为了使这个实现对于生产可行，我们还整合了持久性和分布式存储支持。我们还提出了一种未来导向的解决方案，称为“压缩”，作为缓解处理无限增长的服务器数据结构所带来的实际问题的机制。最后，我们实现了一种无共识的解决方案，它实现了透明应用程序的承诺一致分发的最低要求，为向用户分发小而一致的承诺提供了更有效的协议。这使我们能够通过我们的基准测试演示可行性，从而达到了生产级别的密钥透明度系统（Parakeet）的实现，并公开了源代码。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-545-paper.pdf

64、Paralyzing Drones via EMI Signal Injection on Sensory Communication Channels

惯性测量单元（IMU）对于无人机的姿态控制承担着关键责任。它由各种传感器组成，并将传感器数据传输到无人机的控制单元。如果它报告不正确的数据，无人机将无法保持姿态并坠落到地面。因此，一些反无人机研究集中于通过利用精心制作的声学波来共振内部传感器的机械结构，从而在IMU传感器数据中引起显著波动。然而，由于IMU中每个传感器的结构细节因类型、型号和制造商而显着不同，因此该方法在有效性方面存在局限性。此外，它可以通过使用其他不受攻击影响的补充传感器甚至使用廉价的塑料屏蔽来轻松减轻。在本文中，我们提出了一种新颖的反无人机技术，可以有效地破坏任何IMU传感器数据，而不考虑传感器的类型、型号和制造商。我们的关键想法是通过使用电磁干扰（EMI）信号注入来扭曲无人机的IMU与控制单元之间的通信通道。实验结果表明，对于给定的控制单元板，无论使用何种传感器，都会发现一个明显的易感频率，在该频率下，EMI信号可以极大地扭曲传感器数据。与一般的电磁脉冲（EMP）攻击相比，它需要更少的功率，因为它针对特定易感频率。它还可以避免EMP攻击的附带损害。为了实际评估，我们使用真实的无人机演示了攻击的可行性；攻击立即使无人机瘫痪。最后，我们总结了其缓解的实际挑战。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-616-paper.pdf

65、Partitioning Ethereum without Eclipsing It

我们提出了一种实用的分区攻击，称为Gethlighting，它可以在数小时内将以太坊全节点与网络的其余部分隔离开来，而无需占用（或遮蔽）目标节点的所有对等连接。在Gethlighting中，攻击者仅控制目标节点的所有对等连接中约一半（例如，总共50个对等连接中的25个），使用几个廉价的虚拟机操作就可以实现强大的分区攻击。Gethlighting的核心是其低速拒绝服务（DoS）策略，可以在几个小时内有效地停止本地区块链的增长，同时不干扰其他以太坊节点操作。我们分析了低速DoS所造成的微小和不显著的延迟如何导致强大的区块链分区攻击。我们讨论了Gethlighting的实际影响，即攻击具有可扩展性和低成本（仅需大约5,714美元，即可同时针对所有以太坊全节点进行24小时攻击），并且非常容易发动。我们使用以太坊主网和测试网中的全节点，在受控和真实世界实验中演示了Gethlighting的可行性。我们确定了以太坊中的一些基本系统特征，这些特征使得Gethlighting攻击成为可能，并提出了需要一些协议和客户端实现增强的对策。以太坊基金会已在2022年9月承认了这种漏洞，我们的一种对策已被接受为Geth 1.11.0的热修复。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-465-paper.pdf

66、Post-GDPR Threat Hunting on Android Phones: Dissecting OS-level Safeguards of User-unresettable Identifiers

自其开始，Android就使应用程序能够访问移动设备上的数据和服务。然而，这涉及到各种与设备永久关联的不可重置用户标识符（UUI），例如MAC地址。由于其与隐私有关，Android从其10版本开始加强了UUI访问策略，以响应全球日益严格的隐私保护法规，限制非系统应用程序访问它们，并要求使用用户可重置的替代方案，例如广告ID。在这项工作中，我们对包括Android开源项目（AOSP）和原始设备制造商（OEM）手机在内的Android手机上的UUI保护措施的有效性进行了系统研究。为了方便我们的大规模研究，我们提出了一组分析技术，发现和评估UUI访问通道。我们的方法采用了混合分析，包括对Android Framework的静态程序分析和对OS镜像的取证分析，以发现访问通道。然后使用差分分析测试这些通道，以识别开放任何攻击机会的弱点。我们对9个主要制造商的13种热门手机进行了漏洞评估，其中大多数是畅销和安装了最新Android版本的手机。我们的研究揭示了UUI处理不当的普遍存在，证实了发现了51个独特漏洞（其中8个列在CVE中）。我们的工作揭示了Android手机中UUI保护的现状，补充了现有研究，这些研究主要关注应用程序的UUI收集行为。我们的发现应该引起手机制造商的警觉，并鼓励政策制定者进一步扩大设备级数据保护的范围。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-176-paper.pdf

67、Preventing SIM Box Fraud Using Device Model Fingerprinting

SIM盒一直在国际规模的欺诈地下生态系统中扮演着关键角色，从全球个人受害者和移动网络运营商那里窃取数十亿美元。许多减轻方案已经为这些欺诈行为提出，主要目的是检测欺诈呼叫会话；然而，直接解决这个问题的方法——防止SIM盒设备使用网络——尽管有着高度预期的好处，但并没有引起很多关注。这正是我们在本文中的目标。

我们提出了一个简单的访问控制逻辑，检测未经授权的SIM盒是否使用蜂窝网络进行通信。我们防御方案的核心是精确的设备型号指纹识别（例如，将iPhone 13与市场上的其他智能手机型号区分开来）和设备类型（即智能手机和物联网设备），而不依赖于可以轻易欺骗的国际移动设备身份。

我们实证表明，利用超过31,000个网络层辅助信息构建的指纹，在85种智能手机中大多数是不同的，因此可以用于防止绝大多数非法SIM盒进行未经授权的语音呼叫。

我们的提案作为第一个实用、可靠的非授权蜂窝设备型号检测方案，极大地简化了对SIM盒欺诈行为的减轻措施。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-416-paper.pdf

68、Privacy-Preserving Database Fingerprinting

当与其他方共享关系型数据库时，除了向接收方提供高质量（实用性）的数据库外，数据库所有者还旨在获得（i）数据条目的隐私保障和（ii）在未经授权的重新分发的情况下通过指纹识别获得责任保障。然而，（i）和（ii）是正交目标，因为在与多个接收方共享数据库时，通过数据清理实现隐私需要添加一次噪声（并与所有接收方共享相同的噪声版本），而通过唯一指纹插入实现责任需要向每个共享副本添加不同的噪声以区分所有接收方。虽然通过朴素方式实现（i）和（ii）是可能的（例如，不同ially-privacy数据库扰动或合成，然后进行指纹识别），但这种方法会导致共享数据库的实用性显著降低。在本文中，我们提出一种新的基于条目级差分隐私（DP）指纹机制，可以同时实现隐私和责任保障，而不会导致大量实用性降低。所提出的机制通过利用指纹的随机化特性，并将其转化为可证明的隐私保障，实现了隐私和责任要求。

具体而言，我们设计了一个位级随机响应方案，以在共享整个数据库时实现任意数据条目的差分隐私保证，然后基于此，我们开发了一个epsilon-epsilon条目级DP指纹机制。我们通过推导闭合形式表达式，理论分析了隐私、指纹鲁棒性和数据库实用性之间的联系。我们还提出了一种基于稀疏向量技术的解决方案，以控制向多个接收方共享指纹副本时的累积隐私损失。我们在实验中展示了我们的机制实现了强指纹鲁棒性（例如，即使恶意的数据库接收方修改/扭曲其接收到的带有指纹的副本中超过一半的条目，指纹也无法被破坏），并且相对于各种基线方法具有更高的数据库实用性（例如，由所提出的机制实现的共享数据库的应用程序相关实用性高于考虑的基线）。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-693-paper.pdf

69、Private Certifier Intersection

我们开展了私有认证交集（PCI）的研究，它允许互不信任的各方在拥有一个或多个共同信任机构（认证者）的情况下建立跨领域索证的信任基础。这是Web 3.0中可验证演示的基本要求之一，因为它提供额外的隐私保护，而不会妥协去中心化。PCI协议允许持有证书的两个或更多方识别一组共同的认证机构，同时验证这些认证机构颁发的证书，而不泄露任何有关输出交集中不存在的认证机构的信息。在本文中，我们在Simplified-UC框架下正式定义了多方PCI的概念，具体取决于是否需要证书用于任何索证（称为PCI-Any）或所有索证（称为PCI-All）的两个不同设置。然后，我们设计并实现了两个经过证明安全和实际高效支持数字签名证书验证的PCI协议：基于ECDSA的证书的PCI-Any协议和基于BLS的证书的PCI-All协议。我们提议的技术核心是第一个基于秘密共享的MPC框架，支持以黑盒方式高效计算基于椭圆曲线的算术运算，包括椭圆曲线配对。我们通过在著名的MP-SPDZ库上构建，使用OpenSSL和RELIC进行椭圆曲线操作来实现该框架，并使用该实现在局域网和广域网设置中对我们提议的PCI协议进行基准测试。在位于不同大陆的各方的互联网广域网设置中，我们的协议在大小为40的输入集上执行时间少于一分钟，证明了我们提出的解决方案的实用性。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-563-paper.pdf

70、ProbFlow : Using Probabilistic Programming in Anonymous Communication Networks

我们提出了ProbFlow，一种用于估计Tor网络中中继容量的概率编程方法。我们改进了先前推导出的网络概率模型，以考虑更多真实世界Tor网络的复杂性。我们使用这个模型在一个名为NumPyro的概率编程语言中执行推断，该语言允许我们克服纯分析方法中存在的分析障碍。我们将ProbFlow的实现集成到Tor网络容量估计算法的当前实现中。我们通过在基于流的Python模拟器和基于数据包的Shadow模拟器中对其进行模拟来展示ProbFlow的实际效益，Shadow模拟器是Tor网络中可用的最高保真度模拟器。在两个模拟器中，ProbFlow提供了更准确的估计结果，从而提高了用户性能，Shadow模拟器中的平均下载速度提高了25%。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-140-paper.pdf

71、QUICforge: Client-side Request Forgery in QUIC

QUIC协议通过最近的标准化以及各大科技公司的不断开发新实现，越来越受到关注。QUIC承诺将安全和隐私作为一流公民；然而，挑战这些声明至关重要。为此，本文对直接来自QUIC协议设计而非常见漏洞的客户端请求伪造攻击进行了初步分析。具体而言，我们研究了三种请求伪造攻击方式，以了解它们用于协议冒充和流量放大的能力。我们分析了各自协议消息的可控攻击空间，并证明其中一种攻击方式确实可以用于冒充其他基于UDP的协议，例如DNS请求。此外，我们确定了流量放大向量。虽然QUIC协议规范规定了抗放大限制，但我们对13个QUIC服务器实现的评估表明，在某些情况下这些缓解措施缺失或实现不足。最后，我们提出了协议冒充的缓解方法，并讨论了规范中的歧义。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-72-paper.pdf

72、RAI2: Responsible Identity Audit Governing the Artificial Intelligence

身份在负责任的人工智能（AI）中扮演着重要的角色：它作为深度学习（DL）模型的唯一标识符，并可用于跟踪那些对模型不负责任的使用者。因此，有效的DL身份审核对于构建负责任的AI至关重要。除了模型，训练数据集确定了模型可以学习的特征，因此在身份审核中应给予同等关注。在这项工作中，我们提出了第一个实用的方案RAI2，用于负责任的数据集和模型身份审核。我们开发了数据集和模型相似性估计方法，可与对嫌疑模型的黑盒访问一起使用。所提出的方法可以通过估计所有者和嫌疑者之间的相似性来量化地确定数据集和模型的身份。最后，我们基于承诺方案实现了我们的负责任审核方案，使所有者可以将数据集和模型注册到受信任的第三方（TTP），该第三方负责数据集和模型的监管和版权侵犯的取证。对14个模型架构和6个视觉和文本数据集的广泛评估表明，我们的方案可以通过所提出的相似性估计方法准确地识别数据集和模型。我们希望我们的审核方法不仅填补身份仲裁的空白，还能乘上AI治理在这个混乱的世界中的浪潮。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-1012-paper.pdf

73、REDsec: Running Encrypted Discretized Neural Networks in Seconds

机器学习即服务（MLaaS）已经成为一种主要的技术，因为开发机器学习模型需要大量的开发时间、数据量、硬件成本和专业水平。然而，隐私问题阻碍了MLaaS在涉及敏感数据的应用中的采用。一种有前途的隐私保护解决方案是使用全同态加密（FHE）执行ML计算。最近的进展将计算成本降低了几个数量级，为开发安全实用的应用程序打开了大门。在这项工作中，我们介绍了REDsec框架，通过利用三元神经网络来优化基于FHE的私有机器学习推断。这种神经网络的权重被约束为{-1,0,1}，具有特殊的属性，我们利用这些属性在同态域中高效地操作。REDsec引入了新的特性，包括一种新的数据重用方案，首次在FHE中实现了整数和二进制域之间的双向桥接。这使我们能够实现非常高效的二进制操作，包括乘法和激活，以及高效的整数域加法。我们的方法还配备了一个新的GPU加速库，称为（RED）cuFHE，支持多个GPU上的二进制和整数操作。REDsec通过支持用户定义的模型作为输入（带入您自己的网络）、明文训练的自动化以及利用TFHE高效评估私有推断，带来了独特的好处。在我们的分析中，我们对MNIST、CIFAR-10和ImageNet数据集进行了推理实验，并与相关工作进行了性能比较。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-34-paper.pdf

74、REaaS: Enabling Adversarially Robust Downstream Classifiers via Robust Encoder as a Service

编码器即服务是一种新兴的云服务。具体而言，服务提供商首先通过监督学习或自监督学习预训练编码器（即通用特征提取器），然后将其部署为云服务API。当客户端在训练/测试其分类器（称为下游分类器）时，客户端查询云服务API以获取其训练/测试输入的特征向量。下游分类器容易受到对抗性示例的攻击，这些测试输入经过精心制作的扰动使下游分类器误分类。因此，在安全和保密关键的应用中，客户端旨在构建一个强大的下游分类器，并证明其对对抗性示例的强大保证。云服务应提供哪些API，以使客户端可以使用任何认证方法来证明其下游分类器对对抗性示例的强大保证，并最大限度地减少对API的查询次数？服务提供商如何预训练编码器，以使客户端可以构建更可证明的下游分类器？我们旨在在这项工作中回答这两个问题。对于第一个问题，我们展示了云服务只需要提供两个API，我们精心设计了这两个API，以使客户端可以在最少的API查询次数下证明其下游分类器的强大保证。对于第二个问题，我们展示了使用谱范数正则化项预训练的编码器可以使客户端构建更强大的下游分类器。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-444-paper.pdf

75、RR: A Fault Model for Efficient TEE Replication

可信执行环境（TEEs）确保了计算的硬件机密性和完整性。根据TEEs的威胁模型，硬件可以屏蔽大多数来自外部的故障行为，除了崩溃。因此，在TEE内部复制受信任的代码时，崩溃容错（CFT）复制协议应该足够。然而，TEE并没有提供有效和通用的手段来确保外部持久状态的新鲜度。因此，在具有外部状态的TEE计算中，CFT复制是不够的，因为当TEE重新启动时，该状态可能会被回滚到早期版本。此外，在此设置中使用BFT协议过于保守，因为这些协议旨在容忍任意行为，而不仅仅是重新启动时的回滚。在本文中，我们提出了重启回滚（RR）故障模型，用于复制TEE，精确地捕捉具有外部状态的TEE的可能故障行为。然后，我们展示了现有的复制协议可以很容易地适应这个故障模型，只需进行少量更改，同时保持其原始性能。我们将两个广泛使用的崩溃容错协议（ABD读/写寄存器协议和Paxos共识协议）适应了RR模型。此外，我们利用这些协议构建了一个复制的元数据服务，称为TEEMS，并展示它可以用于向不受信任的云存储服务添加TEE级别的机密性、完整性和新鲜度。我们的评估表明，我们的协议比其BFT对应物表现显着更好（吞吐量提高了1.25到55倍），而性能与不保护回滚攻击的CFT版本相同。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-1-paper.pdf

76、ReScan: A Middleware Framework for Realistic and Robust Black-box Web Application Scanning

黑盒Web漏洞扫描器对于安全研究人员和实践者非常宝贵。尽管最近的方法解决了某些扫描器固有限制的问题，但许多扫描器并没有随着Web浏览器和应用程序的发展而足够进化，并且常常缺乏处理现代Web应用程序导航和交互的固有挑战的能力。在本文中，我们提出了一种完全不同的策略，而不是构建一种替代扫描器，该扫描器自然只能包含现有扫描器的有限漏洞查找能力集合中的一部分。我们提出了ReScan，这是一个扫描器独立的中间件框架，它通过使用一个经过协调的完整现代浏览器，在现实和稳健的方式下调节扫描器与Web应用程序的交互，从而透明地增强扫描器的能力。实质上，我们的框架可以与任何漏洞扫描器一起使用，从而允许用户从现有和未来的扫描器的能力中获益。我们可扩展和模块化的框架包括一系列增强技术，以解决最先进的扫描器通常面临的限制和障碍。我们的实验评估表明，尽管完整的浏览器引入了相当大（并且预期的）开销，但我们的框架显着提高了流行扫描器的代码覆盖率（平均增加了168%），导致反射和存储型XSS漏洞检测数量分别增加了66%和161%。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-169-paper.pdf

77、Real Threshold ECDSA

阈值ECDSA最近因去中心化应用程序（例如DNSSEC和加密货币资产托管）而重新流行起来。最新的（通信优化）方案通常假设所有n个或至少n' >= t个参与用户在预签名阶段保持诚实，实质上退化为n'-out-of-n'多方签名，而不是t-out-of-n阈值签名。当任何人行为不当时，所有签名者都必须从头开始重新开始，使先前的计算和通信毫无意义。这妨碍了在时间紧迫的情况下采用阈值ECDSA，并将其使用限制在小的签名委员会中。为了缓解现代普遍存在的拒绝服务漏洞，我们提出了一个强大的阈值ECDSA方案，它在整个预签名和签名阶段中实现了t-out-of-n阈值灵活性，而不需要假设有一个诚实的多数。当计算资源稀缺且在分散设置中容易引起故障时，我们的方案是理想的。我们的设计具有4轮预签名、O(n)作弊识别和分布式份额上的自愈机制。先前的方法规定在O(n^2)成本的识别后中止，尽管预签名只有3轮（Canetti等人，CCS'20），或使用6轮的O(n)（Castagnos等人，TCS'23）。根据故障发生的阶段，我们的方案在通信成本上可节省高达约30%的成本。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-817-paper.pdf

78、RoVISQ: Reduction of Video Service Quality via Adversarial Attacks on Deep Learning-based Video Compression

视频压缩在视频流和分类系统中起着至关重要的作用，可以在给定的带宽预算下最大化终端用户的体验质量（QoE）。在本文中，我们进行了首次系统研究深度学习基础的视频压缩和下游分类系统的对抗攻击。我们的攻击框架名为RoVISQ，可以操纵视频压缩模型的速率-失真（R-D）关系，以实现以下目标之一或两者兼备：（1）增加网络带宽，（2）降低终端用户的视频质量。我们进一步设计了新的目标，用于攻击下游视频分类服务的有针对性和无针对性攻击。最后，我们设计了一种输入不变扰动，可以实时普遍干扰视频压缩和分类系统。与先前提出的对视频分类的攻击不同，我们的对抗扰动是第一个经得起压缩的。我们通过实验证明了RoVISQ攻击对各种防御措施的韧性，例如对抗训练、视频去噪和JPEG压缩。我们在各种视频数据集上进行了广泛的实验，结果表明RoVISQ攻击可以使峰值信噪比降低最多5.6dB，比特率降低最多约2.4倍，并在下游分类器上实现了90%以上的攻击成功率。我们的用户研究进一步证明了RoVISQ攻击对用户QoE的影响。我们在https://sites.google.com/view/demo-of-rovisq/home上提供了一些示例受攻击的视频，这些视频用于我们的调查。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-165-paper.pdf

79、Securing Federated Sensitive Topic Classification against Poisoning Attacks

我们提出了一种基于联邦学习（FL）的解决方案，用于构建一个分布式分类器，能够检测包含敏感内容的URL，即与健康、政治信仰、性取向等类别相关的内容。虽然这样的分类器解决了先前离线/集中式分类器的限制，但仍然容易受到恶意用户的污染攻击，这些用户可能会通过传播有误的模型更新来降低良性用户的准确性。为了防范这种攻击，我们基于主观逻辑和基于残差的攻击检测开发了一个强大的聚合方案。通过理论分析、基于跟踪的模拟以及原型和真实用户的实验验证的组合，我们证明了我们的分类器能够高精度地检测敏感内容，快速学习新标签，并在面对恶意用户的污染攻击以及非恶意用户的不完美输入时保持稳健。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-112-paper.pdf

80、Smarter Contracts: Detecting Vulnerabilities in Smart Contracts with Deep Transfer Learning

以太坊智能合约是区块链上的自动化去中心化应用程序，它描述了买卖双方的协议条款，减少了对信任中介和仲裁的需求。然而，智能合约的部署为加密货币系统引入了新的攻击向量。特别是，智能合约中的编程漏洞已经被利用导致了巨大的财务损失。因此，有效和高效地检测合约中的各种漏洞类型非常重要。现有的漏洞检测方法在范围上受到限制，因为它们通常专注于一种或非常有限的漏洞类型。此外，将它们扩展到新的漏洞类型需要昂贵的重新设计。在这项工作中，我们开发了ESCORT，一种基于深度学习的漏洞检测方法，它使用一个共同的特征提取器来学习智能合约的通用字节码语义，并使用单独的分支来学习每种漏洞类型的特征。作为多标签分类器，ESCORT可以同时检测合约的多个漏洞。与先前的检测方法相比，ESCORT可以通过迁移学习轻松扩展到新的漏洞类型，并使用有限的数据进行训练。当出现新的漏洞类型时，ESCORT将在经过训练的特征提取器中添加一个新的分支，并使用有限的数据进行训练。我们在361万个智能合约的数据集上评估了ESCORT，并展示了它在6种漏洞类型的初始训练上达到了98％的平均F1分数，并在5种其他漏洞类型的迁移学习阶段中获得了96％的平均F1分数。据我们所知，ESCORT是第一个利用迁移学习在新漏洞类型上实现最小化模型修改和重新训练开销的深度学习框架。与现有的非机器学习工具相比，ESCORT可以应用于任意复杂度的合同，并确保100％的合同覆盖率。此外，我们使用单一统一框架实现多个漏洞类型的并发检测，从而避免设置多个工具的工作，并大大减少检测时间。我们将开源我们的数据集和数据标记工具链，以便未来的研究。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-263-paper.pdf

81、Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems

在计算机安全领域，主机层入侵检测的可靠方法仍是一个未解决的问题。最近的研究将入侵检测重新定义为溯源图异常检测问题，这得益于机器学习和因果图审核的同时进步。虽然这些方法很有前途，但它们对于适应性对手的鲁棒性尚未得到证明。特别是，目前尚不清楚模仿攻击是否会像以往的主机入侵检测方法一样对现代基于图的方法产生相似的影响。在这项工作中，我们揭示了系统设计选择使得模仿攻击继续在溯源图主机入侵检测系统（Prov-HIDS）中大量存在。针对一组样例Prov-HIDS，我们开发了回避策略，允许攻击者隐藏在良性进程行为中。通过公共数据集的评估，我们证明攻击者可以在不修改基本攻击行为的情况下持续逃避检测（100％的成功率）。我们还展示了我们的方法在实际攻击场景中是可行的，并且优于领域通用的对抗样本技术。通过开源我们的代码和数据集，这项工作将成为未来Prov-HIDS评估的基准。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-207-paper.pdf

82、SoundLock: A Novel User Authentication Scheme for VR Devices Using Auditory-Pupillary Response

虚拟现实（VR）在电子商务、医疗保健和社交网络等许多应用中显示出了很大的潜力。VR设备中存储了关于用户活动和在线账户的丰富信息。如果这些设备被粗心地无人看管，对手的访问将会导致数据泄露和其他重要后果。实际上，VR设备需要实用的用户认证方案。目前的解决方案，包括密码、数字PIN和图案锁定，大多数都遵循一般个人设备的常规方法。它们被批评存在安全性和可用性方面的缺陷。在这项工作中，我们提出了SoundLock，一种利用听觉瞳孔反应作为生物识别技术的VR设备新型用户认证方案。在认证过程中，听觉刺激通过VR头盔呈现给用户。相应的瞳孔反应由集成的眼球追踪器捕获。用户的合法性然后通过将响应与登记阶段生成的模板进行比较来确定。为了在方案设计中在安全性和可用性之间取得平衡，我们制定了一个优化问题。由于其非线性，我们提出了一个两阶段启发式算法来有效地解决它。解决方案为选择有效的听觉刺激和确定它们的相应长度提供了必要的指导。我们通过广泛的现场实验证明，SoundLock在FAR（FRR）低至0.76％（0.91％）的情况下优于最先进的生物识别解决方案，并且在用户研究中得到了良好的反馈。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-298-paper.pdf

83、StealthyIMU: Stealing Permission-protected Private Information From Smartphone Voice Assistant Using Zero-Permission Sensors

语音用户界面（VUI）正在成为不可或缺的模块，使人类用户和智能手机之间能够进行无需手持的交互。不幸的是，最近的研究揭示了一个侧信道，它允许零许可的运动传感器窃听来自共同位置的智能手机扬声器的VUI语音。尽管如此，这些威胁仅限于泄露一小部分数字和热词。在本文中，我们提出了StealthyIMU，一种新的威胁，它使用运动传感器从VUI中窃取受许可的私人信息。我们开发了一组高效的模型来检测和提取私人信息，利用VUI响应中的确定性结构。我们的实验表明，StealthyIMU可以高精度地从23种常用的语音命令中窃取私人信息，包括联系人、搜索历史、日历、家庭地址，甚至是GPS轨迹。我们进一步提出了有效的机制来防范StealthyIMU，而不会明显影响用户体验。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-77-paper.pdf

84、SynthDB: Synthesizing Database via Program Analysis for Security Testing of Web Applications

测试基于数据库的Web应用程序是具有挑战性的，因为它们的行为（例如，控制流）高度依赖于从SQL查询返回的数据。如果没有包含足够和现实的数据的数据库，则很难到达潜在的易受攻击的代码段，从而限制了各种现有的基于动态的安全测试方法。然而，在实践中获得这样的测试数据库是困难的，因为它经常包含敏感信息。共享可能导致数据泄漏和隐私问题。

在本文中，我们提出了SYNTHDB，一种基于程序分析的数据库生成技术，用于基于数据库的PHP应用程序。SYNTHDB利用一个共性执行引擎来识别PHP代码库与SQL查询之间的交互。然后它收集和解决各种约束条件以重构一个数据库，该数据库可以在不违反数据库完整性的情况下探索未发现的程序路径。我们的评估结果显示，SYNTHDB生成的数据库在17个真实的PHP应用程序中的代码和查询覆盖方面优于现有的数据库生成技术。具体而言，SYNTHDB生成的数据库实现了62.9％的代码和77.1％的查询覆盖范围，在代码和查询覆盖范围方面比现有技术多14.0％和24.2％。此外，我们的安全分析结果显示，SYNTHDB有效地辅助了现有的安全测试工具：Burp Suite，Wfuzz和webFuzz。由SYNTHDB辅助的Burp Suite检测到76.8％的漏洞，而其他现有技术仅覆盖55.7％或更少。令人印象深刻的是，使用SYNTHDB，Burp Suite在5个真实应用程序中发现了33个以前未知的漏洞。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-632-paper.pdf

85、Tactics, Threats & Targets: Modeling Disinformation and its Mitigation

虚假信息可以被用来影响公众对某个政治或经济方向的看法，对公共卫生产生不利影响，并动员群体参与暴力不服从。缓解这一问题的主要挑战是稀缺性：虚假信息广泛流传，但缓解者却很少。在这项工作中，我们对全球不同组织处理问题信息的事实检查员、记者、信任和安全专家、研究人员和分析师进行了访谈。通过这项访谈研究，我们了解了跨领域打击虚假信息的现实情况，并利用我们的研究结果制定了一个受网络安全启发的框架来描述虚假信息的威胁。虽然相关工作已经开发出类似的框架来进行分析和评估，但我们的工作在于提供了全面考虑攻击者方面、他们的战术和方法的手段。我们通过几个最近虚假信息活动的例子展示了我们框架的适用性。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-657-paper.pdf

86、The Beatrix Resurrections: Robust Backdoor Detection via Gram Matrices

在训练期间，深度神经网络（DNN）容易受到后门攻击。以这种方式损坏的模型正常运行，但在输入中出现特定模式时，会产生预定义的目标标签。现有的防御通常依赖于统一后门设置的假设，其中有毒样本共享相同的触发器。然而，最近的先进后门攻击表明，在动态后门中触发器会从输入到输入发生变化，从而打败了现有的防御。在本文中，我们提出了一种新颖的技术，称为Beatrix（通过Gram矩阵进行后门检测）。Beatrix利用Gram矩阵来捕捉特征之间的相关性，以及表示的适当高阶信息。通过从正常样本的激活模式中学习类别条件统计信息，Beatrix可以通过捕捉激活模式中的异常来识别有毒样本。为了进一步提高识别目标标签的性能，Beatrix利用基于内核的测试，而不对表示分布做出任何先验假设。我们通过广泛的评估和与最先进的防御技术的比较展示了我们方法的有效性。实验结果表明，我们的方法在检测动态后门方面实现了91.1％的F1分数，而现有技术只能达到36.9％。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-69-paper.pdf

87、The Power of Bamboo: On the Post-Compromise Security for Searchable Symmetric Encryption

动态可搜索对称加密（DSSE）使用户能够将关键词搜索委托给一个诚实但好奇的服务器，而不会失去关键词隐私，即使数据库动态更新。本文研究了一种新的实际安全风险，即秘密密钥泄漏（例如，用户的秘密密钥被泄漏或被盗），这威胁到现有DSSE方案提供的所有安全保证。为了解决这个问题，我们引入了可更新密钥的可搜索加密（SEKU）的概念，为用户提供了非交互式密钥更新选项。我们进一步定义了关于泄漏函数的后泄密安全性概念，以研究在客户端的秘密密钥被泄露后，DSSE方案是否仍然能提供数据安全。我们证明了后泄密安全性可以通过一个名为“Bamboo”的提议协议实现。有趣的是，Bamboo的泄漏函数满足正向和反向安全性的要求。我们使用真实数据集对Bamboo进行性能评估，并将其运行效率与现有的正向和反向安全DSSE方案进行比较。结果表明，Bamboo提供了强大的安全性，且性能更好或相当。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-725-paper.pdf

88、Thwarting Smartphone SMS Attacks at the Radio Interface Layer

短信服务（SMS）是现代智能手机通信的基石，可以实现人际文本消息和其他基于SMS的服务（例如两步验证）。然而，它也可以轻易地被利用来危害不知情的远程受害者。例如，新型攻击（如Simjacker和WIBAttack）使得可以传输二进制SMS消息，从而可以在受害者设备上偷偷执行危险命令。SMS通道也可能被用来驱动其他恶意活动（例如垃圾邮件、DoS和跟踪），从而破坏终端用户的安全和隐私。不幸的是，当今的智能手机操作系统和现有的防御技术都不能全面抵御不断进化的SMS驱动威胁谱。为了解决这个限制，我们开发了一个新型防御框架，称为RILDEFENDER，据我们所知，这是第一个集成到Android智能手机的无线接口层（RIL）中的行内预防系统。我们描述了RILDEFENDER在三种智能手机型号和五种Android Open Source Project（AOSP）的Android版本上的实现，并展示了它能够保护用户免受四种对手模型下六种类型的SMS攻击。我们对19种复现的SMS攻击和11个当代SMS恶意软件样本进行了RILDEFENDER的评估，并发现它能够检测到所有这些威胁，并且自动防止所有这些威胁之一，而不影响正常的蜂窝操作。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-432-paper.pdf

89、Towards Automatic and Precise Heap Layout Manipulation for General-Purpose Programs

在自动化漏洞利用生成中，一个关键的挑战是找出是否可以通过操作堆布局来构造可利用的状态。通常，这是通过按照编程语言的堆操作来重新排列堆内存中的对象，采用有序的策略来实现的。然而，由于程序逻辑和堆分配机制的复杂性，策略协调的困难使得精确的堆布局操纵目标并未得以实现。本文提出了BAGUA，一种创新性的解决方案，可以自动和精确地操纵通用程序的堆布局。具体而言，BAGUA首先使用堆操作依赖图准确识别堆布局操纵的基本操作，并彻底分析它们之间的依赖和能力。在此基础上，将堆布局操纵建模为整数线性规划问题，并解决约束条件，以识别实现所需堆布局的基本操作序列。通过按照此顺序触发基本操作，我们能够构造新的目标程序的概念证明输入，以实现可利用的堆布局。我们的研究亮点包括一组解决分析通用程序的特定挑战的新技术，例如消除堆分配器的副作用和扩展堆布局操纵能力。我们实现了BAGUA的原型，并在27个公开已知的真实世界程序漏洞上进行了评估。由于BAGUA准确定位基本操作并处理堆分配器的副作用，它成功地为23个漏洞生成了所需的堆布局，远远超过了之前的研究成果。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-232-paper.pdf

90、Trellis: Robust and Scalable Metadata-private Anonymous Broadcast

Trellis是一种基于混合网络的匿名广播系统，具有加密安全保障。Trellis可用于匿名发布文档或与其他用户通信，并假定存在完全的网络监视。在Trellis中，用户通过一系列服务器在连续的回合中发送消息。这些服务器混合并将消息发布到公共公告板上，隐藏哪些用户发送了哪些消息。Trellis隐藏了所有网络级元数据，对于不断变化的网络条件保持强大，保证了诚实用户的可用性，并随着混合服务器数量的增加而扩展。与具有类似威胁模型的最新匿名广播系统Atom相比，Trellis提供了三到五个数量级更快的性能和更好的网络鲁棒性。在实现这些保证方面，Trellis做出了贡献：(1)使用一小部分恶意服务器构建的路由混合网络的更简单的理论混合分析，(2)用于可验证随机路径的匿名路由令牌，以及(3)建立在洋葱路由之上的轻量级责任协议，用于识别和消除恶意方。我们在网络部署中实施和评估Trellis。在四个地理区域有64台服务器的情况下，Trellis的吞吐量为每秒220比特，具有10万个用户。使用128台服务器，Trellis的吞吐量为每秒320比特。与拥有6,000个服务器和2M日活用户的Tor相比，Trellis的吞吐量仅慢100到1000倍，因此可能在较小的“企业”规模内部署。我们的实现是开源的。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-88-paper.pdf

91、Un-Rocking Drones: Foundations of Acoustic Injection Attacks and Recovery Thereof

搭载微电子机械系统（MEMS）惯性测量单元（IMU）传感器的无人机容易受到声学注入攻击。这些攻击会共振传感器，破坏其输出并导致无人机坠毁。虽然已经提出了几种缓解策略，但它们在实用性方面存在局限性，因为它们不能使无人机在遭受攻击时飞向其计划的目的地。为了解决这个问题，我们旨在恢复被攻击的传感器值，以实现实际缓解声学注入攻击。为了实现这一目标，我们首先构建了一个现实的测试平台，并深入研究了共振MEMS传感器对无人机的影响。我们发现采样抖动（sampling jitter）对攻击期间无人机坠毁有显著影响。采样抖动是指在检索传感器值时不一致的时间延迟，尽管任何实时系统都需要满足其实时要求，但由于制造误差或调度/操作开销，它确实存在采样抖动。采样抖动对实时要求来说是可以忽略的，但我们发现它对遭受攻击的无人机来说变得至关重要。这是因为采样抖动将共振传感器信号扩展到无人机控制逻辑的带内范围，从而使无人机的安全机制（如低通滤波器）失效。我们将受采样抖动影响的共振信号视为噪声，开发了一种新的缓解策略，利用了一种降噪技术——去噪自动编码器。这种方法可以从受攻击的共振MEMS IMU传感器中恢复良性传感器信号，而无需其他辅助传感器。我们实现了这个原型系统，称为UNROCKER，并通过一系列反映真实世界情况的实验证明了其能力。为了促进未来的研究，我们发布了我们的源代码和实验数据。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_f112_paper.pdf

92、VICEROY: GDPR-/CCPA-compliant Enforcement of Verifiable Accountless Consumer Requests

近期的数据保护法规（尤其是GDPR和CCPA）授予消费者各种权利，包括访问、修改或删除任何由服务提供商收集并保留的个人信息。为了行使这些权利，必须提交可验证的消费者请求，证明所收集的数据确实与他们有关。对于在数据收集时与服务提供商拥有活跃账户的消费者来说，这个动作很简单，因为他们可以使用标准（例如基于密码的）身份验证方式来验证他们的请求。然而，需要支持没有账户的消费者行使他们的权利，这是一个重大的难题。为此，一些服务提供商开始要求这些无账户的消费者揭示并证明他们的身份（例如使用政府颁发的文件、水电费账单或信用卡号码）作为发出可验证的消费者请求的一部分。虽然可以理解为短期解决方案，但这种方法对服务提供商来说很繁琐和昂贵，对消费者来说也侵犯了隐私。因此，有一个强烈的需求提供更好的身份验证方式，以便无账户的消费者发出请求。为了实现这一点，我们提出了VICEROY，这是一个隐私保护和可扩展的框架，用于生成数据所有权的证明，这形成了可验证的消费者请求的基础。VICEROY建立在现有的Web技术和功能之上，允许无账户的消费者与服务提供商进行交互，并在隐私保护的情况下后证明他们是同一个人，同时需要对双方进行最少的更改。我们在安全/隐私、可部署性和易用性方面设计和实现了VICEROY。我们还通过广泛的实验评估了它的实用性。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-74-paper.pdf

93、VulHawk: Cross-architecture Vulnerability Detection with Entropy-based Binary Code Search

代码重用在软件开发中非常普遍，但也带来了严重的漏洞问题，威胁着软件安全。不幸的是，随着物联网（IoT）的发展和部署，代码重用的危害被放大了。二进制代码搜索是发现这些隐藏漏洞的有效方法。然而，面对不同编译器、不同优化级别、不同架构编译的IoT固件图像，现有的方法很难适应这些复杂的场景。因此，我们提出了一种新颖的中间表示函数模型，它是一种跨架构二进制代码搜索的无架构模型。该模型将二进制代码转换为微代码，并通过补充隐式操作数和裁剪冗余指令来保留二进制函数的主要语义。然后，我们使用自然语言处理技术和图卷积网络生成函数嵌入。我们将编译器、架构和优化级别的组合称为文件环境，并采用分治策略将C2NCN2跨文件环境场景的相似性计算问题分解为N-1个嵌入传递子问题。我们提出了一种基于熵的适配器，将来自不同文件环境的函数嵌入转换为相同的文件环境，以减轻各种文件环境引起的差异。为了准确识别易受攻击的函数，我们提出了一种渐进搜索策略，通过细粒度特征补充函数嵌入，以减少由于修补函数引起的误报。我们实现了一个名为VulHawk的原型系统，并在七个不同的任务下进行实验，评估其性能和鲁棒性。实验结果表明，VulHawk优于Asm2Vec、Asteria、BinDiff、GMN、PalmTree、SAFE和Trex。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-415-paper.pdf

94、Your Router is My Prober: Measuring IPv6 Networks via ICMP Rate Limiting Side Channels

当某些测量需要许多远程视角时，主动的互联网测量面临一些挑战。在本文中，我们提出了一种新颖的技术，通过 ICMP 速率限制中的副通道来测量远程 IPv6 网络，这是 IPv6 节点限制生成 ICMP 错误消息的速率所必需的功能。这种技术，iVantage，可以在一定程度上利用分布在182个国家的9.5k个自治系统和1.1M个远程路由器作为我们的“视角”。我们将iVantage应用于两个不同但具有挑战性的测量任务：1）测量入站源地址验证（ISAV）的部署情况；2）测量任意互联网节点之间的可达性。我们只使用一个本地视角就可以完成这两个任务，而无需控制目标或依赖目标网络中的其他服务。我们的大规模 ISAV 测量覆盖了约50％的所有 IPv6 自治系统，并发现其中约79％容易受到欺骗的漏洞，这是迄今为止最大规模的 IPv6 ISAV 测量研究。我们的可达性测量方法在评估中实现了超过80％的精度和召回率。最后，我们进行了 ICMP 速率限制实现的互联网广泛测量，提出了对 ICMP 速率限制的详细讨论，特别是 ICMP 速率限制机制中的潜在安全和隐私风险，并提供了可能的缓解措施。我们将我们的代码提供给社区使用。

PDF下载：https://www.ndss-symposium.org/wp-content/uploads/2023-49-paper.pdf