91、LADDER: Multi-Objective Backdoor Attack via Evolutionary Algorithm

当前卷积神经网络中的黑盒后门攻击将攻击目标建模为单领域中的单目标优化问题。在单一领域设计触发器会损害语义和触发鲁棒性，同时引入视觉与频谱异常。本研究提出通过进化算法实现双领域多目标黑盒后门攻击（LADDER），这是首个无需受害者模型先验知识、通过优化触发器同时实现多重攻击目标的方案。具体而言，我们将LADDER构建为多目标优化问题（MOP），并采用多目标进化算法（MOEA）求解。MOEA通过维持具有攻击目标间权衡关系的触发器种群，利用非支配排序驱动触发器向最优解进化。我们进一步在MOEA中应用基于偏好的选择机制以排除不切实际的触发器。LADDER创新性地从双领域视角提升触发器隐蔽性，通过在频谱域最小化干净样本与污染样本间的异常实现。最后，通过将触发器推向低频区域实现针对预处理操作的鲁棒性。大量实验全面表明：在5个公开数据集上，LADDER平均攻击成功率≥99%，攻击鲁棒性达90.23%（较现有最优攻击平均提升50.09%），自然隐蔽性显著优于基线（提升1.12至196.74倍），频谱隐蔽性卓越（l2范数衡量下提升8.45倍）。

论文链接：https://www.ndss-symposium.org/ndss-paper/ladder-multi-objective-backdoor-attack-via-evolutionary-algorithm/

92、LAMP: Lightweight Approaches for Latency Minimization in Mixnets with Practical Deployment Considerations

混合网络（Mixnet）是一种旨在为用户提供网络隐私保护的匿名通信系统。其通过多跳路由转发客户端消息，每一跳（混合节点）都会扰乱流量特征，使得网络攻击者难以追踪消息路径。然而这种隐私保护机制以增加延迟为代价，导致混合网络适用的应用场景受限。本文提出LAMP——一套专为最小化混合网络传播延迟而设计的路由方案，其对匿名性的影响微乎其微。这些方案基于实际部署考量进行设计，具有轻量级、易与现有混合网络集成及计算可行等特点。我们利用已部署的Nym混合网络延迟数据开展评估，证明LAMP能在保持高匿名性的同时将延迟降低7.5倍（从153.4毫秒降至20毫秒）。相较于最先进的LARMix系统，LAMP展现出更优性能：在延迟-匿名性权衡方面提升3倍，并将计算开销显著降低约13900倍。

论文链接：https://www.ndss-symposium.org/ndss-paper/lamp-lightweight-approaches-for-latency-minimization-in-mixnets-with-practical-deployment-considerations/

93、LLMPirate: LLMs for Black-box Hardware IP Piracy

大型语言模型（LLM）的快速发展使其能够近乎实时地高效分析与生成代码，因而在软件开发领域得到广泛应用。随着这一技术进步，研究人员与企业也开始将LLM整合至硬件设计与验证流程中。然而，这些能力强大的LLM也可能在硬件开发全流程中针对安全漏洞引发新型攻击场景。迄今为止尚未被探索的一种攻击载体是知识产权（IP）盗用。鉴于此类攻击可能表现为通过重写硬件设计来规避盗版检测，必须全面评估LLM执行该任务的能力，并检验现有IP盗版检测工具的防御效能。

为此，本研究提出LLMPirate——首个基于LLM的技术方案，能够生成可成功规避多种前沿盗版检测工具识别的电路设计盗版变体。我们提出三项创新方案以应对LLM集成于硬件电路设计、大规模电路可扩展性及有效性等挑战，最终形成端到端自动化、高效且实用的实现框架。我们采用八种不同规模与能力的LLM对LLMPirate展开全面实验评估，并测试其在盗版各类电路设计时对抗四种主流盗版检测工具的表现。实验结果表明，LLMPirate在所有检测工具中均能实现100%测试电路的持续规避检测。此外，我们通过对IBEX与MOR1KX处理器及GPS模块的案例研究，实证了LLMPirate的实际危害性——这些案例均被成功盗版。我们期待本研究能推动更优IP盗版检测工具的研发进程。

论文链接：https://www.ndss-symposium.org/ndss-paper/llmpirate-llms-for-black-box-hardware-ip-piracy/

94、LeakLess: Selective Data Protection against Memory Leakage Attacks for Serverless Platforms

随着语言级沙箱技术用于运行不可信代码的场景日益增多，与之相关的内存泄露漏洞和瞬态执行攻击风险也愈发突出。除了浏览器中执行不可信的JavaScript或WebAssembly代码外，无服务器环境也开始依赖语言级隔离技术——通过在同一进程中运行不同客户的多个函数来提升扩展性。浏览器已采用进程级沙箱缓解内存泄露攻击，但该方案不适用于无服务器环境，因为将每个函数作为独立进程运行会抵消语言级隔离的性能优势。

本文提出LeakLess，一种面向无服务器计算平台的选择性数据保护方案。通过结合内存加密技术与独立I/O模块，LeakLess克服了现有选择性数据保护技术的局限，实现了无服务器函数与外部主机间受保护数据的安全传输。我们在Spin无服务器平台上实现了LeakLess，并采用真实场景的无服务器应用进行评估。结果表明：当I/O模块与Spin运行时位于不同主机时，LeakLess在压力测试下仅造成最高2.8%的吞吐量下降；当处于同一主机时，性能影响最高为8.5%，同时能提供强有力的安全保护。

论文链接：https://www.ndss-symposium.org/ndss-paper/leakless-selective-data-protection-against-memory-leakage-attacks-for-serverless-platforms/

95、Lend Me Your Beam: Privacy Implications of Plaintext Beamforming Feedback in WiFi

近年来，WiFi联网设备的普及及相关研究的深入催生了一系列创新技术，利用WiFi作为传感器——即通过信道状态信息（CSI）扰动来捕捉人体动作。尽管这种被动式人员感知技术带来了便利，但也因攻击者可截获的"WiFi信号泄露"引发了隐私风险，导致诸如"存在检测"等威胁，这在入室盗窃或跟踪等场景中尤为关键。我们提出LeakyBeam，这是一种改进的新型"存在检测攻击"，其利用WiFi CSI的新侧信道——波束成形反馈信息（BFI）。BFI能保留受害者的运动信息（即使信号穿透墙壁传输），且由于BFI数据包未加密而极易捕获，使其成为隐私敏感信息的富矿。此外，我们还设计了一种混淆BFI数据包的防御机制，仅需最小硬件改动即可实现。通过在20米距离开展的全面真实场景评估，我们验证了LeakyBeam的有效性，其真阳性率与真阴性率分别达到82.7%和96.7%。

论文链接：https://www.ndss-symposium.org/ndss-paper/lend-me-your-beam-privacy-implications-of-plaintext-beamforming-feedback-in-wifi/

96、LightAntenna: Characterizing the Limits of Fluorescent Lamp-Induced Electromagnetic Interference

荧光灯几乎遍布日常生活中的私人及公共场所，为电气照明提供光源。我们的研究揭示了一种新型电磁干扰（EMI）攻击面——这些光源实际上能以非接触方式操控附近的物联网设备。与以往需要专用金属天线作为发射源（极易引起受害者警觉）的电磁干扰手段不同，我们提出"光天线"（LightAntenna）技术，利用未经改装的日常荧光灯发起隐蔽的电磁干扰攻击。为探究荧光灯为何及如何能被用作恶意天线，我们系统分析了荧光灯产生电磁干扰的原理，并测定了其在强度与频率响应方面的能力边界。此外，我们精心设计了一种通过电力线传输将高频信号注入荧光灯管的隐蔽方法。藉此，"光天线"甚至能实现跨房间、最远20米距离的可控电磁干扰攻击。大量实验证明了该技术在普适性、实用性、可调谐性和远程攻击能力方面的有效性，成功干扰了多种传感器与物联网设备。本研究不仅完整解析了"光天线"的作用机制，还提出了防御策略以应对这一新兴攻击面。

论文链接：https://www.ndss-symposium.org/ndss-paper/lightantenna-characterizing-the-limits-of-fluorescent-lamp-induced-electromagnetic-interference/

97、MALintent: Coverage Guided Intent Fuzzing Framework for Android

Intent是Android平台上主要的消息传递机制，既用于应用内组件间通信，也用于跨应用组件通信。由于Intent会跨越应用程序的信任边界，可能破坏应用间的安全隔离。鉴于其与应用内通信共享API接口，应用程序可能会无意间暴露功能，从而引发重大安全漏洞。MALintent作为开源模糊测试框架，采用创新的覆盖率检测技术和可定制化漏洞检测规则，专门用于发现Android Intent处理程序中的安全问题。这是首个对已编译闭源Android应用实施灰盒模糊测试的Intent检测工具。我们展示了与多版本Android系统广泛兼容的技术方案，通过该框架的漏洞检测规则，我们在Google Play商店下载量最高的应用中成功识别出多例崩溃、涉及隐私泄露的漏洞以及内存安全问题。

论文链接：https://www.ndss-symposium.org/ndss-paper/malintent-coverage-guided-intent-fuzzing-framework-for-android/

98、MTZK: Testing and Exploring Bugs in Zero-Knowledge (ZK) Compilers

零知识证明（ZK）在隐私保护应用和区块链系统中的普及度日益提升。为便于普通用户便捷高效地生成ZK证明，业界设计了领域专用语言（DSL）和ZK编译器。给定ZK DSL编写的程序，ZK编译器会将其编译为电路，随后交由证明者和验证者进行零知识验证。然而，ZK编译器的正确性尚未得到充分研究，近期工作表明事实标准ZK编译器存在漏洞，可能允许恶意用户生成被验证者接受的无效证明，从而导致加密货币领域的安全漏洞与资金损失。

本文提出MTZK——一种用于检测ZK编译器并揭示错误编译的蜕变测试框架。该方法通过精心设计的蜕变关系（MR）对ZK编译器输入进行变异，从而利用原始输入及其变异版本自动测试编译正确性。我们提出一系列设计考量与优化方案，构建出高效可靠的测试框架。在对四款工业级ZK编译器的评估中，我们成功发现21个漏洞，其中15个已被开发者迅速修复。我们还展示了如何利用已发现漏洞实施攻击，以证明其严重的安全影响。

论文链接：https://www.ndss-symposium.org/ndss-paper/mtzk-testing-and-exploring-bugs-in-zero-knowledge-zk-compilers/

99、Magmaw: Modality-Agnostic Adversarial Attacks on Machine Learning-Based Wireless Communication Systems

机器学习（ML）通过融合端到端无线通信系统中所有物理层模块，在联合收发器优化方面发挥了关键作用。尽管针对基于ML的无线系统已存在多种对抗攻击方法，现有研究尚未综合考虑源数据的多模态性、常见物理层协议及无线领域约束。本文提出Magmaw——一种新型无线攻击方法，能够为通过无线信道传输的任何多模态信号生成通用对抗扰动。我们进一步为下游应用的对抗攻击设计了新目标，并采用广泛使用的防御机制验证Magmaw的鲁棒性。为进行概念验证，我们基于软件定义无线电系统搭建了实时无线攻击平台。实验结果表明，即使存在强防御机制，Magmaw仍能导致系统性能显著下降。此外，我们通过两个案例研究（加密通信信道和基于信道模态的ML模型）验证了Magmaw的性能。代码已开源：https://github.com/juc023/Magmaw。

论文链接：https://www.ndss-symposium.org/ndss-paper/magmaw-modality-agnostic-adversarial-attacks-on-machine-learning-based-wireless-communication-systems/

100、Manifoldchain: Maximizing Blockchain Throughput via Bandwidth-Clustered Sharding

带宽限制是阻碍工作量证明区块链吞吐量扩展的主要瓶颈。为确保安全性，区块链的挖矿速率由带宽最低的矿工决定，导致高速矿工的带宽利用率低下。我们提出Manifoldchain——一种创新的区块链分片协议，通过减轻低速矿工的影响来最大化区块链吞吐量。该协议采用基于带宽聚类的分片形成机制，将带宽相近的矿工划分至同一分片。由此可为每个分片根据其带宽设置最优挖矿速率，有效减少低速矿工造成的等待时间。然而，攻击者可能劫持具有相似带宽的矿工，从而集中算力并在单个分片内形成恶意多数。为抵御此类攻击策略，我们引入"共享挖矿"机制，使全网的诚实算力均可参与各分片的安全账本构建，从而获得与未分片区块链同等的安全性。此外，我们设计了异步原子提交机制，确保不同挖矿速率分片间的交易原子性。理论分析表明，Manifoldchain的吞吐量随分片数量线性增长，并与各分片网络延迟呈反比。我们实现了完整系统原型，在模拟和真实测试环境中进行全面评估。实验验证了其在网络带宽上的垂直扩展性和网络规模上的水平扩展性，当矿工带宽介于5Mbps至60Mbps时，吞吐量较基线分片协议提升达186%。

论文链接：https://www.ndss-symposium.org/ndss-paper/manifoldchain-maximizing-blockchain-throughput-via-bandwidth-clustered-sharding/

101、Mens Sana In Corpore Sano: Sound Firmware Corpora for Vulnerability Research

用于漏洞研究的固件语料库应当具备科学严谨性。然而，创建严谨的语料库面临多重现实挑战：样本获取困难重重，研究者需突破专有或加密数据的壁垒；由于分析前无法预知镜像内容，难以筛选出符合科学要求的高质量样本。

理想情况下，数据共享能促进协作。但版权法规使得共享步履维艰。为此，论文必须详尽记录语料库构建的每个环节——任何步骤的模糊都会危及可复现性，进而对结果可验证性、代表性及科学严谨性产生连锁影响。面对这些挑战，如何保持固件语料库的严谨性？本文深入剖析问题域及其研究影响：我们提炼出显著影响语料库构建的二进制分析实践难题，据此制定指导原则以提升语料库的可复现性与代表性。通过对44篇顶级论文的系统分析，我们发现现有研究缺乏统一的科学构建标准。这些原则的应用价值得到验证：它们能识别构建过程中的方法论缺陷，揭示文档记录的细微疏漏。这些问题会模糊代表性认知，阻碍可复现性，最终削弱优秀研究的严谨性。

最后，我们通过构建Linux固件大规模分析语料库LFwC验证了指导原则的可行性。该语料库配备丰富的元数据以确保（经实证的）良好可复现性，涵盖解包验证、去重处理、内容识别与基准真值提供，并实际证明了LFwC的研究价值。

论文链接：https://www.ndss-symposium.org/ndss-paper/mens-sana-in-corpore-sano-sound-firmware-corpora-for-vulnerability-research/

102、MineShark: Cryptomining Traffic Detection at Scale

加密货币挖矿活动的激增与监管禁令的日益严格，促使各组织亟需提升内部网络的检测能力。传统方法（包括基于规则的检测和深度包检测）难以及时、全面地识别新型加密挖矿威胁。相比之下，基于学习的技术通过识别与内容无关的流量模式展现出优势，能适应多样化的加密货币挖矿配置。然而现有学习型系统在实际检测中往往缺乏可扩展性，主要源于未标记数据、流量不平衡及高速流量输入等挑战。为此，我们提出MineShark系统：该系统通过识别稳定的挖矿流量模式来区分海量良性流量，并采用主动探测自动验证模型结果以避免警报过载。随着模型推断标签被逐步确认，系统会通过自我改进更新持续提升模型精度。MineShark能根据不同规模的流量量级分配CPU/GPU资源，实现线速检测。在为期十个月的10Gbps校园网部署中，该系统比同期部署的商业系统多识别出105个矿池的挖矿连接（其中17.6%为加密流量），自动过滤99.3%的误报，平均包处理吞吐量达130万/秒，满足10Gbps网络的线速需求且丢包率仅0.2%。我们将公开MineShark以促进广泛应用。

论文链接：https://www.ndss-symposium.org/ndss-paper/mineshark-cryptomining-traffic-detection-at-scale/

103、MingledPie: A Cluster Mingling Approach for Mitigating Preference Profiling in CFL

集群联邦学习（CFL）是解决联邦学习中非独立同分布数据与异构性挑战的有效框架，其核心在于根据客户端数据分布或模型更新的相似性进行分组。然而传统CFL框架存在严重隐私风险：诚实但好奇的服务器可轻易获知客户端数据分布偏好。本文提出隐私增强型集群联邦学习框架MingledPie，通过允许客户端自主加入多集群来抵御服务器的偏好画像攻击。具体而言，我们在每个集群中混合两类客户端——主体客户端具有相似数据分布，同时掺入少量分布迥异的干扰客户端（假阳性成员），使得CFL服务器无法通过集群归属推断数据偏好。为此，我们设计了可混淆的集群身份生成方案，使客户端在不依赖服务器的情况下自发组建含特定比例干扰成员的集群。  

混合训练虽会降低集群全局模型性能，我们通过将混合集群模型表示为精确模型构成的线性方程组并求解，重建了准确模型。理论分析严格验证了方案的可行性与安全性。基于六个开源数据集的实验表明，MingledPie平均可抵御69.4%的偏好画像攻击，且模型精度损失仅介于0.02%至3.00%之间。

论文链接：https://www.ndss-symposium.org/ndss-paper/mingledpie-a-cluster-mingling-approach-for-mitigating-preference-profiling-in-cfl/

104、Misdirection of Trust: Demystifying the Abuse of Dedicated URL Shortening Service

专用URL缩短服务（DUSS）旨在将可信的长URL转换为短链接。由于知名企业广泛使用DUSS服务海量用户（尤其是移动用户），网络犯罪分子试图利用DUSS转换恶意链接并滥用其继承的隐式信任，本文将其定义为误导攻击。然而，目前鲜有研究系统性地理解此类攻击。为填补这一空白，我们首次对滥用DUSS的误导攻击展开系统研究，揭示其攻击面、可利用范围及现实世界中的安全影响。研究发现，现实中的DUSS普遍依赖自定义URL检测机制，但其对网页域名的安全假设不可靠，且缺乏对安全标准的遵循。

我们设计并实现了新型工具Ditto，从移动端视角实证研究存在漏洞的DUSS。大规模研究表明，四分之一的DUSS易受误导攻击。更重要的是，我们发现DUSS同时承载着用户和基于域名的检测器的隐式信任，这使得攻击后果可延伸至用户手机上的隐蔽钓鱼和代码注入。我们已将所有发现负责任地披露给受影响DUSS所属企业，并协助其修复漏洞。

论文链接：https://www.ndss-symposium.org/ndss-paper/misdirection-of-trust-demystifying-the-abuse-of-dedicated-url-shortening-service/

105、Moneta: Ex-Vivo GPU Driver Fuzzing by Recalling In-Vivo Execution States

图形处理器（GPU）已成为现代计算基础设施不可或缺的组成部分。它们能够对海量数据集执行大规模并行任务，并通过丰富的用户空间可访问API支持三维渲染与通用并行编程。然而，连接这些API与底层硬件的GPU驱动程序多年来变得日益庞大复杂，许多驱动程序暴露出广阔的受攻击面，构成严重安全隐患。

模糊测试作为一种成熟的自动化测试方法，可通过识别潜在漏洞来缓解这些风险。但现有模糊测试工具在应用于GPU驱动时，因依赖物理GPU设备而成本高昂且扩展性差。此外，由于在生成和执行输入事件时难以满足依赖性与时序约束，其测试效果也大打折扣。

我们提出Moneta——一种新型离体驱动程序模糊测试方案，能够实现大规模、有状态的高效GPU驱动测试。其核心创新在于：(1)通过协同整合快照重载、记录回放技术，结合我们提出的GPU堆栈虚拟化与内省技术套件，精准复现历史体内GPU驱动执行状态；(2)基于这些复现状态启动并行化、有状态的离体GPU驱动模糊测试。我们实现了Moneta原型系统，并在三大主流GPU驱动上进行评估。测试期间原型成功触发了深度活跃的驱动状态，共发现10个未知漏洞（NVIDIA驱动5个、AMD Radeon驱动3个、ARM Mali驱动2个）。这些漏洞经我们负责任披露后均获厂商确认，其中5个漏洞被分配了新CVE编号。

论文链接：https://www.ndss-symposium.org/ndss-paper/moneta-ex-vivo-gpu-driver-fuzzing-by-recalling-in-vivo-execution-states/

106、Mysticeti: Reaching the Latency Limits with Uncertified DAGs

我们推出Mysticeti-C——首个基于有向无环图（DAG）的拜占庭共识协议，实现了3轮消息通信的最低延迟理论下界。由于该协议构建于DAG之上，其同时具备高资源效率与抗审查特性。Mysticeti-C通过避免显式认证DAG区块，并创新性地提出无延迟提交规则，使得所有区块均可即时提交，从而在稳态和崩溃故障场景下均实现最优延迟。我们进一步将其扩展为Mysticeti-FPC协议，通过引入快速提交路径显著降低资产转移延迟。与现有快速路径协议不同，Mysticeti-FPC通过将快速路径交易编织入DAG结构，最小化签名数量与消息开销。这种设计释放了系统资源，从而获得更优性能。我们在拜占庭环境下证明了协议的安全性与活性，并通过与前沿共识协议及快速路径方案的对比实验，验证了两种Mysticeti协议的低延迟、高资源效率特性，以及其在崩溃故障下更优雅的性能衰减表现。Mysticeti-C是首个在广域网环境下实现0.5秒共识提交延迟，同时保持超10万TPS吞吐量的拜占庭共识协议。最后，我们报告了将Mysticeti-C作为共识协议集成至主流区块链的实践案例，实现延迟降低逾4倍的显著成效。

论文链接：https://www.ndss-symposium.org/ndss-paper/mysticeti-reaching-the-latency-limits-with-uncertified-dags/

107、NodeMedic-FINE: Automatic Detection and Exploit Synthesis for Node.js Vulnerabilities

Node.js生态系统包含数百万个用JavaScript编写的软件包。许多软件包存在任意代码执行（ACE）和任意命令注入（ACI）等漏洞。先前研究基于动态污点分析开发了自动化工具，用于检测潜在漏洞并合成概念验证漏洞利用代码，但成效有限。  

这些工具面临的一个挑战在于：包API的预期输入通常具有多样化的类型和对象结构。若调用API时未使用正确类型或缺少特定字段的输入，将导致漏洞利用生成失败或遗漏漏洞。此外，在输入被包内逻辑处理后仍能成功传递攻击载荷的输入生成也极为困难。  

为解决这些问题，我们采用类型与对象结构感知的模糊测试器生成输入，以在动态污点分析期间探索更多执行路径。通过污点分析生成的信息推断输入类型与结构，再由漏洞利用合成引擎指导攻击生成。  

我们实现了NodeMedic-FINE工具，并在33,011个包含ACE/ACI漏洞触发点的npm包上进行评估。该工具发现2,257条潜在攻击流，并在766个包中自动合成有效漏洞利用代码。

论文链接：https://www.ndss-symposium.org/ndss-paper/nodemedic-fine-automatic-detection-and-exploit-synthesis-for-node-js-vulnerabilities/

108、Non-intrusive and Unconstrained Keystroke Inference in VR Platforms via Infrared Side Channel

虚拟现实（VR）技术正日益广泛应用于各领域。因此，确保用户与VR设备间交互的安全性至关重要。本文揭示了主流VR平台星座追踪系统中存在的新型侧信道泄漏：控制器与头显交互时发射的红外（IR）信号可被恶意利用，以非侵入方式重构虚拟键盘上的无约束输入击键。我们提出名为VRecKey的新型击键推断攻击，验证了该红外侧信道的可行性与实用性。具体而言，VRecKey通过定制化二维红外传感器阵列截获VR控制器发射的环境红外信号，进而推断（i）虚拟键盘字符级按键动作及（ii）单词级击键及其输入轨迹。我们在两款商用VR设备上对VRecKey进行广泛评估，结果表明：针对不同长度的输入内容，该系统在字符级和单词级击键推断中分别实现了94.2%和90.5%的Top-3准确率。实证研究还显示，VRecKey能抵抗多种实际影响因素，并在多样现实场景中保持有效性，为探索VR平台击键推断攻击提供了互补且正交的攻击面。

论文链接：https://www.ndss-symposium.org/ndss-paper/non-intrusive-and-unconstrained-keystroke-inference-in-vr-platforms-via-infrared-side-channel/

109、Off-Path TCP Hijacking in Wi-Fi Networks: A Packet-Size Side Channel Attack

本文揭示Wi-Fi网络中一个基础性侧信道——可观测帧长度，攻击者可利用该信道实施TCP劫持攻击。尽管现有Wi-Fi网络已部署多种安全机制（如WEP、WPA2/WPA3），但研究表明，非路径攻击者仍能通过帧长度侧信道提取足够信息以劫持受害者TCP连接。

我们的侧信道攻击基于两项重要发现：(1) TCP接收端生成的响应包（如ACK、RST）具有长度差异；(2) 加密这些响应包的无线帧存在稳定且可区分的长度特征。攻击者通过观测受害者加密帧长度，即可检测并劫持其TCP连接。

我们通过SSH拒绝服务攻击和网页流量篡改两个案例验证了该侧信道攻击的有效性：可在19秒内终止受害者SSH会话，并在28秒内向其网页流量注入恶意数据。此外，我们对现实Wi-Fi网络进行大规模测量评估，测试了9家知名厂商的30款流行路由器，所有设备均无法防御此攻击。在实际80个Wi-Fi网络中的测试表明，75个（93.75%）网络存在成功劫持案例。

我们已向Wi-Fi联盟负贵披露该漏洞，并提出了多种缓解策略。

论文链接：https://www.ndss-symposium.org/ndss-paper/off-path-tcp-hijacking-in-wi-fi-networks-a-packet-size-side-channel-attack/

110、On Borrowed Time – Preventing Static Side-Channel Analysis

近年来，一类新型侧信道攻击逐渐兴起。攻击者不再专注于动态计算期间的设备辐射，转而频繁利用集成电路在静态下的泄漏或响应行为。此类攻击包括静态功耗侧信道分析（SCA）、激光逻辑状态成像（LLSI）以及阻抗分析（IA）。尽管依赖不同的物理现象，它们都能以高精度、低噪声从静态电路中提取敏感信息——这一特性对许多现有侧信道防护措施构成重大威胁。

本研究指出既有解决方案的缺陷，并提出一种简单有效的防护方法。我们发现静态侧信道攻击若要发挥最大效能，需要目标数据保持一定时间的静止状态。某些密码学密钥会自然满足该条件，而其他情况则需停止目标电路的时钟信号。我们提出的"借时"方案能有效削弱攻击者利用此类空闲状态的能力，即使攻击者已完全控制全局时钟信号。该方案通过设计确保密钥相关数据仅在被严格需要时才会出现在未受保护的临时存储（如触发器）中，并持续监控目标电路，一旦检测到空闲状态便立即安全擦除敏感内容。

我们通过对FPGA密码系统实施静态功耗SCA攻击（分别采用/不采用"借时"方案），验证了该防护措施的必要性与有效性。实验表明，某掩码防护实现仅在使用本方案时才具备防御能力。此外，我们证实敏感数据的按需安全擦除机制运作正常，从实践层面佐证了该技术同样能有效抵御LLSI和IA攻击的理论推断。

论文链接：https://www.ndss-symposium.org/ndss-paper/on-borrowed-time-preventing-static-side-channel-analysis/

111、On the Realism of LiDAR Spoofing Attacks against Autonomous Driving Vehicle at High Speed and Long Distance

自动驾驶技术在公共道路上的快速部署带来了重大社会挑战。激光雷达（LiDAR）作为实现L4级自动驾驶的关键传感设备，其安全性成为新兴挑战之一。最新研究表明，通过向激光雷达发射恶意激光覆盖合法传感信号的欺骗攻击可能危及系统安全。然而，现有攻击仅在受控环境中验证成功，在真实高速、远距的自动驾驶场景中仍存在可行性空白。为此，我们设计了新型移动车辆欺骗系统（MVS），包含三大子系统：激光雷达探测追踪系统、自动瞄准系统和激光雷达欺骗系统。此外，我们提出创新的目标消除攻击——自适应高频消除（A-HFR）攻击，通过利用目标激光雷达扫描时序的灰盒知识，可有效突破最新配备脉冲指纹识别功能的激光雷达防御。借助MVS系统，我们不仅首次实现了针对高速行驶（60公里/小时）受害车辆、远距离（110米）发起的激光雷达欺骗攻击，还首次对实际运行主流自动驾驶系统的车辆实施了攻击。在60公里/小时车速下，我们的目标消除攻击在制动距离（20米）内成功率≥96%。最后，我们探讨了针对MVS系统攻击的潜在防御方案。本研究不仅弥合了激光雷达安全与自动驾驶安全研究间的关键空白，更为应对新兴威胁的防御机制开发奠定了基础。

论文链接：https://www.ndss-symposium.org/ndss-paper/on-the-realism-of-lidar-spoofing-attacks-against-autonomous-driving-vehicle-at-high-speed-and-long-distance/

112、On the Robustness of LDP Protocols for Numerical Attributes under Data Poisoning Attacks

近期研究表明，本地差分隐私（LDP）协议易受数据投毒攻击——攻击者可利用LDP特性，通过操纵少量受控本地客户端发送精心构造的数据，从而篡改服务器端的最终估算结果。这一漏洞引发了人们对LDP在敌对环境下鲁棒性与可靠性的担忧。  

本文对数值型属性最先进LDP协议的鲁棒性展开系统研究，包括采用分箱一致性机制的分类频率预言机（CFOs）及分布重构协议。我们通过攻击驱动方法评估协议鲁棒性，并提出跨协议攻击增益测量的新指标。结果表明，与textit{用户端}设置的CFO协议相比，textit{服务器端}设置的方波协议和CFO协议具有更强的抗攻击能力。研究还揭示了LDP安全性与其固有设计选择之间的新关联：基于局部哈希的LDP中，哈希域大小不仅影响众所周知的效用性，更对协议鲁棒性产生深远影响。  

此外，我们利用丰富的重构分布信息提出textit{零样本攻击检测}方法。实验表明，该检测机制显著优于现有方案，能在极具挑战性的场景中有效识别数据篡改行为。

论文链接：https://www.ndss-symposium.org/ndss-paper/on-the-robustness-of-ldp-protocols-for-numerical-attributes-under-data-poisoning-attacks/

113、Onion Franking: Abuse Reports for Mix-Based Private Messaging

私密通讯应用的快速发展与大规模部署亟需建立防止潜在滥用的防护机制。当前广泛使用的端到端加密（E2EE）消息系统已部署了可验证举报滥用消息的机制，且能确保未举报消息的隐私不受侵害，但在同时保护消息元数据的系统中，滥用举报方案仍处于起步阶段。现有解决方案要么仅覆盖设计空间中较小部分，要么需付出远高于E2EE系统的通信与计算成本。

本文提出适用于所有基于洋葱加密的私密通讯系统的新型滥用举报机制，包括采用启发式或机会性流量混合的低延迟系统，以及基于混合网络的方案。研究过程中，我们发现适用于E2EE场景的设计决策与抽象概念，在元数据隐藏场景中反而可能阻碍安全性与性能提升。我们还探索了先前工作中未涉及的更强威胁模型下的滥用举报与内容审核机制，揭示现有方案的不足，并提出强化方案——包括当前已部署的E2EE通讯平台——以实现更高安全等级。

通过原型系统实现与测试，本方案在消息传递与举报流程的每个环节均显著优于已知最佳方案，性能提升超过一个数量级，其开销几乎与当前E2EE加密通讯应用使用的消息标记技术相当。

论文链接：https://www.ndss-symposium.org/ndss-paper/onion-franking-abuse-reports-for-mix-based-private-messaging/

114、Oreo: Protecting ASLR Against Microarchitectural Attacks

地址空间布局随机化(ASLR)是当前部署最广泛的内存破坏攻击防御机制。该技术通过随机打乱程序虚拟地址，阻止攻击者获知程序内容在内存中的具体位置。已有研究表明，微架构侧信道能够利用多种硬件机制突破ASLR防护。我们系统分析了现有微架构攻击，识别出多条信息泄露路径。鉴于ASLR暴露的巨大攻击面，要有效防止其随机化密钥通过微架构攻击泄露具有挑战性。

基于此，我们提出软硬件协同防护方案Oreo，通过强化ASLR来抵御此类攻击。Oreo采用新型内存映射接口，在虚拟地址转换为物理地址前，先行消除其中的随机化密钥位。这一额外步骤使微架构结构无法获取随机化的虚拟地址，从而阻断侧信道泄露ASLR密钥的途径。Oreo对用户程序完全透明且性能开销极小。我们在Linux系统上基于gem5硬件模拟器完成了原型实现与评估。

论文链接：https://www.ndss-symposium.org/ndss-paper/oreo-protecting-aslr-against-microarchitectural-attacks/

115、PBP: Post-training Backdoor Purification for Malware Classifiers

近年来，机器学习（ML）在网络安全领域的兴起带来了新的挑战，其中针对ML恶意软件分类器的后门投毒攻击威胁日益严峻。这类攻击旨在通过特定输入触发器操控模型行为。例如，攻击者可能向公共恶意软件样本库注入恶意样本，污染训练数据，导致ML模型对恶意软件产生误判。现有防御方案主要依赖集成模型在训练数据点上输出的分歧来检测污染样本。

然而，这些方法无法适用于机器学习即服务（MLaaS）场景，或用户需要在训练后净化后门模型的情况。针对这一需求，我们提出PBP——一种面向恶意软件分类器的训练后防御方案，该方案无需假设特定后门嵌入机制即可缓解多种后门植入攻击。我们的方法通过分析后门攻击对神经网络激活分布的影响实现防御，其有效性不受触发器嵌入方式制约。

当遭受后门攻击时，神经网络各层的激活分布会畸变为混合分布。通过调控批量归一化层的统计参数，我们可以引导被植入后门的模型表现出与干净模型相似的性能。我们在两个数据集、两类后门方法和多种攻击配置下的实验表明，该方法相较于现有最优方案具有显著优势。实验证明PBP能有效抵御包括"拼图攻击"（Jigsaw Puzzle）在内的尖端攻击——该攻击此前被证实能规避现有后门防御方案。值得注意的是，我们的方法仅需1%的训练数据即可净化后门，将攻击成功率从100%降至接近0%，较基线方法提升达百倍。代码已开源：https://github.com/judydnguyen/pbp-backdoor-purification-official。

论文链接：https://www.ndss-symposium.org/ndss-paper/pbp-post-training-backdoor-purification-for-malware-classifiers/

116、PQConnect: Automated Post-Quantum End-to-End Tunnels

本文介绍PQConnect——一种后量子端到端隧道协议，可自动保护已安装PQConnect的客户端与已安装配置PQConnect的服务端之间的所有数据包。与VPN类似，PQConnect无需对上层协议及应用软件进行任何修改。该协议为未加密应用添加密码保护，与现有前量子应用协同工作以增加后量子防护，并为已开始采用应用专属后量子防护的任何应用提供独立于应用的第二层防御。

不同于VPN的是，PQConnect通过自动对等发现机制，无需客户端管理员配置每台服务端信息，即可自动创建与任意数量服务端的端到端隧道。每台服务端执行与客户端无关的配置步骤，发布声明表示该服务端名称接受PQConnect连接。任何连接该名称的PQConnect客户端都能高效发现此声明，自动建立与服务端的后量子点对点IP隧道，并通过该隧道路由对应名称的流量。

PQConnect的安全基础是服务端长期公钥，该密钥用于加密和认证所有PQConnect数据包。协议为此公钥谨慎选用了后量子KEM方案，同时采用更轻量的后量子KEM实现前向保密，并辅以椭圆曲线确保即使KEM设计或KEM软件出现安全故障时仍具备前量子安全性。PQConnect握手组件的安全性已通过Tamarin工具完成形式化验证。

论文链接：https://www.ndss-symposium.org/ndss-paper/pqconnect-automated-post-quantum-end-to-end-tunnels/

117、Passive Inference Attacks on Split Learning via Adversarial Regularization

分割学习（SL）已成为传统联邦学习的一种实用高效替代方案。尽管以往针对SL的攻击尝试往往依赖过于强大的假设或瞄准易受攻击的模型，我们致力于开发更具威胁性的攻击方法。本文提出SDAR——一种针对诚实但好奇服务器的SL新型攻击框架。该框架通过辅助数据和对抗正则化技术，学习客户端私有模型的可解码模拟器，能有效推断普通SL设置下的客户端私有特征，并在U型SL设置下同时推断特征与标签。我们在两种配置下进行了大量实验验证攻击有效性。值得注意的是，在现有被动攻击难以有效重建客户端私有数据的挑战性场景中，SDAR始终展现出显著优越的攻击性能，甚至可与主动攻击相媲美。在CIFAR-10数据集深度分割层级为7时，SDAR在普通和U型SL中均能以小于0.025的均方误差实现私有特征重建，并在U型设置下达到超过98%的标签推断准确率，而现有攻击方法均无法取得实质性成果。

论文链接：https://www.ndss-symposium.org/ndss-paper/passive-inference-attacks-on-split-learning-via-adversarial-regularization/

118、PhantomLiDAR: Cross-modality Signal Injection Attacks against LiDAR

激光雷达（LiDAR）作为自动驾驶的核心传感器，可提供精确的三维空间信息。现有针对激光雷达系统的信号攻击主要利用激光信号。本文探索了跨模态信号注入攻击的可能性，即通过人为电磁干扰（IEMI）操控激光雷达输出。我们的研究发现：即使经过严格的电磁兼容性（EMC）测试，激光雷达内部模块——包括激光接收电路、监测传感器和光束转向组件——仍可能耦合IEMI攻击信号，导致系统异常。基于上述攻击面，我们提出"幻影攻击"，可实现《点云干扰》《点云注入》《点云删除》乃至《强制关机》等攻击效果。

通过仿真实验和五款商用激光雷达的实测验证，我们证明了该攻击的有效性，并在动态行驶场景中进行了可行性验证。我们提出了传感器层面和车辆系统层面的潜在防御方案，以降低IEMI攻击风险。视频演示详见：\textcolor{blue}{\href{https://sites.google.com/view/phantomlidar}{https://sites.google.com/view/phantomlidar}}。

论文链接：https://www.ndss-symposium.org/ndss-paper/phantomlidar-cross-modality-signal-injection-attacks-against-lidar/

119、PolicyPulse: Precision Semantic Role Extraction for Enhanced Privacy Policy Comprehension

自然语言隐私政策的有效性始终受限于其可读性、模糊性和可访问性等方面的争议。尽管多年来学界提出了多种替代设计方案，自然语言政策仍是机构向用户传达隐私实践的主要形式。当前自然语言处理技术往往局限于生成高层概述，或仅针对消费者隐私沟通的单一维度进行专门化处理，缺乏适用于多任务场景的灵活性。为此，我们提出PolicyPulse——一个将隐私政策处理为可用格式的信息抽取管道。该系统采用专用XLNet分类器，并基于BERT模型进行语义角色标注以提取政策语句中的短语成分，同时保持谓词与论元间的语义关系。我们的分类模型在13,946个人工标注的语义框架上训练，在识别句子中隐私实践条款的任务上达到0.97的F1值。我们通过三个原型应用（需求驱动的政策呈现、问答系统及隐私偏好检查）验证了PolicyPulse的多功能性。

论文链接：https://www.ndss-symposium.org/ndss-paper/policypulse-precision-semantic-role-extraction-for-enhanced-privacy-policy-comprehension/

120、Power-Related Side-Channel Attacks using the Android Sensor Framework

基于软件的能量侧信道攻击对现代计算机系统构成重大安全威胁，攻击者可借此窃取机密信息。现有攻击通常利用专用接口的直接能量信号（如PLATYPUS攻击所示）或依赖于能耗的时间差异（如Hertzbleed攻击案例）。随着越来越多平台已限制直接能量信号的访问，核心问题在于是否存在除时序代理之外其他可利用的能耗相关信号。

本文揭示Android移动设备暴露出大量可引发能量侧信道攻击的能耗相关信号。我们系统分析了多款设备上Android传感器框架提供的非特权传感器，证明这些传感器会泄露能耗的寄生效应。研究结果包含对Android传感器泄漏的新发现，特别是提出一种新型泄漏原语：地磁旋转矢量传感器中与旋转相关的能量泄漏。我们针对不同信息泄漏类型对暴露传感器进行全面评估，通过与真实数据对比，部分测试传感器的相关系数超过0.9。极端案例中不仅观察到统计结果，还监测到CPU负载导致指南针应用指针产生约30°偏转。

我们通过两个案例研究评估已识别泄漏原语的实际攻击能力：作为通过谷歌Chrome浏览器实施的远程攻击者，以及作为安装应用内部运行的本地攻击者。特别地，我们在不同Android设备上实现了端到端的像素窃取攻击，以每秒5-10像素的泄漏率有效绕过浏览器的跨源隔离防护。最后，我们演示了概念验证的AES攻击，利用新发现的泄漏原语成功窃取单个密钥字节。

论文链接：https://www.ndss-symposium.org/ndss-paper/power-related-side-channel-attacks-using-the-android-sensor-framework/

121、PowerRadio: Manipulate Sensor Measurement via Power GND Radiation

传感器是实现各类应用（如家庭入侵检测和环境监测）的关键组件。尽管现有防护措施结合了软件防御与物理保护来防止传感器被篡改，但本文揭示了一种新型威胁载体——PowerRadio，它能绕过现有防护机制，远程篡改传感器读数。该技术利用家庭电气安全中普遍采用的互联地线（GND）注入恶意信号：注入信号通过传感器的模拟测量线耦合传导，最终突破噪声滤波器干扰，导致测量结果失真。我们提出三种攻击方法，可分别通过静态偏置、周期性信号或脉冲信号操控传感器，例如在监控摄像头拍摄画面中植入条纹，或向会议麦克风注入不可听声指令。通过研究PowerRadio的工作原理，我们发现其根本成因在于：（1）地线与数据信号线间缺乏屏蔽；（2）电路阻抗不对称性使干扰信号能绕过滤波。我们在监控系统、广播系统及多种传感器上验证了该攻击的有效性。PowerRadio兼具辐射型与传导型电磁干扰（EMI）的优势：既扩展了辐射型EMI的有效攻击距离，又无需视线对准或物理接近目标。这些发现将为设计阶段提升传感器安全性与电力布线防护提供重要指导。

论文链接：https://www.ndss-symposium.org/ndss-paper/powerradio-manipulate-sensor-measurement-via-power-gnd-radiation/

122、Privacy-Preserving Data Deduplication for Enhancing Federated Learning of Language Models

去重是提升机器学习模型性能、节省训练时间与能耗的关键预处理步骤。然而，在联邦学习中实施去重面临严峻挑战——若需共享所有客户端数据完成去重，将引发可扩展性问题和潜在隐私泄露风险。本文提出开创性协议EP-MPD（高效隐私保护多方去重），首次系统性地解决了联邦学习场景下的去重难题。该协议能在不泄露数据隐私的前提下，高效消除多客户端数据集中的重复项。EP-MPD采用模块化架构设计，基于两种新型私有集合求交协议变体构建。大量实验证明，该方案对大型语言模型的联邦学习具有显著增益：在10%-30%重复率范围内，模型困惑度最高降低19.62%，运行时间最多缩短27.95%。EP-MPD完美平衡了联邦学习中的隐私保护与性能提升，为大规模应用提供了重要技术支撑。

论文链接：https://www.ndss-symposium.org/ndss-paper/privacy-preserving-data-deduplication-for-enhancing-federated-learning-of-language-models/

123、Probe-Me-Not: Protecting Pre-trained Encoders from Malicious Probing

基于预训练深度学习模型进行任务定制已成为开发者在计算资源和数据量受限情况下的主流选择。具体而言，在迁移学习中广泛采用的"探测"方法（即在预训练编码器上训练分类器）能有效防止过拟合和灾难性遗忘。然而这种预训练编码器的泛化能力引发了对其可能被滥用于有害用途的担忧，例如歧视性推测或军事化应用。本文提出EncoderLock——一种创新的适用性授权方法，旨在保护预训练编码器免受恶意探测：即在指定禁用领域表现不佳，同时在授权领域保持原有性能。实现这种平衡极具挑战性，因其涉及相互矛盾的优化目标，且攻击者可自适应地采用多种下游分类头。为解决这些问题，EncoderLock采用两项核心技术：通过领域感知的权重选择与更新来限制禁用领域/任务的应用，以及通过自我挑战训练方案迭代增强对攻击者可能采用的各种下游分类器的防御能力。针对实际场景中可能缺乏禁用领域数据的情况，我们提出三种不同数据可获取级别的变体：监督式（含标签的禁用领域数据）、无监督式（无标签的禁用领域数据）和零样本式（无可用数据或标签）。在十五个领域和三种模型架构上的大量实验表明，EncoderLock显著优于基于不可迁移学习的基线方法。我们进一步使用Facebook开源的Vision Transformer（ViT）预训练编码器验证了该方法的有效性和实用性。这些成果彰显了EncoderLock对发展负责任人工智能的重要贡献。

论文链接：https://www.ndss-symposium.org/ndss-paper/probe-me-not-protecting-pre-trained-encoders-from-malicious-probing/

124、PropertyGPT: LLM-driven Formal Verification of Smart Contracts through Retrieval-Augmented Property Generation

形式化验证是一种能够证明系统相对于特定规范或属性正确性的技术。对于管理数十亿美元加密货币资产的安全敏感型智能合约而言，这项技术尤为重要。尽管现有研究已开发出多种针对智能合约的静态验证工具（或证明器），但关键缺失环节在于自动化生成全面属性，包括不变量、前置/后置条件及规则。因此，像Certora这样的行业领先者不得不依赖内部专家或众包人员逐例手动编写属性。

随着大语言模型（LLM）的最新进展，本文探索如何利用GPT-4等前沿LLM技术，将现有人工编写属性（如Certora审计报告中的案例）迁移并自动为未知代码生成定制化属性。为此，我们将现有属性嵌入向量数据库，通过基于LLM的上下文学习检索参考属性，从而为目标代码生成新属性。尽管基础流程相对直接，但要确保生成属性满足：(i)可编译、(ii)恰当性、(iii)可验证性仍存在挑战。针对(i)，我们利用编译器和静态分析反馈作为外部预言机，指导LLM迭代修正生成属性；针对(ii)，通过多维相似度评估对属性排序，采用加权算法筛选Top-K属性作为最终结果；针对(iii)，设计专用证明器对生成属性进行形式化验证。

我们将这些策略实现为新型LLM属性生成工具PropertyGPT。实验表明，PropertyGPT能生成全面且高质量的属性，相比基准真值达到80%召回率。该工具在37个测试案例中成功检测出26个CVE/攻击事件，并发现12个零日漏洞，累计获得8,256美元漏洞赏金。

论文链接：https://www.ndss-symposium.org/ndss-paper/propertygpt-llm-driven-formal-verification-of-smart-contracts-through-retrieval-augmented-property-generation/

125、ProvGuard: Detecting SDN Control Policy Manipulation via Contextual Semantics of Provenance Graphs

软件定义网络（SDN）通过将控制功能（控制平面）与转发设备（数据平面）解耦，提升了网络灵活性。然而逻辑集中的控制平面易受控制策略操纵（CPM）攻击威胁，此类攻击通过操控控制器的网络视图注入错误策略。现有异常检测与配置验证方法因仅关注数据平面，在识别CPM攻击时存在局限——若不分析控制器决策的因果关系，某些隐蔽的CPM攻击与正常行为无法区分。本文提出ProvGuard，一种基于溯源图的检测框架，通过监控控制器活动识别CPM攻击。该框架利用静态分析定位数据平面相关控制器操作以指导控制器插桩，从捕获的控制平面活动中构建溯源图。ProvGuard通过消除冗余并提取溯源图中的路径作为上下文，捕获简洁且长期的特征特征，并基于序列到序列预测模型，通过识别引发超出正常范围预测误差的路径来标记可疑行为。我们在Floodlight控制器上实现了ProvGuard原型，该方法成功检测出先前方法未能完全处理的四类典型CPM攻击，并为攻击行为调查提供了重要洞察。

论文链接：https://www.ndss-symposium.org/ndss-paper/provguard-detecting-sdn-control-policy-manipulation-via-contextual-semantics-of-provenance-graphs/

126、Provably Unlearnable Data Examples

在人工智能时代，公开可访问数据的利用引发了人们对数据隐私和知识产权（IP）泄露日益加剧的担忧。为保护数据隐私和IP相关领域知识，研究者致力于使共享数据对未经授权的野生模型不可学习。现有方法通过对数据施加经验优化的扰动，试图破坏输入与对应标签之间的关联性，从而将数据样本转化为不可学习样本（UEs）。然而，由于缺乏验证UEs对未经授权模型及其训练流程不确定性的鲁棒性机制，目前存在若干未被充分探索的挑战。首先，难以量化UEs针对不同训练轮次中未经授权对抗者的不可学习性，导致防御效果的可靠性难以评估。尤其作为主流评估指标，经验性测试准确率存在泛化误差，可能无法合理反映UEs的质量。这也为攻击者留下可乘之机——因为无法严格保证攻击者可达到的最大测试准确率上限。此外，我们发现通过轻微扰动已学习权重，简单的恢复攻击即可使基于UEs训练的分类器恢复干净任务性能。

为缓解上述问题，本文提出通过参数平滑技术认证不可学习数据集所谓(q,η)-可学习性的机制。经认证的(q,η)-可学习性越低，表明对数据集的保护越强效。具体而言，我们：1）提升(q,η)-可学习性认证的紧密度；2）设计具有更低(q,η)-可学习性的可证明不可学习样本（PUEs）。实验结果表明，与现有UEs相比，PUEs既降低了经认证的(q,η)-可学习性，也增强了经验鲁棒性。在参数不确定的分类器上，PUEs相较竞品方法最多降低ImageNet数据集18.9个百分点的(q,η)-可学习性认证值，以及CIFAR-100数据集54.4个百分点的经验测试准确率。源代码详见https://github.com/NeuralSec/certified-data-learnability。

论文链接：https://www.ndss-symposium.org/ndss-paper/provably-unlearnable-data-examples/

127、QMSan: Efficiently Detecting Uninitialized Memory Errors During Fuzzing

模糊测试已成为检测软件缺陷的主流技术。与内存检测工具的结合在发现困扰C/C++程序员的缓冲区溢出等内存安全错误方面成效显著。然而其中一类重要问题——未初始化内存使用（UUM）错误——却难以从模糊测试中获得同等效益。目前唯一兼容模糊测试的UUM检测工具MSan要求对所有库进行完整插桩。与地址检测不同（部分插桩会导致漏报），UUM检测必须完全插桩以避免误报，这严重制约了大范围测试的可行性。基于编译器的全栈插桩方案在兼容性和实用性方面也面临巨大挑战，导致大量程序未能接受UUM缺陷检测。

本文提出一种高效的多层次机会主义设计方案，既无需（基于源代码的）全量重编译，又能保持检测精度。模糊测试的多重执行特性使我们能够识别误报模式，并在后续测试中自动过滤同类案例。该方案的可行性取决于能否通过快速技术有效甄别候选错误，否则将导致漏报。

我们通过QEMU动态二进制翻译实现兼容性，结合轻量级代码分析技术达成可扩展性与精确性，最终构建出模糊测试友好的高效检测工具QMSan，有效解决了当前UUM错误检测的实用化难题。在10个开源项目和5个商业程序的测试中，QMSan共发现44个新的UUM缺陷。实验表明QMSan的运行开销仅为QEMU的1.51倍，较MSan基于编译器的插桩方案仅增加1.55倍开销，且全程零误报零漏报。本工具已开源。

论文链接：https://www.ndss-symposium.org/ndss-paper/qmsan-efficiently-detecting-uninitialized-memory-errors-during-fuzzing/

128、RACONTEUR: A Knowledgeable, Insightful, and Portable LLM-Powered Shell Command Explainer

恶意Shell命令是众多网络攻击的关键环节，但由于其代码结构复杂且常经过伪装，安全分析师往往难以理解。大型语言模型（LLM）的突破性进展为生成可理解的Shell命令解释提供了可能。然而，现有通用LLM在Shell命令解释任务中缺乏专业知识，且易产生幻觉性内容。本文提出Raconteur——一个基于LLM构建的、具备专业知识、表达力强且可移植的Shell命令解释器。该系统通过注入领域知识，能提供涵盖命令行为（即"做什么"）与命令意图（即"为什么做"）的全面解释。为揭示命令的高层目标，我们还将自然语言解释映射至MITRE ATT&CK框架定义的标准技战术（全球网络安全知识库）。针对未公开的私有命令，我们进一步开发文档检索模块，从补充文档中获取相关信息以辅助解释过程。本文构建了大规模训练数据集，并通过大量实验验证Raconteur的Shell命令解释能力。实验表明，该系统能够提供高质量解释并深度解析命令背后的攻击意图。

论文链接：https://www.ndss-symposium.org/ndss-paper/raconteur-a-knowledgeable-insightful-and-portable-llm-powered-shell-command-explainer/

129、RAIFLE: Reconstruction Attacks on Interaction-based Federated Learning with Adversarial Data Manipulation

联邦学习作为一种保护隐私的机器学习解决方案，在依赖用户交互的领域（特别是推荐系统和在线排序学习）中展现出巨大潜力。尽管传统联邦学习的隐私问题已得到广泛研究，但基于交互场景的隐私特性却鲜少受到关注。本研究揭示：当中央服务器能够控制用户交互项目的训练特征时，用户面临更高的隐私交互数据被重建风险。我们提出RAIFLE——一种基于优化的新型攻击框架，通过服务器主动操纵呈现给用户的物品特征来提升重建成功率。在联邦推荐和在线排序学习的实验表明，RAIFLE比梯度反演等现有重建攻击更强大，在多数设定下均能保持高性能表现。我们探讨了基于交互的联邦学习中防御RAIFLE的若干对策及其优劣。代码已开源：https://github.com/dzungvpham/raifle。

论文链接：https://www.ndss-symposium.org/ndss-paper/raifle-reconstruction-attacks-on-interaction-based-federated-learning-with-adversarial-data-manipulation/

130、RContainer: A Secure Container Architecture through Extending ARM CCA Hardware Primitives

容器因其高效的部署和高资源利用率已在云平台中得到广泛应用。然而，其薄弱的隔离性始终构成重大安全隐患。本文提出RContainer——一种新型安全容器架构，通过扩展ARM机密计算架构（CCA）硬件原语，保护容器免受不可信操作系统侵害，并强化容器间隔离性。RContainer引入一个与降权操作系统并行运行的微型可信迷你操作系统，专门监控操作系统与容器间的控制流。此外，RContainer采用垫片式隔离机制，通过粒度保护检查（Granule Protection Check）在内核层为每个容器创建名为con-shim的独立物理地址空间。我们已在ARMv9-A固定虚拟平台和ARMv8硬件SoC上实现RContainer，并开展安全分析与性能评估。实验结果表明，RContainer能以可控的性能开销和极小的可信计算基（TCB）显著提升容器安全性。

论文链接：https://www.ndss-symposium.org/ndss-paper/rcontainer-a-secure-container-architecture-through-extending-arm-cca-hardware-primitives/

131、RadSee: See Your Handwriting Through Walls Using FMCW Radar

本文旨在设计并实现一种能够隔墙检测人手写内容的无线电设备。尽管基于射频（RF）的人类活动识别已有广泛研究，但该任务因需满足"隔墙"条件及"微尺度"手写动作而极具挑战性。为此，我们提出RadSee——一种专为检测墙体后方手写内容设计的6GHz调频连续波（FMCW）雷达系统。RadSee通过硬件与软件的协同设计实现：硬件方面采用配备两枚定制高增益贴片天线的6GHz FMCW雷达设备，其提供的充足链路功率预算使得系统能以较小发射功率穿透多数墙体；软件方面通过提取书写者手部动作的有效相位特征，并采用带注意力机制的双向LSTM（BiLSTM）模型实现字母分类。该系统可检测毫米级手写动作，并能根据独特相位模式识别多数字母，同时具备抗其他移动物体及同频段无线电设备干扰的能力。我们构建了RadSee原型系统并在多场景下评估其性能，大量实验结果表明：当受害者书写62个随机字母时，RadSee字母识别准确率达75%；书写文章时单词识别准确率达87%。

论文链接：https://www.ndss-symposium.org/ndss-paper/radsee-see-your-handwriting-through-walls-using-fmcw-radar/

132、ReDAN: An Empirical Study on Remote DoS Attacks against NAT Networks

本文针对面向NAT网络的远程拒绝服务攻击（ReDAN，即Remote DoS Attacks targeting NAT的缩写）展开实证研究。我们发现，位于本地NAT网络外部的互联网攻击者具备远程识别NAT设备的能力，并能据此终止从该NAT设备发往外部服务器的TCP连接。攻击分为两个阶段：首先，我们通过利用NAT规范中路径MTU发现（PMTUD）机制的缺陷，构建了一个基础侧信道，使得攻击者能够区分公共IPv4地址是服务于NAT设备还是独立IP主机，从而识别目标NAT设备；其次，我们对已识别的NAT设备发起远程拒绝服务攻击以终止其TCP连接。尽管现代NAT实现可能包含防护机制（如数据包合法性验证以防止NAT映射被恶意篡改），但我们发现这些防护措施在现实环境中并未广泛部署。因此，攻击者可通过发送特制数据包诱骗NAT设备错误删除正常TCP连接映射，导致NAT后的客户端无法访问远程TCP服务器。实验结果表明现有NAT设备普遍存在安全漏洞：在测试的8种路由器固件和14家厂商的30台商用NAT设备中，6种固件类型和29台设备存在允许非路径TCP连接映射移除的漏洞。实测数据更揭示严峻现实：180个真实NAT网络（含90个4G LTE/5G网络、60个公共Wi-Fi网络和30个云VPS网络）中有166个（占比超92%）存在可利用风险。我们已向受影响厂商负贵披露漏洞并获得大量确认。最后，我们提出了针对此类DoS攻击的防御方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/redan-an-empirical-study-on-remote-dos-attacks-against-nat-networks/

133、ReThink: Reveal the Threat of Electromagnetic Interference on Power Inverters

随着可再生能源（RES）的蓬勃发展，电力逆变器数量激增。作为将可再生能源产生的直流电（DC）转换为电网交流电（AC）的核心电子设备，其安全性直接影响可再生能源系统乃至电网的稳定运行。本文从光伏逆变器内部传感器这一电能安全转换的基础环节切入展开安全性分析，发现即使采用电磁兼容（EMC）防护措施，其内置电流传感器与电压传感器仍易受1GHz及以上频段电磁干扰（EMI）影响。此类漏洞可导致测量失真并诱骗控制算法，我们设计的ReThink系统通过发射特定构造的EMI信号，能在光伏逆变器上实现三种攻击效果：拒绝服务（DoS）、物理损毁或功率输出抑制。我们在5款商用光伏逆变器及真实微电网环境中成功验证了这些攻击效果，仅需在100～150cm距离发射总功率不超过20W的EMI信号即可实现。本研究旨在警示可再生能源电力电子设备的安全风险——它们正成为未来以可再生能源为主导的电网中新兴的信息物理攻击面。最后，我们提出了硬件与软件层面的防护对策。

论文链接：https://www.ndss-symposium.org/ndss-paper/rethink-reveal-the-threat-of-electromagnetic-interference-on-power-inverters/

134、Recurrent Private Set Intersection for Unbalanced Databases with Cuckoo Hashing and Leveled FHE

私有集合交集（PSI）协议是一种密码学方法，允许双方在不泄露各自集合中除交集外任何信息的情况下，计算其私有集合的交集。尽管已有大量研究聚焦于PSI协议，但大多数工作集中于双方集合规模相近的场景，并基于半诚实威胁模型进行设计。

然而，当双方集合规模差异显著时，通用解决方案的性能往往逊色于专用方案，这一现象已被近期研究证实。此外，传统PSI协议通常针对单次执行设计，每次计算集合交集时都需要完整重新运行协议。这种设计对于URL禁止列表和电子邮件过滤等应用并不高效——这类应用往往需要将多个小集合与一个大集合（例如针对每封接收邮件）反复进行交集计算。

本研究提出了一种新型PSI协议，专为集合规模不平衡的重复计算场景优化。我们采用分层全同态加密和布谷鸟哈希实现该协议，并通过多项优化确保实时性能。基于微软SEAL库的实验表明，该协议在10Gbps和100Mbps网络环境下可分别在20毫秒和240毫秒内完成私有集合交集计算。

与现有方案相比，本协议实现了显著性能提升：在低速网络上将交集计算时间降低一个数量级，在高速网络上降低两个数量级。

论文链接：https://www.ndss-symposium.org/ndss-paper/recurrent-private-set-intersection-for-unbalanced-databases-with-cuckoo-hashing-and-leveled-fhe/

135、Rediscovering Method Confusion in Proposed Security Fixes for Bluetooth

先前的研究表明，蓝牙技术易受所谓"方法混淆攻击"的影响。这类攻击通过操纵设备执行相互冲突的密钥建立方法，最终导致密钥泄露。如今，包括支付终端、企业资产追踪系统和会议技术在内的众多安全敏感应用，都高度依赖蓝牙这类技术的可用性。

因此，当务之急是寻找并验证针对此类攻击的防御措施，或在避免引入额外硬件要求（导致某些设备或用户群体被排除）的前提下，提供合适的蓝牙替代方案。尽管近期已有若干解决方案被提出，但现有威胁模型要么忽略了某些攻击向量，要么忽视了重要场景，导致其仍会遭受新型方法混淆攻击的威胁。

我们首先提出一个扩展的威胁模型，该模型不仅认识到方法混淆的根本问题，还将多次配对尝试和单向配对视为安全风险。通过运用我们的威胁模型评估现有解决方案，我们不仅能检测已知的方法混淆攻击，还能发现先前方案中存在的新的安全漏洞。

我们在真实蓝牙设备上验证了这些攻击的可行性。进一步地，我们提出了一种新型解决方案，该方案在保持与现有硬件及蓝牙用户行为兼容的同时，提供了更强的安全性。我们通过形式化安全验证证明了该方案的有效性，并在主流蓝牙硬件上实现了原型系统，使其成为当前最具前景的蓝牙升级方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/rediscovering-method-confusion-in-proposed-security-fixes-for-bluetooth/

136、Reinforcement Unlearning

机器学习遗忘是指根据数据所有者的移除请求，消除特定训练数据对机器学习模型影响的过程。然而，现有遗忘研究普遍忽视了一个重要领域——强化学习。强化学习旨在训练智能体在环境中做出最优决策以最大化累积奖励，在此过程中智能体会记忆环境特征，这引发了显著的隐私隐患。根据数据保护法规，环境所有者有权撤销智能体对训练数据的访问权限，因此亟需建立一个名为"强化遗忘"的全新研究领域。强化遗忘的核心在于撤销整个环境而非单个数据样本，这一独特性带来三大挑战：1)如何设计环境遗忘方案；2)如何避免智能体在保留环境中性能退化；3)如何评估遗忘效果。为此，我们提出两种强化遗忘方法：第一种基于递减式强化学习，逐步消除智能体已习得知识；第二种采用环境投毒攻击，促使智能体学习错误新知识以覆盖待遗忘环境。特别针对第三项挑战，我们提出"环境推断"概念来评估遗忘效果。源代码详见url{https://github.com/cp-lab-uts/Reinforcement-Unlearning}。

论文链接：https://www.ndss-symposium.org/ndss-paper/reinforcement-unlearning/

137、Repurposing Neural Networks for Efficient Cryptographic Computation

尽管神经网络（NN）传统上用于图像识别和自然语言处理等任务，本文提出了一种将NN高效应用于密码学计算的新方法。通过利用NN模型的图灵完备性和内在适应性，我们提出了一种变革性方案，能在各类平台上显著加速密码学计算。具体而言，我们开发了一个程序翻译框架，可将传统密码算法转换为NN模型。基于TensorFlow的概念验证实现展现出显著的性能提升：与专家编写现有基于GPU的密码方案相比，AES、Chacha20和Salsa20的加密速度分别提升至最高4.09倍、5.44倍和5.06倍。这些性能提升在保持原始密码算法安全性的前提下实现，确保基于神经网络的方案仍符合严格的安全标准。这种对NN的创造性应用为开发可扩展、高效且安全的密码系统开辟了新途径，能够适应现代计算环境不断演进的需求。

论文链接：https://www.ndss-symposium.org/ndss-paper/repurposing-neural-networks-for-efficient-cryptographic-computation/

138、Rethinking Trust in Forge-Based Git Security

Git是当今最流行的版本控制系统，依托GitHub、GitLab和Bitbucket等代码托管平台实现功能扩展。值得注意的是，这些平台被用于实施安全控制。然而由于缺乏确保仓库完整性的开放协议，托管平台无法自证可信性，不得不承担现代软件供应链中不可验证的第三方信任责任。

本文提出gittuf系统，通过去中心化方式实现Git安全管理，允许每个用户参与集体维护仓库安全。首先，gittuf支持将策略声明与管理职责分配给多方，避免完全或单方面信任单一用户。其次，gittuf去中心化记录仓库活动，确保单个实体无法篡改仓库事件。第三，gittuf通过允许所有开发者独立验证策略来实现去中心化策略执行，消除对托管平台作为仓库变更唯一仲裁者的单点信任。因此，当集中式托管平台、底层基础设施或被授权制定策略的特权开发者子集遭到入侵时，gittuf仍能提供强安全保证。该系统还实现了可防护分支/标签（即推送操作）及文件/目录（即提交操作）未授权变更的策略功能。

分析表明，gittuf的特性与策略功能可防范已知版本控制系统攻击。性能评估显示，该系统在Git、Kubernetes等高频活动的大型仓库中仍具可行性（存储开销低于4%，单次推送验证耗时不足0.59秒）。目前gittuf已成为Linux基金会旗下OpenSSF的沙箱项目，正被OpenSSF和CNCF托管项目采用，彭博社的企业级试点也在进行中。

论文链接：https://www.ndss-symposium.org/ndss-paper/rethinking-trust-in-forge-based-git-security/

139、Retrofitting XoM for Stripped Binaries without Embedded Data Relocation

系统程序常采用C/C++等内存不安全语言编写，这使其易受多种内存破坏攻击。其中，即时返回导向编程（JIT-ROP）作为一种高级代码复用攻击手段，专门针对代码随机化防御措施。JIT-ROP利用内存泄露漏洞动态收集可复用代码片段，实时构建攻击载荷。为应对JIT-ROP威胁，研究者已开发出多种仅执行内存（XoM）原型方案，旨在阻止对内存页的动态读取与反汇编。XoM机制与广泛部署的W⊕X保护类似，具有提升安全性的潜力。然而现有XoM方案或难以兼容遗留及商用现成（COTS）程序，或需通过修补被保护二进制文件来分离代码与数据区域，导致可靠性低下。此外，部分XoM方法需修改底层架构机制，影响兼容性与性能表现。

本文提出PXoM技术，为x86-64平台上的剥离二进制文件提供无缝XoM改造方案。由于代码与数据混合处理是XoM领域的经典难题，现有方法多需通过编译时转换或二进制修补强制分离代码与数据区域，以便在内存页粒度安全实施不可读权限。与既有方案不同，我们设计了细粒度内存权限控制机制，在限制代码读取权限的同时，允许合法读取代码页内的数据。这一创新使PXoM能强化剥离二进制文件，且无需依赖易错的嵌入式数据重定位。我们利用英特尔内存保护密钥硬件特性实现高效细粒度权限控制。通过微观与宏观基准测试表明，PXoM仅引入可忽略的运行开销。安全评估显示PXoM极大压缩攻击者收集完整代码片段的操作空间，证实其具备实际部署价值。

论文链接：https://www.ndss-symposium.org/ndss-paper/retrofitting-xom-for-stripped-binaries-without-embedded-data-relocation/

140、Revealing the Black Box of Device Search Engine: Scanning Assets, Strategies, and Ethical Consideration

在数字时代，Censys和Shodan等设备搜索引擎通过扫描互联网对在线设备进行编目，为理解和降低网络安全风险发挥了关键作用。尽管已有研究利用这些工具检测设备并评估漏洞，但关于其扫描的资产范围、采用的策略以及是否遵循道德准则仍存在不确定性。本研究首次全面考察了这类引擎的操作与伦理维度。我们开发了创新框架追踪其使用的IP地址，共收集1,407个扫描器IP。通过揭示这些IP，我们首次深入洞察设备搜索引擎的行为并获得原创发现。通过部署28个蜜罐对其扫描活动进行为期一年的广泛监测，我们证明用户难以通过封禁扫描器IP或迁移服务端口来规避扫描。研究结果揭示了严重的伦理问题，包括缺乏透明度、无害性和匿名性。值得注意的是，这些引擎通常不提供透明度且不允许用户选择退出扫描。此外，它们会发送畸形请求、试图未经授权获取过量细节，甚至在搜索结果中公开个人身份信息（PII）和屏幕截图。这些行为不仅损害用户隐私，还可能协助恶意实体使设备暴露于更多风险。本文强调亟需制定更严格的道德标准并提升设备搜索引擎运作的透明度，为防范侵入式扫描实践和保护数字基础设施提供了关键洞见。

论文链接：https://www.ndss-symposium.org/ndss-paper/revealing-the-black-box-of-device-search-engine-scanning-assets-strategies-and-ethical-consideration/

141、Revisiting Concept Drift in Windows Malware Detection: Adaptation to Real Drifted Malware with Minimal Samples

在将深度学习应用于恶意软件分类时，必须考虑恶意软件演变的普遍性，这种演变会导致训练好的分类器在漂移恶意软件上失效。现有解决概念漂移的方案采用主动学习策略，通过筛选新样本供分析人员标注后重新训练分类器。我们的核心发现是：当前重训练技术未能实现最优效果，因其忽视了使用稀缺漂移样本更新模型时，需要学习在漂移前后数据中保持一致的稳定特征。模型应能摒弃那些虽对漂移前数据分类有效但在漂移后数据中缺失的特定特征，从而避免预测性能退化。本文提出一种新型漂移恶意软件检测与分类技术，通过结合图神经网络与对抗域适应方法，从恶意软件控制流图中学习漂移不变特征。我们在基于主动学习的恶意软件检测系统中将其与现有模型重训练方法及视觉领域的其他域适应技术进行对比。该方法在2024年安全公司每日报告的公开基准测试和真实世界恶意数据库上显著提升了漂移恶意软件检测能力。我们还测试了该方法在预测随时间漂移的多个恶意软件家族时的表现。全面评估表明，我们的方法优于当前最先进方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/revisiting-concept-drift-in-windows-malware-detection-adaptation-to-real-drifted-malware-with-minimal-samples/

142、Revisiting EM-based Estimation for Locally Differentially Private Protocols

本文研究了本地差分隐私（LDP）中的基础估计问题。我们将现有估计方法归纳为两类：一类是无偏估计方法，由于LDP机制添加的过量噪声，该方法常产生不合理结果（如负值或估计总和与参与用户总数不符）；另一类是基于最大似然估计（MLE）的方法，虽能给出合理结果，但普遍存在过拟合问题。针对这一挑战，我们受高斯混合模型（GMM）启发提出归约框架，通过将估计问题转化为混合模型的密度估计问题来适配LDP场景。通过合并混合模型中最小权重分量的操作，EM算法收敛更快且能生成更鲁棒的分布估计。我们证明该框架为各类LDP协议建模提供了通用高效的方法。大量实验表明，本方法在均值估计、分类分布估计和数值分布估计方面均具显著优势。

论文链接：https://www.ndss-symposium.org/ndss-paper/revisiting-em-based-estimation-for-locally-differentially-private-protocols/

143、Revisiting Physical-World Adversarial Attack on Traffic Sign Recognition: A Commercial Systems Perspective

交通标志识别（TSR）对安全可靠的自动驾驶至关重要。近期研究揭示了TSR模型普遍存在对物理世界对抗攻击的脆弱性，这类攻击可能具备低成本、高可部署性，并能引发严重后果（如隐藏关键交通标志或伪造虚假标志）。然而，现有研究通常仅评估学术型TSR模型的攻击效果，此类攻击对现实世界商用TSR系统的影响仍不明确。本文首次对商用TSR系统开展物理世界对抗攻击的大规模实测。测试结果表明：现有学术攻击方法对特定商用TSR系统功能可实现极高可靠性（100%）的攻击成功率，但该能力不具备普适性，整体攻击成功率远低于预期。我们发现当前商用TSR系统普遍存在的空间记忆设计可能是关键影响因素。为此，我们设计了新型攻击成功率指标，通过数学模型量化该设计对TSR系统级攻击成功率的影响，并据此重新评估现有攻击方法。基于这些工作，我们揭示了7项新发现，其中部分结论因引入新指标而直接挑战了先前研究的观测或主张。

论文链接：https://www.ndss-symposium.org/ndss-paper/revisiting-physical-world-adversarial-attack-on-traffic-sign-recognition-a-commercial-systems-perspective/

144、Ring of Gyges: Accountable Anonymous Broadcast via Secret-Shared Shuffle

匿名广播系统允许用户在公共公告板上发布信息而不暴露身份，多年来持续受到关注。近期采用多方计算（MPC）技术的设计方案（CCS'20、NDSS'22、PETS'23）已展现出具有竞争力的计算效率，但这些系统仍存在通信开销过高的问题——该开销同时主导着整体性能。此外，现有方案未能有效应对恶意用户威胁，例如反复推送不当或非法内容的垃圾信息行为。这些现实问题往往阻碍匿名系统的实际落地。

本文提出Gyges系统，这种基于MPC的匿名广播方案在维持关键匿名性与可问责保障的同时，显著降低了服务器间通信开销。其核心在于采用诚实占优的四方秘密共享中继架构，这些中继方协同执行两大关键协议：1）"静默混洗"协议仅需非交互式本地计算即可实现用户与消息的脱钩，确保发送者匿名性而无需在线通信；2）配套的轻量级追踪协议能在内容严重违反审核政策时，将特定混洗消息重新关联至始发者，且不危及其他用户的匿名保障。此外，Gyges通过私有鲁棒性抵抗潜在恶意干扰，在保证输出交付的同时维护发送者匿名。为更好支持大规模用户，系统还兼容垂直与水平扩展。

评估结果表明：Gyges的高效混洗设计在通信开销上优于Clarion（NDSS'22）和RPM（PETS'23）等前沿MPC匿名广播方案；其共享追踪技术可在必要时快速定位违规用户，相比具备类似能力的可追溯混洗网络（PETS'24）实现数量级的成本降低。

论文链接：https://www.ndss-symposium.org/ndss-paper/ring-of-gyges-accountable-anonymous-broadcast-via-secret-shared-shuffle/

145、Rondo: Scalable and Reconfiguration-Friendly Randomness Beacon

我们提出Rondo，一种适用于部分同步模型的可扩展且支持动态重构的分布式随机信标（DRB）协议。Rondo是首个基于批处理异步可验证秘密共享（bAVSS）构建、同时避免O(n³)高消息开销的DRB协议（n为节点数量）。我们的核心贡献在于提出bAVSS的新型变体——具有部分输出的批处理异步可验证秘密共享（bAVSS-PO）。该原语虽弱于标准bAVSS，却能够构建更安全、可扩展性更强的DRB协议。我们设计了bAVSS-PO协议Breeze，其共享阶段仅需最优的O(n)消息量，使得Rondo具备优于现有DRB协议的可扩展性。

为支持动态重构，我们受Dyno（S&P 2022）启发提出Rondo-BFT——一种动态部分同步拜占庭容错协议。不同于Dyno，Rondo-BFT通过周期性生成随机信标输出的通信模式，完美适配DRB应用场景。我们在Amazon EC2上部署91个实例进行性能评估，实验表明Rondo在吞吐量上超越现有方案，且随着节点规模n增长，性能下降幅度显著低于同类协议，展现出更优的可扩展性。

论文链接：https://www.ndss-symposium.org/ndss-paper/rondo-scalable-and-reconfiguration-friendly-randomness-beacon/

146、SCAMMAGNIFIER: Piercing the Veil of Fraudulent Shopping Website Campaigns

在不断遭受网络犯罪分子威胁的数字化环境中，钓鱼攻击仍是主要隐患，但欺诈性购物网站正逐渐成为新趋势——这类网站通过模仿正规购物平台的用户体验来兜售虚假商品或服务。当前网络安全领域的一个关键问题是：欺诈性购物网站在网络犯罪生态中究竟占据何种重要地位？本研究提出了一种创新方法，通过大规模分析并与行业合作伙伴协作来检测和分析此类欺诈网站。我们开发了ScamMagnifier框架，在2023年5月至2024年6月期间收集并分析了1,155,237个购物域名，识别出46,746个欺诈网站。通过自动化结算流程完成的41,863笔交易中，我们发现了5,278个与诈骗活动关联的商户ID。与某大型金融机构的联合调查不仅验证了我们的发现，还进一步将14,394个域名与这些欺诈商户相关联。此外，我们还开发了一款Chromium浏览器扩展程序，用于向用户发出潜在欺诈购物网站的预警。这项研究深化了对电子商务欺诈的理解，并为构建更有效的防御体系应对这类不断演变的威胁提供了重要参考。

论文链接：https://www.ndss-symposium.org/ndss-paper/scammagnifier-piercing-the-veil-of-fraudulent-shopping-website-campaigns/

147、SCRUTINIZER: Towards Secure Forensics on Compromised TrustZone

近年来，Arm TrustZone系统中被利用的漏洞数量持续攀升。由于缺乏数字取证工具，平台所有者无法进行事件响应或定期安全扫描。然而，针对已遭入侵TrustZone的安全取证领域仍属空白，存在诸多未解难题。传统的外部TrustZone取证方法受限于TrustZone保护机制，难以有效实施；而内部TrustZone方案则易受特权攻击者威胁，安全性无法保障。

为填补这一空白，我们提出SCRUTINIZER——首个面向受损TrustZone系统的安全取证方案。该系统基于Arm最新机密计算架构（CCA）中最高特权域"根世界"进行扩展，构建受保护的SCRUTINIZER监控器。我们在监控器中设计防护层，将内存获取功能与监控器解耦并集成至TrustZone内部代理，既确保代理与TrustZone系统隔离，又有效控制根世界代码库的膨胀。通过将目标页表主要移植至代理内部，SCRUTINIZER显著减少了内存获取过程中的冗余转换与映射操作，最终降低性能开销。该系统融合多项标准硬件特性，不仅支持基础内存获取，还能实现内存访问陷阱捕获、指令追踪等高级取证功能，并能抵御特权攻击者对硬件配置的篡改。我们完成原型构建并通过大量实验验证：SCRUTINIZER在有效检测TrustZone系统的同时，具备对抗特权攻击者的免疫力。

论文链接：https://www.ndss-symposium.org/ndss-paper/scrutinizer-towards-secure-forensics-on-compromised-trustzone/

148、SHAFT: Secure, Handy, Accurate and Fast Transformer Inference

基于Transformer的机器学习模型日益普及，引发了对敏感数据暴露的担忧。然而，当前的安全推理解决方案因过度依赖非线性协议（如softmax和高斯误差线性单元GELU）而产生巨大开销。出于数值稳定性需求，softmax近似方法（如NeurIPS 2021）通常需提取输入向量的最大元素，导致对数级通信轮次（与输入长度相关）。现有GELU协议（如S&P 2024）采用高次多项式分段近似，严重依赖昂贵的安全乘法和比较操作。这些复杂性也阻碍了不熟悉密码学的模型所有者轻松部署定制模型。

我们提出的SHAFT系统为部署提供了安全、便捷、精确且快速的Transformer推理框架。核心贡献包括：1）首个面向Transformer的恒定轮次softmax协议，创新性地结合输入截断技术与常微分方程特性；2）基于傅里叶级数近似新范式设计的高精度GELU协议。该协议可扩展至更广泛场景，适用于以softmax作为最终层的通用神经网络，以及采用不同激活函数的Transformer架构。值得注意的是，SHAFT性能超越基于秘密共享的最先进方案SIGMA（PETS 2024）与额外使用RLWE同态加密的BumbleBee（NDSS 2025）。具体而言，SHAFT降低25-41%通信量，在局域网环境下与SIGMA运行时间相当且快于BumbleBee 4.6-5.3倍，广域网环境下快2.9-4.4倍。在保持与明文模型相当的精度同时，这些改进验证了其数值稳定性与准确性。此外，SHAFT通过与Hugging Face库（EMNLP Demos 2020）无缝集成，提供了易用的开源框架以实现安全便捷的部署。

论文链接：https://www.ndss-symposium.org/ndss-paper/shaft-secure-handy-accurate-and-fast-transformer-inference/

149、SIGuard: Guarding Secure Inference with Post Data Privacy

安全推理旨在实现加密数据上的加密机器学习模型预测，这将缓解模型部署在机器学习即服务（MLaaS）中的隐私担忧。为了提升效率，近期大多数安全推理协议采用安全多方计算（MPC）技术构建，能确保MLaaS在不知晓用户输入和模型参数的情况下完成推理。然而，基于MPC的协议无法隐藏其输出所泄露的信息。在安全推理场景中，预测结果（即加密用户输入的推理结果）会直接暴露给用户，这使得攻击者可能破坏安全推理的输出隐私——正如明文推理中的成员推理攻击（MIA）那样，攻击者可通过查询加密模型发起此类攻击。

我们发现，由于非线性函数（如softmax）的近似计算，基于MPC的安全推理相较于明文版本往往会产生扰动的预测结果。为此，我们评估了MIA是否仍能利用现有安全推理协议中的扰动预测。实验表明，安全推理依然易受MIA攻击，攻击者能以与明文MIA相当的高成功率窃取成员信息。

针对这一开放性问题，我们提出SIGuard框架来保护安全推理的输出隐私免受MIA利用。SIGuard协议无需干扰现有MPC安全推理协议的计算流程，可无缝集成：它在安全推理输出的加密预测结果上运作，通过精心设计噪声扰动加密预测，同时保持推理准确性；最终仅向用户披露扰动后的预测结果。该框架通过MPC技术与机器学习的协同设计实现严格的隐私保障。我们通过全面实验确定了效率与防御效果平衡的最优超参数。实验表明，在CIFAR-10数据集上运行的ResNet34模型中，SIGuard能以1.1秒的开销（约占安全推理总时间3.29秒的24.8%）将MIA攻击准确率降至随机猜测水平，实现有效防御。

论文链接：https://www.ndss-symposium.org/ndss-paper/siguard-guarding-secure-inference-with-post-data-privacy/

150、SKILLPoV: Towards Accessible and Effective Privacy Notice for Amazon Alexa Skills

尽管亚马逊Alexa广受欢迎且具备诸多便捷功能，但用户隐私风险问题日益引发关注——许多Alexa语音应用（称为技能）可能在设备交互过程中收集用户数据。向用户明确告知技能的数据收集行为对解决隐私担忧至关重要。然而Alexa有限的交互界面为隐私声明呈现带来挑战，当前用户仅能通过网页或手机应用查看技能隐私政策，这尤其导致视障用户难以做出知情隐私决策。本研究提出"语音隐私声明"概念，通过对话界面建立无障碍包容机制：为每个技能生成简短易懂的语音声明，在技能启动时播报。我们首先开展涉及52名智能音箱用户和21名技能开发者的调研，70.2%参与者认为该机制比传统隐私政策更具可访问性与可读性。基于调研结果，我们开发了SKILLPoV工具，通过静态代码分析与插桩技术自动生成语音隐私声明参考实现。综合评估表明：SKILLPoV在捕获技能代码数据收集行为（准确率91.3%，完整度96.4%）、利用ChatGPT生成简明准确的声明内容、以及无损植入新隐私机制等方面均表现优异。实际测试中，该工具获得了技能开发者的积极反馈。

论文链接：https://www.ndss-symposium.org/ndss-paper/skillpov-towards-accessible-and-effective-privacy-notice-for-amazon-alexa-skills/

151、SafeSplit: A Novel Defense Against Client-Side Backdoor Attacks in Split Learning

分割学习（Split Learning，SL）是一种分布式深度学习方法，允许多个客户端与服务器在不共享私有本地数据的情况下，协作训练和推理共享的深度神经网络（DNN）。在SL中，DNN被分割为两部分：大部分层部署在服务器端，而初始几层及输入数据保留在客户端。这种配置使得资源受限的客户端也能参与训练和推理。然而，分布式架构使SL易受后门攻击威胁，恶意客户端可通过操纵本地数据集改变DNN的行为。现有联邦学习等分布式框架的防御方案并不适用，且缺乏专门针对SL的有效后门防御机制。  

我们提出SafeSplit——首个针对分割学习中客户端后门攻击的防御方案。SafeSplit通过在客户端训练完成后实施循环逆向分析，使服务器能够检测并过滤恶意客户端行为：迭代回退至已验证模型未被污染的检查点。该方案采用双重分析机制识别客户端诱导的变更并检测投毒模型：首先通过频域静态分析测量服务器端模型参数的差异；其次引入创新的旋转距离度量进行动态分析，评估训练过程中服务器层参数的方向偏移。我们在多种数据分布、客户端数量及攻击场景下的综合评估表明，这种双重分析机制在保持模型效能的同时，能高效抵御后门攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/safesplit-a-novel-defense-against-client-side-backdoor-attacks-in-split-learning/

152、Safety Misalignment Against Large Language Models

大型语言模型（LLMs）的安全对齐对于防止生成违背人类价值观的有害内容至关重要。为确保这一点，必须评估其安全对齐机制抵御各类恶意攻击的鲁棒性。然而，当前缺乏大规模、统一的评估框架，阻碍了对潜在漏洞的系统性认知。为此，本文首次对现有及新提出的LLM安全失配方法进行全面评估。具体而言，我们探究了四个核心问题：（1）评估采用不同对齐策略的LLMs的鲁棒性；（2）识别最有效的安全失配方法；（3）确定影响失配效果的关键因素；（4）探索多种防御方案。本文研究的安全失配攻击包括系统提示修改、模型微调和模型编辑。实验结果表明，监督微调是最强力的攻击手段，但需依赖有害模型响应；而我们提出的新型自监督表征攻击（SSRA）无需有害响应即可实现显著失配效果。同时，我们检验了安全数据过滤、模型去毒化等防御机制，并证明我们提出的自监督表征防御（SSRD）能有效实现模型重对齐。最终，本研究的统一安全对齐评估框架通过实证揭示了LLMs安全对齐机制的脆弱性。

论文链接：https://www.ndss-symposium.org/ndss-paper/safety-misalignment-against-large-language-models/

153、Scale-MIA: A Scalable Model Inversion Attack against Secure Federated Learning via Latent Space Reconstruction

联邦学习以其保护参与者数据隐私的能力而著称。然而近期出现的模型逆向攻击（MIA）表明，恶意参数服务器可通过模型更新重构个体用户的本地数据样本。现有最先进的攻击方法要么依赖计算密集型的迭代优化来重建每个输入批次，导致扩展困难；要么需要恶意参数服务器在全局模型架构前添加额外模块，使得攻击过于明显而易被检测。

为突破这些限制，我们提出Scale-MIA——一种新颖的模型逆向攻击方法，即使在系统采用鲁棒的安全聚合（SA）协议保护时，仍能高效准确地从聚合模型更新中重构本地训练样本。Scale-MIA利用模型内部架构，将潜在空间识别为突破隐私保护的关键层。该方法将复杂的重构任务分解为创新的两步流程：首先通过闭式逆向机制，利用特制线性层从聚合模型更新中重构潜在空间表示（LSR）；随后将这些LSR输入微调后的生成解码器，完成整个输入批次的重构。

我们在常用机器学习模型上实现了Scale-MIA，并在多种设置下开展全面实验。结果表明，相较于最先进的模型逆向攻击方法，Scale-MIA在不同数据集上均表现出色，具备更高的重构率、精度及大规模攻击效率。代码已开源：https://github.com/unknown123489/Scale-MIA。

论文链接：https://www.ndss-symposium.org/ndss-paper/scale-mia-a-scalable-model-inversion-attack-against-secure-federated-learning-via-latent-space-reconstruction/

154、ScopeVerif: Analyzing the Security of Android’s Scoped Storage via Differential Analysis

多年来，Android的存储机制经历了显著演变，每个新版本都引入了旨在提升可用性、安全性和隐私性的改动。虽然这些更新通常通过多种机制限制应用对存储的访问，但偶尔也会带来新的复杂性和漏洞。典型代表是Android 10引入的分区存储机制，它彻底改变了应用与文件的交互方式。尽管该机制旨在通过限制对共享存储的广泛访问来增强用户隐私，但也给开发者带来了新的挑战和潜在漏洞。然而，尽管分区存储对用户隐私和应用功能至关重要，目前尚未有系统研究从安全角度对其进行深入分析。

本文首次对分区存储机制进行了系统性安全分析。为此，我们设计并实现了名为ScopeVerif的测试工具，该工具基于差分分析来检测Android存储中的安全问题与实现不一致性。具体而言，ScopeVerif通过检查一系列安全属性，验证是否存在违反Android官方文档定义的文件操作。我们还对不同Android版本进行了全面分析，并开展跨厂商比较研究以识别实现差异及其安全影响。

研究发现分区存储存在已知和未知问题。跨版本分析揭示了未记录的变更以及部分版本中未彻底修复的安全漏洞。此外，我们在不同厂商的分区存储实现中发现了多个漏洞，这些漏洞源于对文档规范行为的偏离，可能引发安全风险。相关厂商及谷歌已确认我们的发现，并为此授予漏洞赏金。

论文链接：https://www.ndss-symposium.org/ndss-paper/scopeverif-analyzing-the-security-of-androids-scoped-storage-via-differential-analysis/

155、Secret Spilling Drive: Leaking User Behavior through SSD Contention

隐蔽信道与边信道能够绕过架构安全边界。已有大量研究探讨了软件与硬件中的隐蔽信道与边信道问题。因此，针对隐蔽信道与边信道的缓解措施研究依赖于对存在信息泄露风险的软硬件组件的发现。

本文首次对现代商用现货SSD中的时序信道展开研究。我们系统分析了NVMe PCIe固态硬盘在并发工作负载下的行为特征，发现当I/O操作超出SSD最大负载时会产生显著延迟尖峰。通过对12款不同SSD的测试，我们精确测定了仍能诱发延迟尖峰所需的最小I/O操作量。实验结果表明：受害者进程仅需读取8至128个数据块即可被攻击者检测到。基于这些发现，我们证明攻击者可构建隐蔽信道——发送方通过对接收方无访问权限的非关联数据块进行读取操作来编码秘密比特。该隐蔽信道不仅适用于不同系统和不同SSD，甚至在虚拟机内部运行的进程间同样有效。我们提出的非特权SSD隐蔽信道在跨虚拟机场景下可实现高达1503比特/秒的真实传输速率，且与操作系统版本、CPU或DRAM等其他硬件特性无关。

鉴于SSD时序信道的粗粒度特性，我们将其作为边信道应用于开放环境下的网站指纹攻击（针对Top100网站），取得了最高达97.0的F1分数。这表明该泄露渠道不仅可用于隐蔽通信，还能窃取受害者用户的高度敏感信息。最后，我们分析了SSD时序信道的根本成因，并探讨了可能的缓解方案。

论文链接：https://www.ndss-symposium.org/ndss-paper/secret-spilling-drive-leaking-user-behavior-through-ssd-contention/

156、Secure Data Analytics in Apache Spark with Fine-grained Policy Enforcement and Isolated Execution

基于云的Spark平台为数据共享提供了诱人方案，它既便于数据使用者进行分析，又能帮助数据所有者高效共享海量数据。然而，由于缺乏强健的策略执行机制，数据所有者面临隐私泄露风险而不敢共享数据。我们发现恶意数据使用者和云管理员可通过构造违反策略的物理执行计划、入侵Spark库甚至直接攻陷Spark集群来窃取数据。现有方案既未在物理计划层面对策略进行核查，又未能保护数据分析管道的完整性，因而无法实现安全通用的策略执行。

本文提出Laputa——一种Spark平台上的安全策略执行框架。该框架创新性地设计了基于模式匹配的物理计划策略检查机制，可支持更细粒度的策略并适用于各类Spark应用。同时通过机密计算技术对Spark应用进行隔离保护，使整个数据分析管道免受恶意数据使用者和云管理员的威胁。Laputa保持了良好的可用性，数据使用者仅需极少量修改即可运行原有Spark应用。我们在TPC-H基准测试、大数据基准套件和实际机器学习应用场景中对Laputa进行了实现与评估，结果表明该系统能有效拦截恶意Spark应用，且仅引入适度性能开销。

论文链接：https://www.ndss-symposium.org/ndss-paper/secure-data-analytics-in-apache-spark-with-fine-grained-policy-enforcement-and-isolated-execution/

157、Secure IP Address Allocation at Cloud Scale

公有云需要动态资源分配与共享。然而，IP地址的动态分配可能被攻击者滥用，用于发起恶意流量、绕过速率限制系统，甚至截获其他云租户的通信数据。这导致云服务提供商及其客户均面临风险，而防御此类威胁需对租户行为、攻击策略及云服务商政策进行严谨分析。本文通过此类分析提出了一种实用的IP地址分配防御方案。我们首先基于文献及实际系统测量数据，建立了云租户部署行为的统计模型。借此分析了现有及新型威胁模型下的IP分配策略。针对我们提出的更强威胁模型，我们设计了IP扫描分段机制——该分配策略能保护地址池免受扫描攻击，即使攻击者不受云租户数量限制。通过对合成数据与实际分配记录的实证评估，我们发现IP扫描分段能有效削弱攻击者快速分配地址的能力，同时保护地址空间声誉与租户数据安全。由此证明，基于原则性分析与实施的云IP地址分配机制，可为租户及其用户带来显著的安全提升。

论文链接：https://www.ndss-symposium.org/ndss-paper/secure-ip-address-allocation-at-cloud-scale/

158、Secure Transformer Inference Made Non-interactive

随着ChatGPT的普及，安全变压器推理已成为重要研究课题。现有方案多为交互式，需客户端与服务器间进行大量通信及多轮交互。本文提出NEXUS——首个非交互式安全变压器推理协议。该协议在整个推理过程中仅需客户端与服务器进行一轮通信：提交加密输入并接收加密结果。

NEXUS创新性地引入了SIMD密文压缩/解压缩、SIMD槽折叠和安全Argmax等核心组件，在保持相近运行时间的同时，通信效率显著超越现有最优方案。具体而言，其带宽消耗较BOLT（Oakland '24）降低372.5倍，较Bumblebee（NDSS '25）降低53.6倍。非交互特性使其能充分发挥硬件加速优势，GPU版本实现42.3倍运行时加速，仅需37.3秒即可完成基于BERT模型的推理，总带宽消耗仅164MB。

论文链接：https://www.ndss-symposium.org/ndss-paper/secure-transformer-inference-made-non-interactive/

159、Securing BGP ASAP: ASPA and other Post-ROV Defenses

在路由起源验证（ROV）技术普及之前，前缀与子前缀劫持是对BGP路由最常见且最有效的攻击方式。最新研究表明ROV的采用率正在快速提升；当ROV部署达到一定规模时，前缀与子前缀攻击将彻底失效。

本研究聚焦这一动态演变格局，重点分析自治系统提供商授权（ASPA）方案——该方案虽主要针对路由泄漏问题，但也能有效遏制其他攻击类型。基于当前ROV实际部署的测量数据，我们评估了其安全效益。仿真实验表明：当前阶段前缀劫持的威胁性已低于伪造起源劫持，而子前缀劫持的有效性亦大幅削弱。

由此我们预判攻击者将转向伪造起源劫持等后ROV时代攻击，并首次提出一种新型高强度后ROV攻击——欺骗攻击。我们对多种后ROV防御方案与攻击手段进行了全面评估。结果表明：即便在部分部署场景下，ASPA仍能显著抵御后ROV攻击，其防护效果远超单独使用ROV、BGPsec、Path-End、OTC或EdgeFilter方案。BGP-iSec虽具备更优防护性能，但需依赖公钥运算来实现路由通告的进出口验证。我们还提出ASPAwN扩展方案以进一步提升ASPA性能。研究发现：与既往研究74结论相反，即使一级自治系统未部署ASPA，该方案在边缘及中间自治系统中仍能有效发挥作用，这为推广ASPA部署提供了新依据。

另一方面，针对非恶意路由泄漏场景，我们发现标准化且更简易的OTC机制与ASPA具有同等防护效力。

论文链接：https://www.ndss-symposium.org/ndss-paper/securing-bgp-asap-aspa-and-other-post-rov-defenses/

160、Sheep's Clothing, Wolf's Data: Detecting Server-Induced Client Vulnerabilities in Windows Remote IPC

Windows操作系统采用多种进程间通信（IPC）机制，通常涉及特权服务端与低特权客户端。然而，某些场景下客户端可能具有更高权限，例如域控制器上运行的性能监视器通过IPC从域成员获取数据。此类场景中，服务端可能被攻陷并向客户端发送精心构造的数据。

尽管Windows客户端应用日益增多，现有研究却忽视了潜在的客户端漏洞，这些漏洞同样具有危害性。本文提出GLEIPNIR——首个针对Windows远程IPC客户端的漏洞检测工具。该工具通过模糊测试IPC调用返回值来识别客户端漏洞，并引入快照技术以提升测试效率。在76个客户端应用上的实验表明，GLEIPNIR能在7天内发现25个漏洞，获得14个CVE编号及36,000美元漏洞赏金。

论文链接：https://www.ndss-symposium.org/ndss-paper/sheeps-clothing-wolfs-data-detecting-server-induced-client-vulnerabilities-in-windows-remote-ipc/

161、Silence False Alarms: Identifying Anti-Reentrancy Patterns on Ethereum to Refine Smart Contract Reentrancy Detection

以太坊智能合约中的重入漏洞已造成重大经济损失，促使多种自动化重入检测工具应运而生。然而由于检测规则过于粗略，这些工具常将采用防重入模式保护的合约误判为漏洞，导致误报率居高不下。因此亟需开发专用自动化工具，协助检测器精准识别防重入模式。现有代码分析技术虽在该特定任务中展现出潜力，但在识别防重入模式时仍面临重大挑战——这主要源于防重入模式复杂多变的特征，以及相关先验知识的严重不足。

本文提出AutoAR系统，通过自动化探索与识别以太坊合约中的典型防重入模式。该系统采用专用图表示方法RentPDG结合数据过滤技术，从海量合约中高效捕获防重入相关语义。基于提取的RentPDG图谱，AutoAR创新性地将图自编码器与聚类技术相结合，构建了专用于精准识别防重入模式的检测模型。实验表明：AutoAR能以89%的准确率协助现有检测器识别12种主流防重入模式，当融入检测工作流后，可使误报率显著降低85%以上。

论文链接：https://www.ndss-symposium.org/ndss-paper/silence-false-alarms-identifying-anti-reentrancy-patterns-on-ethereum-to-refine-smart-contract-reentrancy-detection/

162、Siniel: Distributed Privacy-Preserving zkSNARK

零知识简洁非交互式知识论证（zkSNARK）是一种强大的密码学原语，它允许证明者在不泄露任何额外信息的情况下使验证者确信某个陈述的真实性。然而，现有zkSNARK方案在证明生成阶段存在高昂计算开销，这限制了其在隐私支付、隐私智能合约和匿名凭证等场景的应用。隐私委托已成为加速证明生成的主流解决方案。  

本文提出Siniel——一个基于多项式交互式预言证明（PIOP）与多项式承诺方案（PCS）构建的高效zkSNARK隐私委托框架。该协议使计算能力受限的证明者（即委托方）能够将昂贵的证明计算任务安全分配给多个工作者，且不泄露任何关于隐私见证的信息。最关键的是，与当前最先进的zkSNARK证明委托框架EOS（USENIX'23）相比，Siniel的证明者在发送隐私见证分片后无需继续参与多方计算协议，这意味着证明者可将全部计算任务外包给工作者。  

通过对比实验，Siniel展现出显著性能优势：在低带宽环境（10MBps）下，委托方耗时较EOS减少约16%；而在高带宽环境（1000MBps）下，耗时降幅高达80%。

论文链接：https://www.ndss-symposium.org/ndss-paper/siniel-distributed-privacy-preserving-zksnark/

163、SketchFeature: High-Quality Per-Flow Feature Extractor Towards Security-Aware Data Plane

随着机器学习技术的进步以及快速缓解攻击的重要性日益凸显，智能网络数据平面（INDP）正成为网络内安全领域的重要发展方向。然而，由于数据平面存在多种硬件限制，特征提取功能仍面临诸多挑战，特别是针对当前安全应用所青睐的高级流级三阶特征（如包间延迟与包大小分布）。本文揭示了现有数据平面特征提取器为适应硬件约束而产生的新型攻击面，这些攻击面使得攻击者能够规避网络内入侵检测系统的整个攻击检测环节。为从根本上消除这些攻击面，我们提出一种概率式（草图）方法的演进方案，以实现无缺陷的三阶特征提取，其核心在于高分辨率、全流量、全范围（HAF）的三阶特征测量能力。据我们所知，所提出的SketchFeature方案是首个可完全部署在数据平面中的基于草图的三阶特征提取器。通过大量理论分析与实验验证，我们证实了SketchFeature具备稳健的性能。此外，我们将SketchFeature作为特征提取器应用于隐蔽信道、僵尸网络及DDoS检测等多种安全场景，均实现了接近最优的攻击检测性能。

论文链接：https://www.ndss-symposium.org/ndss-paper/sketchfeature-high-quality-per-flow-feature-extractor-towards-security-aware-data-plane/

164、SongBsAb: A Dual Prevention Approach against Singing Voice Conversion based Illegal Song Covers

歌声转换（SVC）技术通过将源歌手的演唱声音转换为具有相同歌词旋律、但音色模仿目标歌手的新演唱声，实现了歌曲翻唱的自动化。然而该技术引发了严重的版权与公民权侵害问题。我们提出SongBsAb——首个主动防御SVC非法翻唱的解决方案，通过在发布前对演唱声添加扰动，干扰SVC过程使其生成异常音频。扰动设计实现了双重防护：（1）通过性别转换损失函数和高低层级多目标损失函数，分别阻止受保护歌声被用作SVC的源音色与目标音色；（2）基于心理声学模型构建无害化处理，以伴奏音轨作为歌声特有的掩蔽元素优化损失函数，确保对原曲欣赏无影响。我们采用帧级交互抑制损失和编码器集成策略增强方法对未知SVC模型的迁移性。基于中英文数据集，通过客观指标和人类主观实验，在五种前沿SVC模型上验证了SongBsAb的防护有效性、无害性和鲁棒性。本研究为遏制自动化非法歌曲翻唱开辟了新兴研究方向。

论文链接：https://www.ndss-symposium.org/ndss-paper/songbsab-a-dual-prevention-approach-against-singing-voice-conversion-based-illegal-song-covers/

165、Spatial-Domain Wireless Jamming with Reconfigurable Intelligent Surfaces

无线通信基础设施是现代数字社会的基石，却始终面临无线干扰攻击的持续威胁。攻击者可通过制造无线电干扰轻易遮蔽合法信号，从而导致服务拒绝。无线电信号传播的广播特性虽为这类攻击提供了可能，却也给攻击者带来挑战：干扰信号不仅影响目标设备，还会波及周边设备，难以实现精准攻击。本研究首次利用新兴的RIS技术解决了这一难题，实现了干扰信号的精准投送。我们提出了一种创新方法，可对环境自适应的无线干扰信号进行空间控制，从而赋予干扰攻击全新的自由度。

通过大量实验验证，我们探索了这一新方法的有效性：既能阻断单个或多个目标设备的无线通信，又确保周边设备不受影响。尤为突出的是，该方法在无线设备间距极近的极端场景下依然有效——实验表明，当两个Wi-Fi设备间距仅5毫米时，我们可完全阻断其中一台设备的通信，而另一台设备仍能保持25 Mbit/s的数据传输速率。最后，我们提出了若干潜在防御措施，以应对基于RIS的空间域无线干扰攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/spatial-domain-wireless-jamming-with-reconfigurable-intelligent-surfaces/

166、Speak Up, I’m Listening: Extracting Speech from Zero-Permission VR Sensors

随着虚拟现实（VR）技术的进步，其在隐私敏感场景（如会议、讲座、模拟和培训）中的应用日益广泛。这些环境中的对话通常包含用户及互动对象的隐私敏感信息。现代VR设备配备的先进传感器引发了人们对可能利用这些传感器功能的侧信道攻击的担忧。本文提出IMMERSPY，一种新型声学侧信道攻击，通过利用VR设备中的运动传感器提取设备扬声器播放的敏感语音内容。我们分析了两种强攻击者场景：已知攻击者（拥有受害者标记数据）和未知攻击者（无受害者先验信息）。我们设计了一种梅尔频谱图CNN-LSTM模型，通过学习运动传感器捕获的语音诱导振动来提取数字信息（如社保号或信用卡号）。实验表明，IMMERSPY对连续四位数字的识别准确率达74%，对16位数字序列（如信用卡号）的识别准确率为62%。此外，我们在攻击实验中利用生成式AI文本转语音模型，证明攻击者无需受害者标记数据即可构建训练数据集。研究结果凸显了VR领域亟需安全措施以应对不断演变的隐私风险。为此，我们提出一种防御技术，通过头戴显示器（HMD）扬声器发射不可听音调，实验证明其能有效缓解声学侧信道攻击。

论文链接：https://www.ndss-symposium.org/ndss-paper/speak-up-im-listening-extracting-speech-from-zero-permission-vr-sensors/

167、Starshields for iOS: Navigating the Security Cosmos in Satellite Communication

苹果公司已将卫星通信技术集成至其最新款iPhone中，支持紧急通讯、道路救援、好友位置共享、iMessage及短信功能。该技术可在其他无线服务不可用时实现通信，但卫星链路存在带宽与延迟限制，难以兼容具备安全保障的现代通信协议。为此苹果设计并实现了一套专有卫星通信协议以应对这些限制。我们率先完成对该协议的成功逆向工程，并系统分析了其安全与隐私特性。此外，我们开发了基于仿真的测试平台，可在不触发实际紧急呼叫的情况下测试应急服务。测试发现该协议及基础设施存在设计缺陷：例如精简协议消息以牺牲完整性保护为代价，且需依赖互联网完成初始设置。我们进一步演示了多种限制绕过手段，包括在旧版iOS上滥用位置共享功能发送任意文本信息，以及从地域封锁国家通过卫星发送iMessage。这些漏洞可被用于突破审查机制与运营商对短信服务的管控。

论文链接：https://www.ndss-symposium.org/ndss-paper/starshields-for-ios-navigating-the-security-cosmos-in-satellite-communication/

168、Statically Discover Cross-Entry Use-After-Free Vulnerabilities in the Linux Kernel

释放后重用（UAF）是最普遍且严重的内存安全问题之一，吸引了大量研究致力于其自动化发现。现有UAF检测方法主要分为两类：动态与静态。尽管模糊测试等动态方法能以高精度检测UAF问题，但其代码覆盖率存在固有局限。静态方法通常仅能发现简单的顺序性UAF案例，而实际场景中许多UAF漏洞涉及复杂的跨入口控制流与数据流（如并发UAF）。现有支持跨入口UAF检测的静态工具不仅数量有限，还存在准确性不足或适用范围狭窄的问题（例如无法处理Linux内核等复杂代码库）。

本文提出UAFX静态分析器，能够检测Linux内核中的跨入口UAF漏洞，并可扩展至通用C程序。UAFX采用基于逃逸-获取的新型跨入口别名分析技术，即使使用点和释放点分散在不同入口函数中，也能精准分析其别名关系。该工具还配备基于偏序约束的系统化UAF验证框架，可对多个UAF相关代码维度（如锁机制、路径条件、线程）进行可靠推理以过滤误报。评估表明，UAFX能在内核及一个用户空间程序中发现新型跨入口UAF漏洞（80个真实警告），在评审者感知的精确度（超40%）与性能方面均表现合理。

论文链接：https://www.ndss-symposium.org/ndss-paper/statically-discover-cross-entry-use-after-free-vulnerabilities-in-the-linux-kernel/

169、THEMIS: Regulating Textual Inversion for Personalized Concept Censorship

个性化已成为生成式人工智能技术的关键需求。由于预训练生成模型（如稳定扩散模型）能力固定且有限，用户常需定制模型以生成包含新概念或特定概念的输出。传统微调方法因对计算资源和数据要求过高而难以普及，新兴的轻量化个性化增强技术为此提供了可行方案。然而若恶意用户滥用此类技术传播虚假新闻或诋毁个人声誉，将引发严重威胁。因此有必要对个性化模型实施监管（即实现概念审查），以促进其健康发展。

本文重点研究流行个性化技术文本反演（TI）的监管方案。该技术能以优异性能定制文生图（T2I）模型，通过构建包含特定对象细节信息的词嵌入，用户可轻松将其植入本地T2I模型（如公开的稳定扩散模型）生成个性化图像。TI技术催生了新型商业模式，涌现出Civitai等词嵌入共享交易平台。但此类平台也可能被恶意用户利用生成违规内容，对概念所有者造成损害。

我们提出THEMIS系统实现个性化概念审查，其核心是善用后门技术——在TI训练阶段由概念所有者选定敏感词作为触发器进行后门注入，这些敏感词在正常使用时将受到审查。在后续生成阶段，若恶意用户将敏感词与个性化嵌入组合为最终提示词，T2I模型将输出预定义安全图像而非违规内容。为验证THEMIS有效性，我们在潜在扩散和稳定扩散两大主流开源T2I模型上对TI嵌入进行了广泛实验。

结果表明THEMIS能有效阻止文本反演与敏感词协同生成违规内容，同时保持原始功能完整性。该系统对敏感词的不同使用场景（包括不同位置、同义词及组合形式）具有普适性，并能抵御多种潜在攻击和自适应攻击。消融实验也验证了方案设计的合理性。

论文链接：https://www.ndss-symposium.org/ndss-paper/themis-regulating-textual-inversion-for-personalized-concept-censorship/

170、TME-Box: Scalable In-Process Isolation through Intel TME-MK Memory Encryption

高效的云计算依赖于进程内隔离技术，通过在单个进程中运行工作负载来优化性能。若缺乏严格的进程隔离机制，内存安全漏洞将允许攻击者窃取或篡改其他共置租户的私有数据，构成重大安全威胁。现有进程内隔离方案无法满足现代云环境需求，例如MPK仅支持16个保护域，远不足以隔离单个进程内的数千个云工作线程。因此，云服务提供商亟需在商用x86设备上实现轻量级进程内隔离技术。

本文提出TME-Box——一种基于商用x86处理器的新型细粒度可扩展沙箱隔离方案。通过创新性改造原本用于虚拟机加密的Intel TME-MK技术，TME-Box实现了轻量高效的进程内隔离。该方案通过编译器插桩强制沙箱使用指定加密密钥进行内存交互，这种密码学隔离机制支持从单条缓存线到完整页面的细粒度访问控制，并能灵活迁移数据。此外，TME-Box设计可高效隔离多达32K个并发沙箱。我们开发了基于x86分段寻址的性能优化原型，经SPEC CPU2017基准测试表明：其数据隔离的几何平均性能开销为5.2%，代码与数据联合隔离的开销为9.7%。

论文链接：https://www.ndss-symposium.org/ndss-paper/tme-box-scalable-in-process-isolation-through-intel-tme-mk-memory-encryption/