6月10日InForSec@中国科学技术大学活动预告
地点:中国科学技术大学西区电三楼314室
时间:6月10日下午14:00~16:10
时间 | 演讲嘉宾 | 演讲题目 | |||
14:00-14:10 | 主持人 | 万涛 华为加拿大研究所研究员 | |||
14:10-14:50 | 专家报告 | 段海新 清华大学网络科学与网络空间学院教授 | 如何不用字典学习Klingon语言:地下经济使用的黑话检测与测量( Security&Privacy 2017) | ||
14:50-15:30 | 专家报告 | 蔡忠闽 西安交通大学自动化系教授、博士生导师 | 结合手型和行为信息的多指触控认证( Security&Privacy 2017) | ||
15:30-16:10 | 专家报告 | 王鹏飞 国防科学技术大学计算机学院网络安全实验室博士 | 针对Linux中double fetch漏洞的研究(USENIX Security 2017) |
演讲嘉宾介绍:
演讲人:段海新
工学博士,现任清华大学网络科学与网络空间研究院研究员,网络与信息安全实验室主任。长期从事网络安全研究和教学,在国际网络和系统安全四大顶级学术会议上发表多篇论文,并获NDSS 2016年“杰出论文奖”。2016年获国家网信办组织的首届“网络安全优秀人才”奖。 他近年的主要研究方向包括网络基础设施安全、地下产业监测。段海新教授是著名的 “蓝莲花战队”联合创始人,他的学生多次在国际著名的网络安全竞赛中名列前茅。另外,段海新作为联合发起人组织了网络安全研究国际学术论坛InForSec,在国内外安全学术和工业圈具有重要影响。
报告题目:如何不用字典学习Klingon语言:地下经济使用的黑话检测与测量
报告摘要:互联网不仅联系着合法的商业,也联系着地下经济的商家与消费者。为了逃避执法部门的追踪和网络运营者的过滤,地下经济演化发展出了一套黑话或黑色关键词(Black Keyword),如“菠菜网”(博彩网)。识别这些黑话对于追踪地下经济、打击网络犯罪是非常有意义的。然而,以往对这些黑话的识别和往往需要大量手工的工作,甚至需要渗透到地下产业社区中以获取情报,非常危险。
清华大学网络研究院网络空间安全实验室联合百度安全等合作者对地下经济进行了长期的研究,在2017年IEEE Symposium on Security and Privacy 上发表文章“如何不用字典学习Klingon语言:地下经济使用的黑话检测与测量”,首次用自动化的方法大规模提取并理解不断演化着的黑话。在前期研究地下经济的基础上,研究者捕获了黒帽搜索引擎优化(Blackhat SEO)产业所推广的网页,从中提取候选词,利用现有搜索引擎对恶意页面的识别功能判断是否为黑话。然后,利用搜索引擎汇聚用户的搜索行为而提供的相关搜索功能,扩展这些黑话。研究者开发了黑话检测与扩展系统KDES,已经应用于百度公司。在一个多月的搜索中检测出了近48万类似的黑色关键词,从中提取出了1500个核心词,如“冰妹”(陪伴吸毒并提供色情服务的人)、“三响海豚”(一种赌博)等,覆盖色情、赌博、毒品、危险品等类别。研究者还提取了这些地下经济相关的联系信息,以及地下产业所使用的多种信息混淆方法。
检测方法和结果有助于净化网络空间、打击网络犯罪,对于电商平台、搜索引擎厂商有重要意义,对相关威胁情报平台的信息搜集也有参考价值。
演讲人:蔡忠闽
蔡忠闽博士本科和博士毕业于西安交通大学,现为西安交通大学自动化系教授、博士生导师,智能网络与网络安全教育部重点实验室副主任。蔡忠闽教授长期致力于人机交互行为分析,行为认证、机器学习及应用等方面的研究,在信息系统安全监控和机器学习方法等方向开展了细致深入的研究工作,取得了一系列重要进展,研究成果在Oakland(S&P),TIFS,DSN,ACSAC,RAID,THMS,Computer & Security 等CCF A、B 类会议或期刊及《计算机学报》、《软件学报》、《通信学报》等国内权威刊物上发表,目前Google 引用次数超过340 次,产生了重要的学术影响。曾获2013年中国生物特征识别大会唯一最佳论文奖,陕西省科技一等奖(排名第四)。
报告题目:结合手型和行为信息的多指触控认证
报告摘要:目前手机、平板以及大量笔记本电脑等移动计算设备多配备多指触摸屏,报告介绍了一种利用多指触控设备进行用户身份认证的方法。该方法简单可靠,用户只需按照特定的模式进行一次多指触控滑动就可完成身份验证。通过结合手型与行为信息,该方法克服了许多行为认证方法所存在的行为波动问题。基于采集于161名志愿者的长达2个月的测试数据,所提身份认证方法可以在只有5个训练样本的情况下,达到5.84%的等错率。当训练样本足够时,认证精度可以达到1.88%的等错率。实验还表明,该方法具有较好的用体验,并且可以抵御传统方法很难克服的油迹攻击、偷窥攻击以及统计攻击。
In this talk we present a simple and reliable authentication method for mobile devices equipped with multitouch screens such as smart phones, tablets and laptops. Users are authenticated by performing specially designed multi-touch gestures with one swipe on the touchscreen. During this process, both hand geometry and behavioral characteristics are recorded in the multi-touch traces and used for authentication. By combining both geometry information and behavioral characteristics, we overcome the problem of behavioral variability plaguing many behavior based authentication techniques – which often leads to less accurate authentication or poor user experience – while also ensuring the discernibility of different users with possibly similar handshapes. We evaluate the design of the proposed authentication method thoroughly using a large multi-touch dataset collected from 161 subjects with an elaborately designed procedure to capture behavior variability. The results demonstrate that the fusion of behavioral information with hand geometry features produces effective resistance to behavioral variability over time while at the same time retains discernibility. Our approach achieves EER of 5.84% with only 5 training samples and the performance is further improved to EER of 1.88% with enough training. Security analyses are also conducted to demonstrate that the proposed method is resilient against common smartphone authentication threats such as smudge attack, shoulder surfing attack and statistical attack. Finally, user acceptance of the method is illustrated via a usability study.
演讲人:王鹏飞
博士生,国防科学技术大学计算机学院网络安全实验室,导师是卢凯研究员和李根助理研究员。研究领域为系统安全,并行程序分析等。2015-2016年在英国伦敦大学学院CREST研究中心访学,与Jens Krinke合作研究double fetch问题,撰写论文“How Double-Fetch Situations turn into Double-Fetch Vulnerabilities: A Study of Double Fetches in the Linux Kernel”发表在系统安全领域著名会议USENIX Security 2017。
报告题目:针对Linux中double fetch漏洞的研究
(How Double-Fetch Situations turn into Double-Fetch Vulnerabilities:
A Study of Double Fetches in the Linux Kernel)
报告摘要:近年来,并行程序随着多核CPU硬件的普及而被越来越广泛的使用。而并行程序中普遍存在数据竞争的情况,并能导致多种并发错误。当竞争情况发生在内核与用户线程之间时,就会触发double fetch漏洞。我们提出了一种静态方法来系统检测Linux内核中存在的潜在double fetch情况。所提方法基于特定模式分析,总共从Linux内核中识别了90个double fetch情况,其中57个发生在驱动程序中。所提方法有效填补了之前广泛使用的动态检测方法因为依赖特定硬件所以不适用于驱动程序检测的不足。在进一步人工分析的基础上,我们归纳了3种内核中容易引发double fetch的典型场景,并进行案例分析。我们所提方法基于Coccinelle引擎,能有效检测引起内核漏洞的double fetch问题。我们将此方法应用于Linux,FreeBSD 和Android内核并发现了6个之前未知的double fetch缺陷,其中4个在驱动程序中,3个是可利用的double fetch漏洞。所有已发现的缺陷和漏洞都已经被内核开发团队确认并打上补丁。我们的方法已经被Coccinelle团队采用并集成到Linux内核补丁审计中。基于以上研究,我们还提出了实用性方法来预防double fetch 缺陷和漏洞。我们还提出了一种自动为检测到的double fetch缺陷打补丁的方法。
The wide use of multi-core hardware is making concurrent programs increasingly pervasive。Data races are common situations in concurrent programs which could cause multiple concurrency bugs. A double fetch bug is caused by the special race condition between kernel and user space. We present the first static approach that systematically detects potential double-fetch vulnerabilities in the Linux kernel. Using a pattern-based analysis, we identified 90 double fetches in the Linux kernel. 57 of these occur in drivers, which previous dynamic approaches were unable to detect without access to the corresponding hardware. We manually investigated the 90 occurrences, and inferred three typical scenarios in which double fetches occur. We discuss each of them in detail. We further developed a static analysis, based on the Coccinelle matching engine, that detects double-fetch situations which can cause kernel vulnerabilities. When applied to the Linux, FreeBSD, and Android kernels, our approach found six previously unknown double-fetch bugs, four of them in drivers, three of which are exploitable double-fetch vulnerabilities. All of the identified bugs and vulnerabilities have been confirmed and patched by maintainers. Our approach has been adopted by the Coccinelle team and is currently being integrated into the Linux kernel patch vetting. Based on our study, we also provide practical solutions for anticipating double-fetch bugs and vulnerabilities. We also provide a solution to automatically patch detected double-fetch bugs.