本書是清華大學-奇安信聯(lián)合研究中心推出的網(wǎng)絡空間安全領(lǐng)域研究進展報告。全書立足網(wǎng)絡空間安全理論與實踐前沿,分別從創(chuàng)新研究方法和倫理問題、軟件與系統(tǒng)安全、基于模糊測試的漏洞挖掘、網(wǎng)絡安全和物聯(lián)網(wǎng)安全等角度為讀者解析2019~2021年網(wǎng)絡空間安全的研究進展和趨勢。本書可供網(wǎng)絡空間安全相關(guān)科研機構(gòu)科研人員、高等院校研究人員、網(wǎng)絡空間安全領(lǐng)域企業(yè)管理人員與技術(shù)研發(fā)人員參考,還可作為對網(wǎng)絡空間安全感興趣的人員的學習參考資料。
1.本書是網(wǎng)絡安全研究國際學術(shù)論壇(InForSec)推出的網(wǎng)絡空間安全領(lǐng)域研究進展報告,整理匯總了2019-2021年在 InForSec 論壇上分享過的網(wǎng)絡安全
2.以中文的形式解讀國際四大會議(IEEE S&P、USENIX Security、ACM CCS 和 NDSS)的研究成果,主要分為"軟件與系統(tǒng)安全""基于模糊測試的漏洞挖掘""網(wǎng)絡安全""物聯(lián)網(wǎng)安全"4 個部分,為國內(nèi)研究網(wǎng)絡安全的人士提供參考和借鑒。
3.近年國際學術(shù)領(lǐng)域?qū)ρ芯康膫惱淼赖乱笤絹碓礁,而我國絕大多數(shù)高校和研究機構(gòu)沒有類似國外的倫理審查委員會這樣的專業(yè)機構(gòu)提供指導和幫助。為此,InForSec 組織了專題研討會,探討和分享如何處理網(wǎng)絡安全研究過程中的道德倫理問題,研討會內(nèi)容既包括國際研究者介紹美國、新加坡等國外成熟的制度,也包括中國博士生在研究過程中的探索和自學的經(jīng)驗與教訓。
本書是清華大學-奇安信聯(lián)合研究中心推出的網(wǎng)絡空間安全領(lǐng)域研究進展報告。全書立足網(wǎng)絡空間安全理論與實踐前沿,分別從創(chuàng)新研究方法和倫理問題、軟件與系統(tǒng)安全、基于模糊測試的漏洞挖掘、網(wǎng)絡安全和物聯(lián)網(wǎng)安全等角度為讀者解析2019~2021年網(wǎng)絡空間安全的研究進展和趨勢。 本書可供網(wǎng)絡空間安全相關(guān)科研機構(gòu)科研人員、高等院校研究人員、網(wǎng)絡空間安全領(lǐng)域企業(yè)管理人員與技術(shù)研發(fā)人員參考,還可作為對網(wǎng)絡空間安全感興趣的人員的學習參考資料。
第 一篇 創(chuàng)新研究方法及倫理問題 1
如何在計算機應用領(lǐng)域?qū)ふ已芯肯敕ā″X志云 2
從一次失敗的投稿經(jīng)歷談網(wǎng)絡安全研究中的倫理合規(guī) 張一銘 10
法律視角下的網(wǎng)絡安全 勞東燕 17
第二篇 軟件與系統(tǒng)安全 25
PalmTree。阂环N面向指令嵌入的匯編語言模型 屈 宇 26
CROSSLINE 攻擊:打破 AMD 安全加密虛擬化的“通過崩潰實現(xiàn)安全”的內(nèi)存壁壘
李夢源 張殷乾 林志強 39
微服務間訪問控制策略的自動生成 李 星 46
使用插件飛地實現(xiàn)高性能機密無服務器計算 李明煜 57
移動操作系統(tǒng)代碼漏洞挖掘及研究 張 磊 65
PatchScope。夯趦(nèi)存對象訪問序列的補丁差異性比對方法 王笑克 70
基于 cache 的中間人攻擊:操縱隔離執(zhí)行環(huán)境中的敏感數(shù)據(jù) 雷靈光 75
SecTEE。阂环N軟件方式的 Secure Enclave 架構(gòu) 趙世軍 83
安全漏洞報告的差異性測量 歐國亮 90
誰在篡改我的可信根證書倉庫 張一銘 劉保君 96
第三篇 基于模糊測試的漏洞挖掘 101
Fuzzing 的研究之旅 鄭堯文 劉 楊 102
APICRAFT。洪]源 SDK 庫的模糊測試驅(qū)動生成 張 岑 林性偉 112
V-SHUTTLE :規(guī);驼Z義感知的虛擬機模擬設備模糊測試 潘高寧 林性偉 144
基于覆蓋率審計的模糊測試優(yōu)化 王衍豪 賈相堃 劉昱瑋 172
EcoFuzz。和ㄟ^基于對抗式多臂老虎機的變異式模型而建模的
自適應能量節(jié)約型模糊測試技術(shù) 樂 泰 200
GreyOne。簲(shù)據(jù)流敏感的模糊測試技術(shù) 甘水滔 222
ProFuzzer。夯谶\行時類型嗅探的智能模糊測試 游 偉 237
MOPT。耗:郎y試工具的優(yōu)化突變調(diào)度策略 呂晨陽 240
第四篇 網(wǎng)絡安全 247
深入解析 GDPR 數(shù)據(jù)保護法規(guī)對基于域名注冊信息的網(wǎng)絡安全研究的影響
陸超逸 248
FIDO UAF 協(xié)議的形式化分析 馮皓楠 254
眼見不一定為實:對電子郵件偽造攻擊的大規(guī)模分析 沈凱文 王楚涵 262
RangeAmp 攻擊:將 CDN 變成 DDoS 加農(nóng)炮 李偉中 郭 潤 269
最熟悉的陌生人——基于共享證書的 HTTPS 上下文混淆攻擊實證研究
張明明 鄭曉峰 278
WiFi 網(wǎng)絡下的設備識別技術(shù) 喻靈婧 羅 勃 馬 君 劉慶云 293
證書透明化機制的 Monitor 可靠性研究 李冰雨 林璟鏘 302
首個 NSA 公開披露的軟件系統(tǒng)漏洞——CVE-2020-0601 數(shù)字證書驗證漏洞分析與實驗
林璟鏘 312
第五篇 物聯(lián)網(wǎng)安全 317
Android 智能電視盒漏洞 / 缺陷挖掘 游 偉 318
破碎的信任鏈:探究跨 IoT 云平臺訪問授權(quán)中的安全風險 袁 斌 329
理解物聯(lián)網(wǎng)云平臺中部署通用消息傳輸協(xié)議的安全風險 賈 巖 336
智能家居云平臺實體間交互狀態(tài)安全分析 周 威 354
基于增強進程仿真的物聯(lián)網(wǎng)設備固件高效灰盒測試系統(tǒng) 鄭堯文 361