ACM CCS与IEEE S&P、USENIX Security、NDSS并称为计算机安全领域四大顶级会议。近期,腾讯安全联合实验室有两篇技术报告分别入选“四大”中的ACM CCS和IEEE S&P,在自动化漏洞挖掘和车联网安全方面取得显著进展。
腾讯安全大数据实验室论文入选ACM CCS 2023
腾讯安全大数据实验室团队论文《Hopper: Interpretative Fuzzing for Libraries》被ACM CCS 2023收录。这篇论文提出了“解释性模糊测试”( Interpretative Fuzzing)方法,展示了如何基于动态反馈来学习API内外的约束进行代码自动化生成,从而在没有任何外部专家知识的前提下生成有效可用的代码调用方式,并且根据这些代码来挖掘漏洞。
“解释性模糊测试”的出现旨在解决模糊测试需要人工构造入口的问题,有望极大地提升漏洞自动化挖掘的效率和应用范围。我们距离“全自动”漏洞挖掘又近了一步。
腾讯安全大数据实验室基于解释性模糊测试构造了漏洞自动化挖掘工具Hopper。在API覆盖率上,Hopper能达到93.52%的极高水准,而对相同目标人工编写的模糊测试入口只能覆盖大约15%-30%的API。
在实验中,Hopper还成功地找出了一系列真实的软件缺陷,并提交给相关平台和开发者进行了修复。
就上述研究成果,昨天,腾讯安全大数据实验室研究员谢雨轩受邀在哥本哈根ACM CCS 2023会议上进行了主题分享。
科恩实验室论文入选IEEE S&P 2024
腾讯安全科恩实验室和香港理工大学罗夏朴教授团队及香港大学钱晨雄教授联合完成了一项网联汽车信息安全研究,相关论文《Revisiting Automotive Attack Surfaces: a Practitioners’ Perspective》已被安全领域四大顶会中的IEEE S&P 2024录用。
这篇论文通过深入访谈15位网联汽车信息安全专家,揭示了安全团队在保障车辆信息安全过程中遇到的挑战,以及现行规定的局限性:包括缺乏高质量的车载威胁案例信息库以及难以高效执行Threat Analysis & Risk Assessment (TARA)等。
基于现有的法规和收集的访谈数据,科恩实验室建立了一个新的层次化的网联汽车信息安全的威胁案例库,包括多达119条具体的车载威胁案例。新的威胁数据库包含了所有现有法规和标准中的威胁案例,以及所有从访谈研究中补充的案例。
同时,科恩提出一种新的基于Datalog的推理方法,可根据车载网络结构自动化推理攻击路径和计算对应的威胁分数,并在实车上验证了该自动化方法的有效性。
腾讯安全认为,随着数实融合加深、新技术不断涌现,产业互联网时代,企业将面临更复杂的安全挑战,安全厂商和企业安全部门需要追踪新技术动向,才能在不断升级的攻防对抗中占据先发优势。
腾讯安全联合实验室是腾讯安全旗下信息安全研究团队,致力于前沿安全技术探索和产业化应用实践,在5G安全、物联网/车联网安全、安全大数据、AI安全、云安全、反病毒及反勒索、卫星安全等领域均积累了大量前沿研究成果。
