本议题将介绍本人如何在硕士在读期间，从一个连内核态和用户态都不知道的初学者，成长为一个相对合格的国际赛选手和安全研究员。并结合个人经历，介绍个人对安全研究人员的自我培养的一些想法。

智能家居，作为一个由物联网衍生的新兴概念，可智能连接各类智能传感器和设备，促进家用电器、照明、加热冷却系统以及安防系统的自动化。三星 SmartThings 作为一个开放的智能家居平台，在同类平台中占据领先优势。我们的研究围绕三星 SmartThings 展开。过往相关研究揭露了 SmartThings 设计上的若干安全缺陷。这些缺陷将允许智能家居应用（又称作 SmartApp）非法获取到未被授予

物联网技术的高速发展，给网络空间中物联网设备的管理和安全审计引入了巨大的技术挑战。这些物联网设备通常来自不同的设备类型，供应商，具有不同的产品型号。物联网设备发现和标识是了解，监控和保护物联网设备的先决条件。但是，现有手动标识物联网设备的方法无法满足大规模设备发现的需求，现有基于机器学习的设备分类需要大量带标签的数据。因此，在物联网中自动发现和标识的设备仍然是一个亟需解决的问题。 本文提出了

Android系统整合了越来越多的系统服务，其中不乏地理位置、电话、短信等各种敏感服务及资源。为了防止恶意软件利用这些系统服务非法获取敏感的系统资源，Android系统实现了一套基于访问控制的机制去保护这些服务。虽然，已经有很多工作研究了这些访问控制中的漏洞问题，但是，他们都集中于研究那些基于权限验证的访问控制，还有一大类基于输入验证的访问控制，却被疏忽了。而本文就是针对那些尚未被研究过的存在于A

公共域名解析服务器由于其良好的安全性与稳定性被一些互联网用户所信任。 我们发现，这层信任关系会轻易地被域名解析路径劫持所破坏。网络中的旁路设备伪装成公共域名解析服务器的IP地址，进而劫持用户的域名解析流量，并转发到第三方域名服务器。通过全球范围内大规模的网络测量，我们发现全球两百余个自治域内存在这种现象；而在中国，近三成谷歌公共DNS的域名解析流量被劫持。这一现象给用户带来了多种安全隐患。这项研究

验证码被广泛应用于网站的登录、注册等环节,用来进行身份验证以防止计算机自动程序暴力破解、刷票或垃圾评论等。其中文本验证码由于密码空间大、交互方式简单等特点目前仍被大多数主流网站使用。为了增大计算机程序对文本验证码自动识别的难度,一方面，当前文本验证码普遍使用了复杂混淆背景、字符扭曲、旋转和粘连等安全特征，导致基于分割-识别的方法失效。另一当面，有些网站也采用了防爬机制以限制验证码被恶意收集和自动爬