“恶魔音乐”攻击智能语音系统
- 作者: 袁雪敬@中国科学院信息工程研究所
- 收录:
- 简介:
智能语音控制成为当前机器接受人类命令的常用方式,传统攻击需要入侵到汽车或者机器人系统中。利用声音信号欺骗人工智能系统可以避免物理接触设备,但是如何克服播放设备电子噪声以及环境噪声的影响,规模化地攻击智能语音识别系统是实现实际物理攻击的难题。 本文旨在研究智能语音应用的潜在威胁和防御机制,为人工智能算法测试与修复提供思路。主要基于语音识别原理,挖掘深度学习算法漏洞,自动化地将语音命令嵌入到任意
口令文件泄露检测技术
- 作者: 汪定@北京大学
- 收录:
- 简介:
近一两年来,大批的知名网站(如Yahoo, Dropbox, Weebly, Quora, 163,德勤)发生了用户口令文件泄露事件。更为严重的是,这些泄露往往发生了多年后才被网站发现,才提醒用户更新口令,然而为时已晚。比如,Yahoo在2013年泄露了30亿用户口令和各类个人身份信息,在2017年10月才发现,因此事件导致Verizon对Yahoo的收购价格降低了10亿美金。 Honeyw
VulDeePecker:一个基于深度学习的漏洞检测系统
- 作者: 李珍@华中科技大学
- 收录:
- 简介:
软件漏洞的自动检测是一个重要的研究问题。现有的漏洞静态分析方法存在两个问题:第一,依赖人类专家定义漏洞特征;第二,漏报较高。理想的漏洞检测系统是同时满足低误报和低漏报,当二者无法同时满足时,更好的方法是强调降低漏报,只要误报在可接受的范围内。针对上述问题,我们首次将深度学习技术引入到面向源代码的漏洞检测领域,提出了在切片级别基于深度学习的漏洞检测系统VulDeePecker。基于双向长短期记忆网络
Revery:从漏洞PoC到可利用状态(迈向自动化漏洞利用的一小步)
- 作者: 王琰@中国科学院信息工程研究所
- 收录:
- 简介:
漏洞利用是漏洞研究中最具挑战性的问题,在实践中主要依靠安全人员的经验和高超技巧完成。学术界对此问题进行了一些探索尝试,出现了诸如AEG、Mayhem等方案。美国国防部DARPA于2014年发起了为期2年的Cyber Grand Challenge,吸引众多团队参与并开发设计了7个自动化攻防原型系统。然而,现有的自动化漏洞利用方案仍存在极大局限性(例如不支持堆相关漏洞利用),离实用还有较大距离。
理解人群报告安全漏洞的可重现性
- 作者: 徐坚皓@南京大学
- 收录:
- 简介:
现今的软件系统越来越依赖“人群的力量”来识别新的安全漏洞。 然而,人群报告(crowd-reported)安全漏洞的可重现性尚未被充分了解。 作者对大范围的真实世界安全漏洞(总共368个)进行了首次实证分析, 以量化其可重现性。根据一个精心控制的工作流程,作者组织了一个专门的安全分析师小组来进行复现实验。在花费了3600个工时(man-hour)后,作者得到了漏洞报告中信息缺失的普遍性和漏洞的低可
端到端安全协议的威胁、演进和部署
- 作者: 郑晓峰@360企业安全技术研究院
- 收录:
- 简介:
出于安全的目的,Web浏览器的同源策略(Same Origin Policy)限制了跨域的网络资源访问。然而,开发者由于业务的需要许多时候必须访问跨域的资源。跨域资源共享CORS(Cross-Origin Resource Sharing)是目前解决跨域资源访问的最为正规的方案,也得到了所有主流浏览器、许多热门Web网站的支持。该报告发现CORS的设计、实现与现实网络中的配置都存在大量的安全问题。