|
|
近日,国家网络安全学院2022级博士生占力戈撰写的论文被第35届USENIX Security Symposium(USENIX Security 2026)录用。论文题目为“Exposing Resource-Exhaustion DoS Vulnerabilities with Leak-Oriented Minimum Path Covers”(《基于泄漏导向最小路径覆盖的资源耗尽型拒绝服务漏洞检测》)。指导老师为国家网络安全学院傅建明教授(通讯作者),彭国军教授参与指导,论文与杜兰大学明江教授合作完成。国家网络安全学院2022级硕士生何亚非参与了该成果的研究工作。
9 i( L7 C* t1 Q& c: i! |, y z资源泄漏是软件系统中常见且危害较大的缺陷类型之一。当程序在使用文件句柄、网络连接、数据库连接等系统资源后未能正确释放资源时,攻击者可能通过反复触发相关功能,使系统资源被持续消耗,最终导致拒绝服务(Denial-of-Service, DoS)风险。然而,现实软件中的资源释放逻辑通常与复杂控制流、异常处理路径和跨函数调用密切相关,给自动化检测带来了较大挑战。4 M) e, y2 {, `! D: [% y
图1. LeakHunter工作流程概览0 U4 ~% L9 d) }4 v$ g- ^" Z e, ^
针对上述问题,作者提出了一种面向资源耗尽型DoS漏洞检测的新方法LeakHunter。该方法结合大语言模型辅助推理与静态程序分析技术,自动识别资源管理相关操作和可能绕过资源释放的异常路径。在此基础上,LeakHunter进一步提出泄漏导向的最小路径覆盖方法,对复杂程序路径进行压缩与优先级排序,从而在有限分析成本下优先发现更可能导致资源泄漏的关键执行路径。该方法能够有效提升资源泄漏检测的准确性与效率,并帮助开发者定位具有潜在安全影响的漏洞。9 N; S/ x2 g3 H
作者在公开数据集和真实应用上对LeakHunter进行了系统评估。实验结果表明,LeakHunter在检测效果和分析效率方面均显著优于现有方法。研究还进一步分析了资源泄漏漏洞的外部触发方式及其安全影响,相关漏洞报告已获得多个开源项目开发者确认,并推动了部分缺陷修复。
( |7 F% g! F0 d5 G此外,占力戈作为第一作者与杜兰大学明江教授课题组合作的两篇论文:“Towards Global Matches for Third-Party Library Detection in Android”(《基于全局匹配的Android第三方库检测方法》)以及“Beyond Fuzzy Matching: Constraint-Guided Patch Presence Testing for Obfuscated Java Binaries”(《超越模糊匹配:约束指导的混淆Java二进制文件补丁存在性测试方法》)同时被第48届ACM/IEEE International Conference on Software Engineering(ICSE)2026录用,指导老师为傅建明教授(通信作者),彭国军教授参与指导。
+ v8 H4 O# g: S1 S, C+ @- j1 S据悉,USENIX Security 2026将于2026年8月12日至14日在美国马里兰州巴尔的摩举行。USENIX Security自1990年首次举办以来,已有三十多年历史,是国际公认的信息安全领域旗舰会议,与IEEE S&P、ACM CCS、NDSS并称为信息安全领域“四大顶级学术会议”,也是中国计算机学会(CCF)推荐的A类会议。ICSE是软件工程领域国际顶级学术会议,也是CCF推荐的A类会议。被录用的稿件反映了网络安全领域及软件工程领域国际最前沿的研究水平与发展趋势。 |
|
[复制链接]
楼主