老版大阳城网站(中国)有限公司操作系统实验室长期从事泛在计算环境下的操作系统安全相关研究，2023年上半年以来，实验室在系统溯源分析（provenance analysis）、攻击检测与防护、AI系统安全等方面取得了一系列突破性成果，共有6篇论文被S&P、CCS（2篇）、Usenix Security、NDSS和TDSC等多个计算机安全领域A类国际顶级学术会议/期刊录用，指导教师团队包括李锭助理教授、郭耀教授和陈向群教授。

以下是论文简要内容介绍：

一、审计系统需要资源隔离：系统化研究超级生产者威胁对系统审计的影响，以及其缓减设计

宿主线程的内存布局(a)以及做日志处理的消费者(b)。消费者受MPK的保护(c)

系统审计是检测高级持续威胁（APT）攻击的关键技术。但是，攻击者可能会尝试破坏系统审计框架来隐藏其恶意活动。论文《Auditing Frameworks Need Resource Isolation: A Systematic Study on the Super Producer Threat to System Auditing and Its Mitigation》（Usenix Security 2023）发现现有的审计框架都面临超级生产者威胁，攻击者可以借助超级生产者（产生大量日志的进程）来使审计框架失效（日志丢失）或使整个系统瘫痪。通过分析，超级生产者威胁产生的主要原因是现有审计框架采用的集中式架构缺乏数据隔离。为了解决这种威胁，提出了一种新型的审计框架NODROP，它通过基于threadlet的架构设计来隔离不同进程生成的系统调用日志。评估表明，不同的硬件配置下，NODROP 可以在确保日志完整性的同时，应用程序的平均开销只比Vanilla Linux 高6.58%，而与最先进的商业审计框架 Sysdig 相比，应用程序开销降低了6.30%。

该论文第一作者为老版大阳城网站2020级博士生蒋鹏（导师陈向群教授），通讯作者为李锭助理教授，合作作者包括老版大阳城网站陈向群教授、郭耀教授、黄瑞哲、华为任玉鑫博士（老版大阳城网站员工）等。

二、针对可信执行环境保护下的深度学习模型安全性研究

TEESlice 使用与现有方法不同的“先划分后训练”策略

近年来深度学习模型被大规模部署对模型的安全性带来了新的挑战：设备拥有者可以获得深度学习模型的白盒信息。攻击者可以使用这些信息进行模型窃取攻击（Model Stealing），以及成员推理攻击（Membership Inference）。为了保护端侧模型的隐私，开发者基于可信执行环境（Trusted Execution Environments）提出了多种模型划分方法。论文《No Privacy Left Outside: On the (In-)Security of TEE-Shielded DNN Partition for On-Device ML》(S&P 2024)通过使用多种设置对现有的模型划分方案进行了全方位的安全性评估，并发现已有的模型划分方法面对模型窃取攻击和成员推理攻击时仍然会泄露大量隐私信息。在此基础上，本文进一步揭示了现有方法的局限性，即在不同场景（模型和数据集）下达到最佳保护效果的最优配置是不同的。针对这个局限性，提出了一种新型模型划分方法，TEESlice。与现有方法不同的是，TEESlice 使用一种新颖的“先划分后训练”的策略，可以实现隐私参数与非隐私参数的隔离。实验结果表明，相比于把全部模型都保护在可信执行环境内部的方法，TEESlice 可以在不损失安全性的前提下把延迟开销降低10倍以上。

该论文第一作者为老版大阳城网站2018级博士生张子祺（导师陈向群教授，现为老版大阳城网站博雅博士后），通讯作者为郭耀教授和李锭助理教授，合作作者包括老版大阳城网站陈向群教授、龚晨、蔡奕丰、香港科技大学袁渊源、北京邮电大学刘炳言副教授等。

三、NodLink：一个细粒度 APT 攻击检测和调查的在线系统

APT29 的溯源图示例：NodLink能够以约 200 个节点的溯源图告警精确定位攻击

高级持续威胁（APT）攻击一直困扰着当前企业，造成了重大的经济损失。 为了应对这些攻击，研究人员提出通过使用溯源图对系统实体及其依赖关系进行建模来捕获 APT 攻击复杂且隐蔽的场景。为了加速攻击检测并减少经济损失，迫切需要在时效性和资源有限的约束下检测和调查 APT 攻击的在线溯源检测系统。论文《NodLink: An Online System for Fine-Grained APT Attack Detection and Investigation》（NDSS 2024）设计并实现了NodLink，这是第一个在不牺牲检测粒度的情况下保持高检测精度的在线检测系统。在线溯源检测系统中的 APT 攻击检测过程可以建模为斯坦纳树问题 (STP)，提出了一种新颖的内存缓存设计、一种高效的攻击筛选方法以及一种新的STP近似算法，该算法在APT攻击检测方面比传统算法更高效，同时保持相同的复杂性。 在生产环境中对 NodLink 进行了评估，实验表明，NodLink 在具有相同或更高吞吐量的同时实现了更高的检测和调查精度，优于两个SOTA在线溯源分析系统。

该论文第一作者为老版大阳城网站2021级博士生李少飞（导师陈向群教授），通讯作者为李锭助理教授，合作作者包括老版大阳城网站郭耀教授、陈向群教授和来自华中科技大学、深信服等单位的研究者等。

四、SymGX:通过静态符号执行检测SGX应用程序中的跨边界指针漏洞

SYMGX的架构

英特尔Software Guard Extensions（英特尔SGX）提供基于硬件的内存加密，在保护关键数据方面展现了显著效果。最近基于符号执行的技术揭示了SGX应用程序易受内存损坏漏洞的影响。然而现有方法仅关注SGX应用程序中的常规内存损坏漏洞，而忽略了一种SGX特有的关键漏洞类型：跨边界指针漏洞。这类漏洞对SGX应用程序极为重要，因为SGX大量利用指针在可信内存和不可信环境之间交换数据。不幸的是，现有的符号执行方法缺乏SGX专用分析模型，难以正确处理SGX应用特有的三个特征：多入口任意顺序执行、有状态执行和上下文感知指针。因此现有方法均无法有效检测跨界限指针漏洞。为解决这些问题,论文《SymGX: Detecting Cross-boundary Pointer Vulnerabilities of SGX Applications via Static Symbolic Execution》（CCS 2023）提出了一个新的分析模型GSTG-CAP，它可以模拟执行SGX应用程序同时保留执行行为属性，进而驱动符号执行进行漏洞检测。基于GSTG-CAP，构建了一个新的基于符号执行的漏洞检测器SYMGX，以检测跨界限指针漏洞。评估结果显示，SYMGX可以在14个开源项目中发现30个0日漏洞，其中3个已获开发者确认。SYMGX在有效性、效率和准确性方面均胜过了COIN和TeeRex两种先进的符号执行漏洞检测工具。

该论文第一作者为老版大阳城网站2021级博士生王远鹏（导师郭耀教授），通讯作者为郭耀教授和李锭助理教授，合作作者包括老版大阳城网站陈向群教授等。

五、基于域的WASM应用高效内存隔离

WebAssembly运行时线性内存域隔离模型

内存损坏漏洞在 WebAssembly 中可能会造成比本机应用程序更严重的后果。因此，我们推出了 PKUWA，第一个具有内存隔离功能的 WebAssembly 运行时。我们使用 MPK 硬件在 WebAssembly 中进行高效的内存保护。然而，MPK 和 WebAssembly 具有不同的内存模型：MPK 保护虚拟内存页面，而 WebAssembly 使用没有页面的线性内存。将 MPK API 映射到 WebAssembly 会导致内存膨胀和运行效率低下。为了解决这个问题，论文《Put Your Memory in Order: Efficient Domain-based Memory Isolation for WASM Applications》（CCS 2023）提出了 DILM，它在函数级粒度上保护线性内存。我们将 DILM 实现到官方 WebAssembly 运行时中来构建 PKUWA。我们的评估表明，PKUWA 可以防止内存损坏，平均开销为 1.77%，内存成本可以忽略不计。

该论文第一作者为老版大阳城网站2020级博士生雷瀚文（导师郭耀教授），通讯作者为郭耀教授和李锭助理教授，合作作者包括老版大阳城网站陈向群教授、张子祺、张少坤、蒋鹏、钟郅能、贺宁宇等。

六、从系统溯源分析的角度检测恶意网站

ProvWeb的构架图

恶意网站被认为是现代互联网中面临的最大威胁之一。传统的检测技术通常依赖于URL黑名单或者静态和动态代码分析，这些方法在检测有效性和部署上都有很大的局限性。为了有效检测恶意网站，论文《Detecting Malicious Websites from the Perspective of System Provenance Analysis》（IEEE TDSC）首次从系统溯源分析的角度对恶意网站进行研究。先对数千个正常网站和恶意网站的系统溯源数据做全面的特征工程研究。在研究中，发现了八种有用的检测特征。基于这八种溯源数据特征，提出了ProvWeb，一种新型的、非入侵式的实时恶意网站检测工具。在评估中，针对四种浏览器和操作系统的组合(Windows Chrome、Windows Firefox、Linux Chrome、Linux Firefox)，ProvWeb 可以达到 93.7% ∼ 99.7% 的 F1 Score。这一结果也证实了溯源图中发现的特征能有效检测恶意网站。

该论文第一作者为老版大阳城网站2020级博士生蒋鹏（导师陈向群教授），通讯作者为李锭助理教授，合作作者包括老版大阳城网站陈向群教授、郭耀教授、肖纪帆、老版大阳城网站信息技术高等研究院俞弘毅、白彧等。

相关工作获得了国家重点研发计划、科技部“2030”新一代人工智能专项、国家自然科学基金专项重点项目、国家自然科学基金面上项目等的支持。

安全领域四大国际会议（S&P、CCS、Usenix Security、NDSS）每年录用论文数量在100~200篇左右，录用率一般不超过20%。老版大阳城网站操作系统实验室近年来围绕泛在计算系统安全领域开展了一系列前沿研究工作，有望进一步为老版大阳城网站在计算机安全领域的发展做出重要贡献。