在2024年10月14日至18日举行的第31届ACM计算机与通信安全大会(The 31st ACM Conference on Computer and Communications Security,CCS)上,浙江大学区块链与数据安全全国重点实验室荣获两项 ACM CCS 2024杰出论文奖(ACM CCS 2024 Distinguished Paper Award)。获奖的两项研究成果分别为刘金飞研究员所在团队的“Cross-silo Federated Learning with Record-level Personalized Differential Privacy”和张明雪研究员所在团队的“FuzzCache: Optimizing Web Application Fuzzing Through Software-Based Data Cache”,本次获奖彰显了全重实验室在数据安全和网络安全领域前沿的研究新突破。
论文介绍
Cross-silo Federated Learning with Record-level Personalized Differential Privacy
此项研究成果由区块链与数据安全全国重点实验室与中国人民大学和埃默里大学合作完成。
差分隐私赋能下的联邦学习已成为一种流行的机器学习框架,在利用分布式数据实现有效预测能力的同时减少客户端隐私问题。现有的解决方案通常假设所有记录都有相同的隐私预算,并提供统一的解决方案,但不能满足每条记录的个性化隐私要求。相比于传统差分隐私和客户端级别的差分隐私,实现记录级别差分隐私的联邦学习框架存在以下难点:
1. 现有基于Renyi Difference Privacy (RDP) 的隐私核算理论不能满足分析联邦学习应用中每条记录累积隐私成本的需要。
2. 由于基于 RDP 的隐私核算高度非线性且可解释性差,为每个记录的最佳采样概率提供显式封闭式解决方案存在挑战。
为了解决上述难点,该论文提出了一个基于两阶段混合采样的具有记录级差分隐私的联邦学习框架。该框架通过客户端级和记录级的两阶段采样过程,适应不同的隐私要求。此外,该论文设计了一种模拟曲线拟合(SCF)策略,以在给定个性化隐私预算的情况下确定所有记录的采样概率。通过使用不同的采样概率进行模拟,该论文识别出一个可以辨别每条记录采样概率与其累积隐私成本之间关系的数学函数。该论文的研究成果实现了记录级隐私保护下模型效用的增强,并作为对具有个性化隐私保护的联邦学习的早期探索,为未来的深入研究奠定了基础。
具有记录级个性化差异隐私的联邦学习图示。在此框架中,每个用户都可以为其各自的记录独立选择个性化隐私偏好。
论文介绍
FuzzCache: Optimizing Web Application Fuzzing Through Software-Based Data Cache
此项研究成果由区块链与数据安全全国重点实验室与中关村实验室合作完成。
模糊测试是检测服务器端 Web 应用程序漏洞的关键技术。本工作的前期调研发现,从数据库和网络中获取数据导致了Web 应用程序的很大一部分运行开销,而相同的数据经常在模糊测试过程中被重复读取。因此,本工作设计了一种新的解决方案 FuzzCache,它引入了一种基于软件的数据缓存机制,通过将数据库和网络请求中的数据存储到缓存中,规避了重复且昂贵的数据读取操作。这一软件缓存通过进程间共享内存段实现,能够确保缓存数据在多次测试中保持一致。同时,FuzzCache将即时编译技术(Just-In-Time) 应用到模糊测试中,通过规避hot code的实时解释执行开销,进一步提高执行效率。本工作将FuzzCache分别集成到黑盒模糊测试 (Black-Widow) 和灰盒模糊测试 (WebFuzz) 工具中。实验结果证明,FuzzCache显著提升了Web 应用程序的模糊测试性能,可将吞吐量提升3-4倍,代码覆盖率平均提高25%;通过加速测试用例的执行,FuzzCache能在同样的时间内发现更多漏洞,为Web 应用程序测试技术的优化提供了新的思路。
图1 FuzzCache的网络请求缓存结构
图2 FuzzCache的数据库缓存结构
图3 带缓存的数据库查询操作执行流程
会议介绍
ACM CCS与IEEE S&P、USENIX Security、NDSS并称为网络与信息安全领域的四大顶级学术会议,也是中国计算机学会(CCF)推荐的A类会议。这些会议代表了该领域的最高学术水平,是全球研究人员交流最新研究成果的重要平台,被录用的论文反映了网络安全领域国际最前沿的研究成果。
区块链与数据安全全国重点实验室,依托浙江大学,于2022年11月正式获得国家科技部批准成立。实验室聚焦区块链与数据安全国际科技前沿,以实现高水平科技自立自强和打造具有世界一流的战略科技力量为己任,围绕产学研一体融合,开展系统性创新性科技攻关。实验室的研究方向主要包括区块链技术与平台、区块链监管监测、智能合约与分布式软件、数据要素安全与隐私计算、AI数据安全与认知对抗、AI原生数据处理系统、网络数据治理、智能网联车数据安全、可信数据存储与计算技术等。