近日，第45届 IEEE安全与隐私国际学术会议（IEEE Symposium on Security and Privacy, IEEE S&P 2024）第一轮录用结果揭晓，实验室2022级博士生张业超（导师胡胜山副研究员）和2021级硕士生宋展翔（导师袁斌副教授）的两篇论文均被录用。

张业超的论文题目为“Why Does Little Robustness Help? A Further Step Towards Understanding Adversarial Transferability”。深度神经网络的对抗样本已被证明是可迁移的，即成功攻击一个白盒的代理模型的对抗样本也可能攻击其他黑盒模型。尽管大量研究为生成可迁移的对抗样本提供了指导，但是对抗样本为什么能迁移以及这些方法为什么能提升迁移性没有得到很好的解释。针对这一现状，文章从代理模型的视角进行分析，在理解对抗迁移性上迈出了突破性的一步。从有趣的“小鲁棒性”现象出发，即小扰动对抗性训练的模型可以作为提高对抗迁移性的替代模型。文章通过引入全新的理论框架，提出了两个重要假设来解释这一现象。其一是对抗迁移性归因于模型平滑性和梯度相似性这两个主要因素的权衡。其二是数据分布的改变会降低梯度相似性。为验证这两个假设，文章研究了流行的数据增强和梯度正则化模型训练方法。通过理论分析和训练得到400多个模型上大量的实验，证实了这种权衡机制的普遍存在，并进一步审视了研究领域内的9个结论，同时还解释了多个有关对抗迁移性难以理解的实验现象。最后，文章提出了构建更好的替代模型以提高迁移性的通用途径，即同时优化模型平滑度和梯度相似性。使用输入梯度正则化和锐度感知最小化（Sharpness-Aware Minimization, SAM）的组合，在包括国内外3个商用黑盒API的大量实验结果显示了方案的优越性。

宋展翔的论文题目为“MQTTactic: Security Analysis and Verification for Logic Flaws in MQTT Implementations”。MQTT（Message Queuing Telemetry Transport, 消息队列遥测传输协议）是当下最为流行的物联网通信协议, 但目前还没有研究能够针对开源MQTT代理中逻辑漏洞进行广泛、严格的安全验证。针对这一问题，文章提出了自动化检测工具MQTTactic。基于预定义的安全属性对MQTT代理实现进行形式化验证，MQTTactic首先从开源代理实现中提取抽象模型，为了避免模型状态爆炸的问题，工具提出了一种统一、系统的模型定义，并基于模型定义自动应用静态代码分析提取并抽象代码中异构的MQTT控制流，同时排除绝大多数与安全属性无关的控制流，保证最终模型完整性的同时尽可能精简模型状态。此外，MQTTactic还采用符号执行来保证提取的控制流都是可达的。最后，MQTTactic使用模型检查验证模型是否符合安全属性并报告所有可能的反例，并在7个流行MQTT代理上发现了11种逻辑漏洞（包括7种零日漏洞以及4种已经被发现过的漏洞）。

IEEE S&P是计算机安全领域的顶级国际学术会议，也是中国计算机学会（CCF）推荐的A类会议，该会议历年的录用率均低于15%。

（通讯员：张业超、宋展翔）