近日,第33届USENIX安全研讨会(33rd USENIX Security Symposium 2024)录用结果揭晓,博士生冯思乐(导师邹德清教授)的论文“FIRE: Combining Multi-Stage Filtering with Taint Analysis for Scalable Recurring Vulnerability Detection”被录用。
随着软件开源的不断发展,重用开源软件已成为软件开发中的一种普遍做法。这一趋势导致越来越多的漏洞。这些漏洞表现出相似的特征,它们共享代码逻辑,甚至可能是相同的,因此也被称为克隆漏洞。近年来,虽然已经提出了一些专门检测克隆漏洞的方法,但这些方法要么难以检测到有语法修改的克隆漏洞,要么不考虑补丁信息导致误报,要么需要大量时间和计算资源来处理复杂的克隆漏洞。论文介绍了一种可扩展的大规模克隆漏洞检测方法——FIRE。它利用多阶段过滤和差异污染路径来实现大规模的精确克隆漏洞扫描。该方法使用多阶段过滤减少大量正常函数,提高扩展性。利用污点分析来最大化漏洞和补丁之间的行为差异,提高有效性。实验结果表明,在对10个开源软件项目的评估中,FIRE能够以90.0%的precision检测到298个克隆漏洞,超过了现有先进的克隆漏洞检测工具MOVERY和VUDDY。相较于MOVERY,节省了大约2倍的时间,实现超大规模软件的快速扫描。
USENIX Security 是国际公认的网络安全与隐私计算领域的四大顶级学术会议之一、是CCF (中国计算机学会) 推荐的 A 类会议,近五年的平均录用率约为19%。
(通讯员:冯思乐)
