2026-03-03 03:44:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档是公众号“漏洞战争”发布的NDSS2026论文清单（第二部分），汇总了多篇顶尖安全会议的论文摘要。内容涵盖了IoT安全（如针对自主跟踪无人机和蓝牙协议的攻击）、软件供应链安全（如npm漏洞精准分析）、前沿领域（如XR开发安全、CPU/硬件模糊测试、区块链DeFi攻击检测）以及新型攻击向量（如利用光纤的声学窃听、卫星蜜罐）等多个方向。这些研究揭示了新兴系统的安全风险，提出了创新的攻击与防御框架，并强调了在人工智能、硬件和沉浸式技术等复杂系统中进行安全加固的紧迫性。 综合评分： 76 文章分类： 漏洞分析,威胁情报,解决方案,IoT安全,移动安全

cover_image

NDSS 2026论文清单及摘要（中）

漏洞战争漏洞战争

漏洞战争

2026年3月1日 14:04 广东

101、FlyTrap: Physical Distance-Pulling Attack Towards Camera-based Autonomous Target Tracking Systems

自主目标跟踪（ATT）系统，尤其是ATT无人机，广泛应用于监控、边境控制和执法等领域，同时也被滥用于跟踪和破坏行为。因此，ATT的安全性对实际应用至关重要。在此背景下，我们提出了一种新型攻击：距离拉回攻击（DPA），并对其进行了系统性研究，该攻击利用ATT系统的漏洞，危险地减少跟踪距离，导致无人机被捕获、传感器攻击敏感性增加，甚至发生物理碰撞。为实现这些目标，我们提出了FlyTrap，一种新颖的物理世界攻击框架，它使用一把对抗伞作为可部署和领域特定的攻击向量。FlyTrap专门设计用于满足ATT无人机攻击的关键目标：物理可部署性、闭环有效性和时空一致性。通过新颖的渐进式距离拉回策略和可控的时空一致性设计，FlyTrap在实际环境中操控ATT无人机，实现了显著的系统级影响。我们的评估包括在真实白盒甚至商用ATT无人机（包括DJI和HoverAir）上进行的新数据集、指标和闭环实验。结果表明，FlyTrap能够将跟踪距离减少到可被捕获、传感器攻击甚至直接坠机的范围内，凸显了ATT系统安全部署的紧迫安全风险和实际意义。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s904-paper.pdf

102、Formal Analysis of BLE Secure Connection Pairing and Revelation of the PE Confusion Attack

安全连接(SC)配对是最新版本的安全协议，旨在保护通过低功耗蓝牙(BLE)信道传输的敏感信息。对该协议进行正式且严谨的分析对于提高安全保证和识别潜在漏洞至关重要。然而，协议流程的复杂性、配对方法形式化的困难以及过于理想化的用户假设为这种分析带来了重大障碍。在本文中，我们解决了这些挑战，并使用Tamarin工具对BLE-SC配对协议进行了准确且全面的正式分析。我们提取了每个参与者的状态机作为协议建模的蓝图，并使用等式理论来形式化配对方法选择逻辑。我们的模型包含了细微的用户行为，并考虑了更强的对手能力，包括对临时带外信道等私有信道的潜在妥协。我们开发了一种验证策略来自动化协议分析，并实现了一个脚本以在多个服务器上并行化验证任务。我们验证了84种配对案例，并确定了协议所需的最小安全假设。此外，我们的结果揭示了一种新的中间人(MitM)攻击，我们称之为PE混淆攻击。我们提供了在受控环境中模拟和理解此攻击的工具和概念验证(PoC)漏洞利用程序。最后，我们提出了防御此攻击的对策，提高了BLE-SC配对协议的安全性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f779-paper.pdf

103、From Noise to Signal: Precisely Identify Affected Packages of Known Vulnerabilities in npm Ecosystem

npm是最大的开源软件生态系统，拥有超过300万个软件包。然而，包之间的复杂依赖关系使其面临严重的安全威胁，因为许多包直接或间接依赖于其他存在已知漏洞的包。及时更新这些易受攻击的依赖是软件供应链安全中的一个重大挑战，主要由于漏洞的广泛影响和修复它们的高昂成本。最近的研究表明，现有的包级漏洞传播分析工具会导致高误报率，而函数级工具在npm生态系统中尚不适用于大规模分析。在本文中，我们提出了一个新颖的框架VulTracer，它可以精确高效地执行函数级漏洞传播分析。通过为每个包独立构建丰富的语义图，然后将它们连接起来，VulTracer可以精确定位漏洞传播路径并识别真正受影响的包。通过比较评估，我们的框架在调用图构建中实现了0.905的F1分数，并将npm audit的误报率降低了94%。我们对整个npm生态系统进行了迄今为止最大规模的函数级漏洞影响测量，涵盖了3400万个包版本。结果表明，包级分析确定的68.28%的潜在影响只是噪音，因为易受攻击的代码是不可达的。此外，我们的研究还发现真正的漏洞传播（信号）是浅层的，影响在仅仅几个依赖跳转内就会显著减弱。VulTracer为缓解警报疲劳并提供了一种实用路径，使安全工作能够专注于真正可达的威胁。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1902-paper.pdf

104、From Obfuscated to Obvious: A Comprehensive JavaScript Deobfuscation Tool for Security Analysis

JavaScript的广泛应用使其成为恶意攻击者的有吸引力的目标，这些攻击者采用复杂的混淆技术来隐藏恶意代码。当前的去混淆工具存在严重局限性，严重限制了它们的实际有效性。现有工具难以处理多样化的输入格式，仅针对特定的混淆类型，并且产生晦涩难懂的输出，阻碍了人工分析。为应对这些挑战，我们提出了JSIMPLIFIER，这是一个全面的去混淆工具，采用多阶段流水线，包括预处理、基于抽象语法树的静态分析、动态执行跟踪以及大型语言模型（LLM）增强的标识符重命名。我们还引入了多维评估指标，结合了控制/数据流分析、代码简化评估、熵度量和基于LLM的可读性评估。我们构建并发布了最大的真实世界混淆JavaScript数据集，包含44,421个样本（23,212个野生恶意样本和21,209个良性样本）。评估显示，JSIMPLIFIER在处理20种混淆技术时达到100%的处理能力，在评估子集上达到100%的正确性，代码复杂度降低88.2%，并通过多个LLM验证可读性提高超过4倍。我们的成果推进了JavaScript去混淆研究和实际安全应用的基准。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2198-paper.pdf

105、From Perception to Protection: A Developer-Centered Study of Security and Privacy Threats in Extended Reality (XR)

XR的沉浸式特性引入了一组根本不同的安全与隐私（S&P）挑战，这些挑战源于传统范式难以缓解的前所未有的用户交互和数据收集。作为XR应用的主要架构师，开发者在应对新型威胁方面发挥着关键作用。然而，为了有效支持开发者，我们首先必须了解他们如何感知和应对不同威胁。尽管这一问题日益重要，但缺乏从开发者角度深入考察XR安全与隐私的威胁感知研究。为填补这一空白，我们采访了23名专业XR开发者，重点关注XR中的新兴威胁。我们的研究旨在解决两个研究问题，以揭示XR开发中的现有问题并确定可行的前进路径。通过考察开发者对安全与隐私威胁的感知，我们发现：（1）XR开发决策（如丰富的传感器数据收集、用户生成内容界面）与安全与隐私威胁密切相关并可能放大这些威胁，但开发者往往没有意识到这些风险，导致威胁感知中的认知偏见；（2）现有缓解方法的局限性，加上战略、技术和沟通支持不足，削弱了开发者有效应对这些威胁的动机、意识和能力。基于这些发现，我们提出了切实可行且考虑各利益相关者的建议，以在整个XR开发过程中提升XR的安全与隐私。这项工作代表了XR领域首次进行的威胁感知、以开发者为中心的研究——XR技术的沉浸式、数据丰富特性在这一领域引入了独特的挑战。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s807-paper.pdf

106、Fuzzilicon: A Post-Silicon Microcode-Guided x86 CPU Fuzzer

现代中央处理器（CPU）是黑盒、专有的，并且越来越具有复杂的微架构缺陷，这些缺陷能够规避传统分析。虽然其中一些关键漏洞是通过繁琐的手动工作发现的，但为现实世界的后硅处理器构建一个自动化的系统性漏洞检测框架仍然是一个挑战。在本文中，我们提出了Fuzzilicon，这是第一个针对现实世界x86 CPU的后硅模糊测试框架，它能够深入检查微代码和微架构层。Fuzzilicon自动化了那些以前只能通过大量手动逆向工程才能发现的漏洞的检测，并通过引入微代码级检测工具弥合了可见性差距。Fuzzilicon的核心是一种从处理器微架构直接提取反馈的新技术，该技术通过逆向工程英特尔的专有微代码更新接口实现。我们开发了一种最小侵入性的检测方法，并将其基于 hypervisor 的模糊测试工具集成，以实现精确的反馈引导输入生成，无需访问寄存器传输级（RTL）或供应商支持。应用于英特尔的Goldmont微架构，Fuzzilicon发现了5个重要发现，包括两个以前未知的微代码级推测执行漏洞。此外，Fuzzilicon框架自动重新发现了先前工作中手动检测到的μSpectre类漏洞。与基线技术相比，Fuzzilicon将覆盖率收集开销降低了31倍，并实现了可挂钩位置16.27%的唯一微代码覆盖率，这是该领域的首个经验基线。作为一个实用的、覆盖率引导的、可扩展的后硅模糊测试方法，Fuzzilicon为自动化发现复杂CPU漏洞建立了新的基础。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1486-paper.pdf

107、GoldenFuzz: Generative Golden Reference Hardware Fuzzing

现代硬件系统因高性能和应用特定功能的需求驱动而日益复杂，引入了大量的错误和安全关键漏洞。模糊测试已成为发现此类缺陷的可扩展解决方案。然而，现有的硬件模糊测试器由于依赖缓慢的设备仿真，存在语义感知有限、测试效率低下和计算开销大等问题。本文提出了GoldenFuzz，一种新颖的两阶段硬件模糊测试框架，部分地将测试用例的精炼与覆盖率和漏洞探索解耦。GoldenFuzz利用一个快速、符合ISA规范的黄金参考模型（GRM）作为被测设备（DUT）的”数字孪生”。它首先对GRM进行模糊测试，实现快速、低成本的测试用例精炼，加速在DUT上的深度架构探索和漏洞发现。在模糊测试流程中，GoldenFuzz通过精心选择的指令块串联来迭代构建测试用例，这些指令块平衡了指令间和指令内的微妙质量。利用高覆盖率和低覆盖率样本见解的反馈驱动机制进一步增强了GoldenFuzz在硬件状态探索方面的能力。我们对三个RISC-V处理器（RocketChip、BOOM和CVA6）的评估表明，GoldenFuzz在实现最高覆盖率的同时，以最少的测试用例长度和计算开销显著优于现有模糊测试器。GoldenFuzz发现了所有已知漏洞和五个新漏洞，其中四个被归类为高度严重，CVSS v3严重性评分超过七分。它还识别了商业BA51-H核心扩展中的两个先前未知的漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1663-paper.pdf

108、Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy

WhatsApp作为截至2025年初拥有35亿活跃账户的平台，是全球最大的即时通讯平台。凭借庞大的用户基础，WhatsApp在全球通信中发挥着关键作用。要发起对话，用户必须首先确认其联系人是否已在该平台注册。这是通过查询WhatsApp服务器实现的，服务器会提取用户通讯录中的手机号码（如果用户已授权访问）。这种架构 inherently enables phone number enumeration，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御措施，我们重新审视了这一问题，并表明WhatsApp在规模化枚举方面仍然存在高度漏洞。在我们的研究中，我们每小时能够探测超过一千万个电话号码而未遇到阻止或有效的速率限制。我们的研究结果不仅证明了这一漏洞的持续性，还揭示了其严重性。我们进一步发现，2021年Facebook数据泄露事件中披露的电话号码中，近一半仍然活跃在WhatsApp上，强调了此类泄露带来的持续风险。此外，我们还对WhatsApp用户进行了普查，揭示了即使消息本身是端到端加密的，大型通讯服务仍能产生的宏观洞察。利用收集的数据，我们还发现某些X25519密钥在不同设备和电话号码中被重复使用，表明存在不安全（自定义）实现或欺诈活动。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s805-paper.pdf

109、Hiding an Ear in Plain Sight: On the Practicality and Implications of Acoustic Eavesdropping with Telecom Fiber Optic Cables

光纤因其对外部干扰的抵抗能力和低信号损耗而被广泛认为是可靠的通信渠道。本文展示了电信光纤中存在的一个关键侧信道，该信道允许进行声学窃听。通过利用光纤对声振动的敏感性，攻击者可以远程监测光纤结构中由声音引起的形变，并进一步从原始声波中恢复信息。随着现代建筑中光纤到户（FTTH）安装的普及，这一问题变得尤为令人担忧。攻击者只需访问光纤的一端，即可使用商用分布式声学传感（DAS）系统窃听另一端周围的环境。然而，由于光纤本身对空气传播的声音不够敏感，我们引入了一种”感官受体”以提高声学捕获能力。我们的研究结果表明，能够恢复关键信息，如人类活动、室内定位和对话内容，这引发了人们对光纤通信网络隐私的重要担忧。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f546-paper.pdf

110、HoneySat: A Network-based Satellite Honeypot Framework

卫星是关键任务服务的支柱，使我们的现代社会能够正常运转，例如GPS。多年来，卫星被认为具有安全性，因为其难以理解的架构和依赖”通过隐匿实现安全”的策略。然而，技术进步使这些假设过时，为潜在攻击铺平了道路。不幸的是，目前无法收集有关卫星对抗技术的数据，这阻碍了导致反措施开发的情报生成。在本文中，我们提出了HoneySat，这是第一个高交互式卫星蜜罐框架，能够真实地模拟真实的立方星（CubeSat），这是一种小型卫星（SmallSat）。为了证明HoneySat的有效性，我们调查了小型卫星运营商并通过互联网部署了HoneySat。我们的研究结果显示，90%的卫星运营商同意HoneySat提供了真实的模拟。此外，HoneySat成功欺骗了现实世界中的攻击者，并收集了22个真实的对抗性交互。最后，我们进行了硬件在环操作，其中HoneySat成功与在轨运行的小型卫星任务进行了通信。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f537-paper.pdf

111、HOUSTON: Real-Time Anomaly Detection of Attacks against Ethereum DeFi Protocols

随着去中心化金融（DeFi）持续创新金融体系，其基础构件的安全性仍是其大规模应用的关键关注点。在DeFi领域，风险极高，每周都有数百万美元的财务损失事件反复发生。所有主要的基于区块链的金融应用（即DeFi协议）都由称为智能合约的程序构建并与之交互。虽然已开发了许多安全工具来识别单个智能合约中的特定漏洞类别（如重入攻击），但在自动实时识别针对DeFi协议的攻击方面，投入的努力相对较少。在本文中，我们提出了一种新颖的方法，用于实时、通用且可解释地识别针对DeFi协议的攻击。具体而言，我们识别潜在的风险交易，而不依赖于任何已知的漏洞模式。我们的方法在HOUSTON系统中实现，首先自动识别共同实现DeFi应用的智能合约集合，然后在监控新的相关交易时，构建和更新自定义异常检测模型。我们的模型包含典型执行路径（控制流）的信息，以及协议如何处理数据的信息，这些信息被捕获为合约函数参数与存储变量之间可能的不变量关系。HOUSTON提供可解释的警报，可用于攻击分类。我们在超过2200万笔交易的大型语料库上评估了HOUSTON，涵盖了115个DeFi事件。在我们的实验中，HOUSTON实现了94.8%的检测真阳性率，同时保持低假阳性率。与最先进的异常检测系统相比，HOUSTON实现了更高的真阳性数量和更低的假阳性率。最后，我们在真实环境中部署了HOUSTON，它在普通硬件上展示了实时监控能力，同时保持了高准确性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1534-paper.pdf

112、Huma: Censorship Circumvention via Web Protocol Tunneling with Deferred Traffic Replacement

随着互联网审查日益普遍，用户常常依赖隐蔽通道来规避监控并访问受限内容。Web协议隧道工具使用网站作为代理，将隐蔽数据封装在Web协议中，以与合法流量混合从而避免检测。然而，现有工具容易通过流量分析被检测到，使审查者能够通过指纹攻击或因产生异常浏览模式来识别此类工具的使用。我们提出了Huma，一种新的Web协议隧道工具，解决了现有的检测问题。通过延迟隐蔽数据传输，Huma允许参与规避审查的网站首先返回未修改的内容，而嵌入隐蔽数据的响应则在后台准备并在客户端的下一个请求期间发送，从而避免了促进指纹识别的时间异常。通过依赖基于真实浏览活动建模的显式用户模拟器，Huma也遵循用户预期的浏览行为。最后，Huma防止对手控制的网站将通信端点绑定在一起，从而能够轻松扩展以支持内部网审查场景中的隐蔽通信。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f328-paper.pdf

113、HyperMirage: Direct State Manipulation in Hybrid Virtual CPU Fuzzing

虚拟机监视器对现代云基础设施的安全性和可用性至关重要，但它们必须向客户虚拟机暴露大量的虚拟化接口——这是攻击者可以利用的攻击面。虚拟机监视器中最复杂且对安全敏感的组件之一是其虚拟CPU实现，通常在最高特权级别实现。尽管之前的模糊测试研究在检查虚拟机监视器的虚拟CPU组件方面取得了有希望的进展，但现有技术无法深入覆盖该组件，因为其复杂的性质需要繁琐的手动设置来访问各个接口，同时采用次优技术降低了模糊测试吞吐量。我们通过HyperMirage解决了这些缺陷，这是一种新型虚拟机监视器模糊测试工具，能够自动高效地探索虚拟CPU实现所模拟的大量架构状态空间。HyperMirage采用一种新颖的直接状态操作方法，使安全分析师无需手动构建架构有效的虚拟机状态作为模糊测试种子，该方法直接且自动地修改虚拟机监视器在模糊测试过程中所使用的虚拟机状态视图。此外，我们扩展了最先进的基于编译器的符号执行引擎，使其成为首个可用于裸机目标的引擎，并将其集成到高效的覆盖率引导虚拟机监视器模糊测试工具中，使HyperMirage与现有技术相比能够显著提高模糊测试吞吐量。我们通过在Intel x86架构上对生产级Xen和KVM虚拟机监视器进行模糊测试，提供了HyperMirage的案例研究。我们的评估表明，HyperMirage能够比先前工作多覆盖200%的虚拟CPU接口，与可用的虚拟机监视器模糊测试工具相比，在整个虚拟CPU空间上实现了显著更高的覆盖率。此外，HyperMirage在Xen中发现了9个新漏洞，在KVM中发现了2个新漏洞，所有这些漏洞都已被各自的项目维护者确认。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1763-paper.pdf

114、Icarus: Achieving Performant Asynchronous BFT with Only Optimistic Paths

区块链技术的出现重新激发了人们对拜占庭容错（BFT）共识的研究兴趣，特别是异步BFT，因为它对网络攻击具有抵抗力。为了提高传统异步BFT的性能，最近的研究提出了双路径范式：在有利情况下通过乐观路径提高效率，在不利情况下通过悲观路径（通常通过多值验证拜占庭协议（MVBA）实现）保证活性。然而，由于MVBA协议固有的复杂性和低效性，现有的双路径协议在不利情况下表现出高实现复杂性和性能差。此外，双路径范式中的两种构成类型——串行路径和并行路径——各自面临额外的限制。具体而言，串行类型在乐观路径和悲观路径之间切换困难，而并行类型会丢弃其中一个路径的区块，导致带宽浪费和吞吐量降低。为解决这些限制，我们提出了Icarus，这是一种单路径异步BFT协议，仅利用乐观路径而不使用悲观路径。乐观路径确保Icarus在有利情况下的效率。为保证不利条件下的活性，Icarus采用旋转链机制：每个节点并行广播一个区块链，这些链以轮询方式轮流作为乐观路径。由于无故障节点的链持续增长，一旦积累了足够区块的链成为乐观路径，其区块就可以被提交，从而确保即使在不利条件下也能保持活性。为在路径转换过程中保持一致性，Icarus引入了双连续验证值拜占庭协议（tcv$^2$-BA），该协议对先前路径上已提交区块的高度进行对齐。我们通过理论分析验证了Icarus的正确性，并通过各种实验证明了其高性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f60-paper.pdf

115、Identifying Logical Vulnerabilities in QUIC Implementations

QUIC是一种现代传输协议，正被各大平台和服务越来越多地采用，因此其安全性和正确性至关重要。然而，QUIC规范和实现的复杂性引入了细微且危险逻辑缺陷的机会。现有的QUIC测试工具主要关注与内存相关的漏洞，而难以检测逻辑漏洞。因此，逻辑漏洞的发现目前仍然高度依赖人工审计。在本文中，我们介绍了MerCuriuzz，这是一种新颖的黑盒模糊测试框架，旨在自动发现QUIC实现中的逻辑漏洞。我们对16种广泛使用的QUIC实现进行了MerCuriuzz评估，发现了14个先前未知的逻辑漏洞，这些漏洞影响了quiche、xquic和aioquic等流行实现。这些漏洞可能带来严重的安全风险，使攻击者能够耗尽服务器资源、使服务崩溃或拒绝合法用户访问服务器。我们将这些漏洞分为六类，并提出了缓解策略。我们还负责任地向相关供应商披露了我们的发现，其中11个漏洞已被供应商确认并获得奖励，例如Cloudflare和阿里云。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1777-paper.pdf

116、Idioms: A Simple and Effective Framework for Turbo-Charging Local Neural Decompilation with Well-Defined Types

反编译器帮助逆向工程师在比汇编代码更高抽象层次上分析软件。不幸的是，由于编译过程会丢失信息，传统的确定性反编译器生成的代码缺乏许多使源代码具有可读性的特性，例如变量和类型名称。神经反编译器提供了通过统计方法填补这些细节的可能性。然而，现有的神经反编译工作存在重大局限，使其无法应用于真实代码，例如无法为用户定义的复合类型提供定义。在这项工作中，我们介绍了Idioms，这是一种简单、可推广且有效的神经反编译方法，可以将任何大型语言模型微调为能够生成适当用户定义类型定义以及反编译代码的神经反编译器，同时我们还创建了一个新数据集Realtype，其中包含比现有神经反编译基准测试更复杂和更真实的类型。我们证明，我们的方法在神经反编译领域取得了最先进的结果。在最具挑战性的现有基准测试Exebench上，我们的模型达到了54.4%的准确率，而LLM4Decompile为46.3%，Nova为37.5%；在Realtype上，我们的模型性能提升了至少95%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f795-paper.pdf

117、In-Context Probing for Membership Inference in Fine-Tuned Language Models

成员推断攻击（MIAs）对微调的大型语言模型（LLMs）构成了严重的隐私威胁，特别是当模型使用敏感数据针对特定领域任务进行适配时。虽然先前的黑盒MIA技术依赖于置信度分数或令牌似然度，但这些信号通常与样本的固有特性（如内容难度或稀有性）相互纠缠，导致泛化能力差且信噪比低。在本文中，我们提出了ICP-MIA，这是一个基于训练理论的新颖MIA框架，特别关注优化过程中出现的收益递减现象。我们引入了优化差距作为成员的基本信号：在收敛时，成员样本表现出最小的剩余损失降低潜力，而非成员则保留显著的进一步优化潜力。为了在黑盒环境中估计这一差距，我们提出了上下文探测（ICP）——一种无需训练的方法，通过 strategically 构建的输入上下文模拟类似微调的行为。我们提出了两种探测策略：基于参考数据（使用语义相似公共样本）和自扰动（通过掩码或生成）。在三个任务和多个LLMs上的实验表明，ICP-MIA显著优于先前的黑盒MIA，特别是在低误报率的情况下。我们进一步分析了参考数据对齐、模型类型、PEFT配置和训练计划如何影响攻击效果。我们的研究结果表明，ICP-MIA是一个实用的、有理论基础的框架，可用于评估已部署LLMs的隐私风险。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f892-paper.pdf

118、Incident Response Planning Using a Lightweight Large Language Model with Reduced Hallucination

及时有效的应急响应是应对日益增多的网络攻击的关键。然而，为复杂系统确定正确的响应措施是一项重大技术挑战。缓解这一挑战的一种有前景的方法是利用嵌入大型语言模型（LLM）中的安全知识来协助安全操作员在事件处理过程中的工作。最近的研究已经证明了这种方法的可能性，但当前的方法主要基于前沿LLM的提示工程，这种方法成本高昂且容易出现幻觉。我们通过提出一种使用LLM进行应急响应规划的新方法来减少幻觉，从而解决这些局限性。我们的方法包括三个步骤：微调、信息检索和前瞻性规划。我们证明，在特定假设条件下，我们的方法生成的响应计划具有有限的幻觉概率，并且可以通过增加规划时间使这种概率任意小。此外，我们展示了我们的方法是轻量级的，可以在普通硬件上运行。我们在文献中报道的事件日志上评估了我们的方法。实验结果表明，我们的方法a）比前沿LLM缩短高达22%的恢复时间，并且b）能够广泛适用于各种事件类型和响应措施。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f358-paper.pdf

119、Indicator of Benignity: An Industry View of False Positive in Malicious Domain Detection and its Mitigation

恶意域名检测是保护用户免受网络攻击的关键技术。尽管这些系统已展现出显著的检测能力，但它们在现实世界中的误报（FPs）规模仍然未知，且常被忽视。为了阐明这一重要方面，我们进行了一项首次测量研究，使用了从全球最大的网络安全供应商之一收集的6年误报报告。我们的研究结果表明，当前检测系统普遍采用的基于流行度的顶级域名列表不足以避免误报。事实上，在生产环境中仍存在大量误报。我们认为，主要原因之一是该领域的努力主要集中在检测恶意指标（即入侵指标，IOC）上，而忽视了良性指标（即良性指标，IOB）。在本文中，我们首次专注于IOB检测的研究。我们的工作基于一个关键发现：对于生产环境中的许多误报，其IOB可以在互联网上找到。然而，由于互联网的开放性和网络内容的不结构化，我们在识别这些IOB时面临两个主要挑战：理解IOB是什么以及评估IOB的可信度。为应对这些挑战，我们提出了一个IOB的传递信任模型，并在名为IOBHunter的系统中实现了该模型。IOBHunter利用了大语言模型（LLM）和思维链（CoT）技术，这些技术已在解决其他几种安全威胁方面展现出良好的能力。我们使用包含已验证误报的数据集进行的评估显示，IOBHunter可以达到99.22%的精确率和68.6%的召回率。IOBHunter还在为期两个月的实际部署中进行了进一步评估，期间IOBHunter识别出了4,338个已确认的误报和2,051个被攻陷的域名。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1869-paper.pdf

120、InverTune: A Backdoor Defense Method for Multimodal Contrastive Learning via Backdoor-Adversarial Correlation Analysis

像CLIP这样的多模态对比学习模型展示了卓越的视觉-语言对齐能力，现已成为许多大规模多模态系统的基础组件。然而，它们对后门攻击的脆弱性带来了严重的安全风险。攻击者可以植入潜伏的触发器，这些触发器能在下游任务中持续存在，从而在触发器出现时实现对模型行为的恶意控制。尽管最近的防御机制取得了巨大成功，但由于对攻击者知识的强假设或对干净数据的过度需求，它们仍然不切实际。在本文中，我们提出了InverTune，这是首个在最小攻击者假设条件下的多模态模型后门防御框架，既不需要攻击目标的先验知识，也不需要访问被污染的数据集。与依赖于中毒阶段使用的数据集的现有防御方法不同，InverTune通过三个关键组件有效识别并移除后门工件，从而实现对后门攻击的强大保护。具体而言，（1）InverTune首先通过对抗性模拟暴露攻击特征，通过分析模型响应模式概率性地识别目标标签。（2）在此基础上，我们开发了一种梯度反转技术，通过激活模式分析来重建潜伏的触发器。（3）最后，采用聚类引导的微调策略，仅使用少量任意干净数据来消除后门功能，同时保留原始模型能力。实验结果表明，InverTune将最先进（SOTA）攻击的平均攻击成功率（ASR）降低了97.87%，同时将干净准确率（CA）的 degradation限制在仅3.07%。这项工作为保障多模态系统安全建立了新范式，推进了基础模型部署的安全性，同时不损害性能。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1666-paper.pdf

121、IoTBec: An Accurate and Efficient Recurring Vulnerability Detection Framework for Black Box IoT devices

物联网设备的激增导致了漏洞利用的增加。现有的漏洞检测方法严重依赖固件或源代码进行分析，这种依赖严重限制了它们在实际黑盒场景中的效率。为解决这一局限性，我们提出了IoTBec，一种新颖的、不依赖固件和源代码的循环漏洞检测框架。IoTBec创新性地基于黑盒接口和已知漏洞信息构建了漏洞接口签名（VIS），该签名用于将潜在的循环漏洞与目标设备进行匹配。该框架随后将基于签名的检测与大型语言模型（LLM）驱动的模糊测试深度融合。当匹配成功时，IoTBec自动利用LLMs生成针对性的模糊测试载荷进行验证。为评估IoTBec，我们在来自五大物联网厂商的设备上进行了广泛实验。结果表明，IoTBec发现的漏洞数量比当前最先进的（SOTA）黑盒模糊测试方法多7倍以上，精确度为100%，召回率为93.37%。总体而言，IoTBec检测到183个漏洞，其中169个被分配了CVE ID。在这些漏洞中，53个是新发现的，平均CVSS 3.x评分为8.61，涵盖了缓冲区溢出、命令注入和CSRF问题。值得注意的是，通过LLM驱动的模糊测试，IoTBec还发现了25个先前未知的漏洞。实验证据表明，IoTBec独特的固件和源代码独立范式提高了检测效率，并能够发现新型和变体漏洞。我们将在https://github.com/IoTBec上发布IoTBec的源代码和实验数据。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f634-paper.pdf

122、Ipotane: Balancing the Good and Bad Cases of Asynchronous BFT

最先进的异步拜占庭容错（BFT）协议集成了部分同步的乐观路径。其最终目标是在有利情况下匹配部分同步协议的性能，在不利情况下匹配纯异步协议的性能。尽管先前的研究在有利情况下表现出色，但在条件不利时却存在不足。为解决这些缺点，最近的一项工作Abraxas（CCS’23）在所有情况下都保持了稳定的吞吐量，但由于乐观路径故障检测缓慢，在不利情况下造成了极高的最坏情况延迟。另一项最近的工作ParBFT（CCS’23）确保了所有情况下的良好延迟，但由于使用了额外的异步二进制协议（ABA）实例，在不利情况下吞吐量降低。我们提出了Ipotane协议，在吞吐量和延迟两方面，在有利情况下实现了与部分同步协议相当的性能，在不利情况下实现了与纯异步协议相当的性能。Ipotane同时运行两条路径：2-chain HotStuff作为乐观路径，以及一个新的原始双功能拜占庭协议（DBA）作为悲观路径。DBA封装了有偏ABA和验证异步拜占庭协议（VABA）的功能。在Ipotane中，如果副本的乐观路径更快，则向DBA输入0；如果悲观路径更快，则输入1。DBA的ABA功能通过输出1及时发出乐观路径故障的信号，确保Ipotane在不利情况下的低延迟。同时，Ipotane执行DBA实例，通过其VABA功能持续产生悲观区块。在检测到故障时，Ipotane提交最后两个悲观区块以保持高吞吐量。此外，Ipotane利用DBA的有偏特性来确保提交悲观区块的安全性。大量实验验证了Ipotane在所有情况下的高吞吐量和低延迟。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s3-paper.pdf

123、IsolatOS: Detecting Double Fetch Bugs in COTS RTOS by Re-enabling Kernel Isolation

双重获取漏洞是指内核反复从用户空间内存中检索数据，而未确保连续数据获取之间的一致性。这一问题在实时操作系统（RTOS）中尤为严重，因为严格的时序要求限制了互斥锁等同步机制的使用，从而倾向于以牺牲安全性为代价实现低延迟内存访问。大多数当前检测技术采用静态源代码分析，无法应用于具有专有内核的商业现成（COTS）RTOS。因此，采用启发式时间窗口阈值来检测跨边界内存重复访问的动态方法被采用。然而，这些方法由于模式识别过于宽泛，常常产生大量误报，并导致显著的仿真开销。我们引入了IsolatOS，一种硬件支持的检测方法，利用内核隔离功能来指示双重获取漏洞的跨边界内存访问。主要难点在于在不导致RTOS系统崩溃的情况下强制执行隔离边界的同时保持透明度，以提高效率。IsolatOS首先通过实现动态仪器来拦截对用户内存的特权访问，记录访问的元数据，然后通过异常恢复技术在故障处理期间维持系统稳定性。在执行后阶段，因果分析检查违规轨迹，以区分合法的双重访问和可利用的双重获取。在QNX、VxWorks和seL4上的评估证明了IsolatOS的有效性，与基于仿真的方法相比，运行时开销降低了70倍，识别出42个独特漏洞（39个供应商确认，2个分配的CVE）。这些结果验证了硬件辅助的内核隔离是COTS RTOS环境中双重获取检测的可行范式。我们还通过利用这些发现展示了其在汽车系统中的实际影响。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s568-paper.pdf

124、Janus: Enabling Expressive and Efficient ACLs in High-speed RDMA Clouds

RDMA云日益普及，访问控制列表（ACL）对于规范RDMA应用、服务和租户的未授权网络访问至关重要。然而，RDMA独特的队列对（QP）语义和高传输特性使得现有的ACL表达式和执行机制无法以用户友好的方式全面高效地管理RDMA流量。在本文中，我们提出了Janus，一个专为RDMA云设计的定制化ACL系统。Janus设计了具有QP语义的专用ACL表达式来识别RDMA连接，并提供了一种高级策略语言用于表达复杂的ACL意图以管理RDMA流量。Janus进一步利用具有流量感知和架构特定优化的DPU来执行ACL策略，实现了线速RDMA检查和稳健的策略更新。我们使用NVIDIA BlueField-3 DPU实现了Janus的开源原型。实验表明，Janus为管理未授权RDMA访问提供了足够的表达能力，并在200Gbps真实RDMA测试环境中实现了线吞吐量且延迟小于5µs。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f721-paper.pdf

125、Kangaroo: A Private and Amortized Inference Framework over WAN for Large-Scale Decision Tree Evaluation

随着模型即服务（Models-as-a-Service）的快速采用，数据和模型隐私问题变得越来越关键。为解决这些问题，各种隐私保护推理方案已被提出。特别是由于决策树的高效性和可解释性，私有决策树评估（PDTE）已引起广泛关注。然而，现有的PDTE方案存在显著局限性：其通信和计算成本随树的数量、节点数或树深度而扩展，这使得它们对于大规模模型（尤其是在广域网环境中）效率低下。为解决这些问题，我们提出了Kangaroo，这是一个基于打包同态加密的私有且分摊的决策树推理框架。具体而言，我们设计了一种新颖的模型隐藏和编码方案，结合安全特征选择、 oblivious 比较和安全路径评估协议，实现了随着节点数或树数量增加时开销的完全分摊。此外，我们通过优化（包括相同模型共享、延迟感知和自适应编码调整策略）提升了框架的性能和功能。在广域网环境中，Kangaroo比最先进的一次性交互方案实现了14倍至59倍的性能提升。对于大规模决策树推理任务，与现有方案相比，它实现了3倍至44倍的加速。值得注意的是，在广域网环境下，Kangaroo能够以每树约60毫秒（分摊）的速度评估包含969棵树和411,825个节点的随机森林。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s892-paper.pdf

126、Know Me by My Pulse: Toward Practical Continuous Authentication on Wearable Devices via Wrist-Worn PPG

利用生理信号进行生物特征认证为可穿戴设备的安全且用户友好的访问控制提供了有前景的途径。虽然心电图（ECG）信号已显示出高度的可区分性，但其侵入式传感要求和间断性采集限制了其实用性。另一方面，光电容积脉搏波描记法（PPG）能够实现连续、非侵入式的认证，并可无缝集成到手腕可穿戴设备中。然而，大多数先前的研究依赖于高频PPG（例如75-500赫兹）和复杂的深度模型，这会导致显著的能耗和计算开销，阻碍了其在功率受限的实际系统中的部署。在本文中，我们首次在智能手表We-Be Band上实现了连续认证系统的实际部署和评估，该系统使用低频（25赫兹）多通道PPG信号。我们的方法采用带有注意力机制的Bi-LSTM从4通道PPG的短时（4秒）窗口中提取身份特定特征。通过对公共数据集（PTTPPG）和我们自己的We-Be数据集（26名受试者）的广泛评估，我们展示了强大的分类性能，平均测试准确率为88.11%，宏F1得分为0.88，错误接受率（FAR）为0.48%，错误拒绝率（FRR）为11.77%，等错误率（EER）为2.76%。与512赫兹和128赫兹的设置相比，我们的25赫兹系统将传感器功耗分别降低了53%和19%，同时不牺牲性能。我们发现25赫兹的采样率保持了认证准确性，而20赫兹时性能急剧下降，仅提供微不足道的额外节能，这凸显了25赫兹作为实际下限的重要性。此外，我们发现仅使用静息数据训练的模型在运动状态下表现不佳，而活动多样化的训练则提高了在不同生理状态下的鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1087-paper.pdf

127、KnowHow: Automatically Applying High-Level CTI Knowledge for Interpretable and Accurate Provenance Analysis

网络威胁情报（CTI）报告中的高级自然语言知识，如ATT&CK框架，有助于应对高级持续性威胁（APT）攻击。然而，如何在现实世界的攻击检测系统中（如溯源分析系统）自动应用CTI报告中的高级知识，仍然是一个开放性问题。这一挑战源于知识与低级安全日志之间的语义差距：CTI报告中的知识以自然语言形式编写，而攻击检测系统只能处理文件访问或网络IP操作等低级系统事件。手动方法可能劳动密集且容易出错。在本文中，我们提出了KnowHow，一种由CTI知识驱动的在线溯源分析方法，可以自动将CTI报告中以自然语言编写的高级攻击知识应用于检测低级系统事件。KnowHow的核心是一种新颖的攻击知识表示方法——通用入侵指标（gIoC），它表示攻击的主体、客体和行动。通过将系统事件中的系统标识符（如文件路径）提升为自然语言术语，KnowHow可以将系统事件与gIoC匹配，并进一步将其与以自然语言描述的技术进行匹配。最后，基于与系统事件匹配的技术，KnowHow对攻击步骤的时间逻辑进行推理，并在系统事件中检测潜在的APT攻击。我们的评估表明，KnowHow能够准确检测开源数据集和工业数据集中的所有16个APT活动，而现有方法都引入了大量误报。同时，我们的评估也表明，KnowHow最多减少了90%的节点级误报，同时具有更高的节点级召回率，并且对几种未知攻击和模仿攻击具有鲁棒性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s199-paper.pdf

128、LatticeBox: A Hardware-Software Co-Designed Framework for Scalable and Low-Latency Compartmentalization

现代软件系统日益依赖隔离机制来隔离不可信或潜在脆弱的组件，如第三方驱动程序和即时编译代码。然而，现有的硬件隔离技术面临可扩展性限制、高切换延迟和安全性不足等问题。特别是，某些隔离技术使用的权限更改指令（如Intel MPK的WRPKRU）可能被不可信代码利用，从而增加了安全部署的复杂性。在本文中，我们介绍了LatticeBox，这是一个基于硬件-软件协同设计的框架，采用基于格的访问控制模型来解决这些局限性。LatticeBox将权限和内存区域编码为紧凑的分层N位向量。这种设计实现了硬件架构，将域切换延迟降低到单个CPU周期，并从根本上防止了权限切换指令的滥用。此外，LatticeBox采用定制指令（lp_land）来强制严格的跨域控制流完整性，有效防止未授权的间接函数调用。我们在RISC-V BOOM核心上实现了LatticeBox，并使用微基准测试和实际应用程序（包括WebAssembly运行时和Linux内核模块）对其进行了评估。结果表明，LatticeBox的域切换速度比Intel MPK快达180倍，同时支持细粒度、可扩展的隔离。在实际工作负载上的评估显示性能影响较小，增强的WebAssembly运行时仅降低2%的性能，而运行隔离Linux内核模块的ApacheBench吞吐量仅降低3%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f515-paper.pdf

129、Learning from Leakage: Database Reconstruction from Just a Few Multidimensional Range Queries

可搜索加密(SE)在实现加密数据的安全高效查询方面展现出巨大潜力。为实现这种效率，SE不可避免地会泄露一些信息，而一个重大的开放性问题在于这种泄露的危险程度如何。尽管先前的重构攻击在一维范围查询设置中已显示出有效性，但将其扩展到高维数据集仍面临挑战。现有方法要么需要过多的查询信息（例如，观察到所有可能响应的攻击者），要么在稀疏数据库中产生低质量的重构。在这项工作中，我们提出了REMIN，一种针对多维设置中SE方案的新型滥用泄露攻击，利用范围查询中的访问和搜索模式泄露。REMIN利用无监督表示学习将查询共现频率转换为几何信号，使攻击者能够推断加密记录之间的相对空间关系。这种方法在最小泄露的情况下实现了高维数据集的准确且可扩展的重构。此外，我们引入了REMIN-P，这是一种包含实用 poisoning 策略的攻击主动变体。通过注入少量辅助锚点，REMIN-P显著提高了重构质量，特别是在数据空间的稀疏或边界区域。我们在合成和真实数据集上对我们的攻击进行了广泛评估。与最先进的重构攻击相比，我们的重构攻击将均方误差(MSE)降低了高达50%，同时保持了快速且可扩展的运行时间。根据 poisoning 策略的不同，我们的 poisoning 攻击可以进一步将平均MSE额外降低50%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f935-paper.pdf

130、Les Dissonances: Cross-Tool Harvesting and Polluting in Pool-of-Tools Empowered LLM Agents

大型语言模型（LLM）代理是由LLM驱动的自主系统，能够利用一系列工具进行推理和规划以解决问题。然而，在LLM代理中集成多种工具带来了安全管理的挑战，包括确保工具兼容性、处理依赖关系以及保护LLM代理任务工作流中的控制流。在本文中，我们首次对多工具支持的LLM代理中的任务控制流进行了系统性的安全分析。我们识别出一种新型威胁——跨工具收集与污染（XTHP），该威胁包含多种攻击向量，首先劫持代理任务的正常控制流，然后收集并污染LLM代理系统中的机密或私有信息。为理解此威胁的影响，我们开发了Chord，一个动态扫描工具，旨在自动检测易受XTHP攻击的现实世界代理工具。我们对来自两大LLM代理开发框架LangChain和LlamaIndex的66个现实世界工具的评估显示，75%的工具易受XTHP攻击攻击，凸显了该威胁的普遍性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f577-paper.pdf

131、Light into Darkness: Demystifying Profit Strategies Throughout the MEV Bot Lifecycle

由于无许可区块链的透明性，机会主义交易者可以通过竞争盈利机会并创建MEV机器人来使这一过程永不停歇，从而提取最大可提取价值(MEV)。然而，这种行为损害了区块链系统的共识安全性和效率。因此，了解MEV机器人的行为策略对于防范其危害至关重要。不幸的是，现有工作主要集中在MEV市场的宏观测量上，而MEV机器人策略的具体类型和分布仍然未知。在本文中，我们开发了APOLLO工具，用于分析机器人整个生命周期中的细粒度策略，从而首次对MEV机器人盈利策略进行了系统性研究。我们对2,052个MEV机器人的大规模分析得出了许多新的见解。特别是，我们首次介绍了野外机器人使用的20种代码级策略，在智能合约反混淆方面迈出了第一步，以发现隐藏在混淆机器人代码中的策略，并发现了五种能为MEV机器人带来盈利机会的特定类型交易。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s506-paper.pdf

132、Light2Lie: Detecting Deepfake Images Using Physical Reflectance Laws

生成模型（如GAN和基于扩散的架构）的快速发展导致了超写实合成图像的广泛创建。尽管这些技术推动了媒体和数据生成的创新，但也引发了重大的伦理、社会和安全问题。对此，已开发出多种检测方法，包括频域分析和深度学习分类器。然而，这些方法通常难以推广到未见过的生成模型，且往往缺乏物理基础，使其容易受到自适应攻击的影响，并且在可解释性方面存在局限。我们提出了Light2Lie，这是一个物理增强的深度伪造检测框架，它利用镜面反射原理，特别是菲涅耳反射率模型，来揭示生成模型难以有效重现的光-表面相互作用中的不一致性。我们的方法首先采用神经网络估计表面基础反射率，然后导出一种受微面启发的镜面响应图，该图编码了真实图像与合成图像之间微妙的几何和光学差异。该信号作为特征图被整合到二级分类器中，使其能够学习基于反射率驱动模式来区分两类图像。为进一步增强鲁棒性，我们引入了一种反馈细化机制，利用分类错误更新基础反射率模型的输出，将物理建模与学习目标紧密耦合。在多个深度伪造数据集上的广泛实验表明，我们的方法在处理未见过的生成模型样本时获得了更好的泛化性能，在多样化的深度伪造领域达到高达74%的精确率，优于最先进的基线方法，同时提供稳健的、基于物理的决策。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s923-paper.pdf

133、Lightening the Load: A Cluster-Based Framework for A Lower-Overhead, Provable Website Fingerprinting Defense

网站指纹识别（WF）攻击仍然是加密流量的一大威胁，促使开发了广泛的防御措施。其中，两类突出的防御方法是基于正则化的防御，它使用固定的填充规则来塑造流量，以及基于超序列的方法，它将痕迹隐藏在预定义的模式中。在这项工作中，我们提出了一个统一的框架，用于设计自适应WF防御，该方法结合了正则化的有效性和超序列式分组的可证明安全性。该方案首先从痕迹中提取行为模式，并将它们聚类到$(k,l)$-多样匿名集中；然后，一个早期时间序列分类器（从ECDIRE改编）从保守的全局正则化参数集切换到更轻量级的特定参数集。我们将该设计实例化为自适应塔马劳（Adaptive Tamaraw），它是Tamaraw的一个变体，在保留其原始信息论保证的同时，按聚类分配填充参数。在公共真实世界数据集上的全面实验证实了其优势。通过调整$k$，操作者可以在隐私和效率之间进行权衡：在其高隐私模式下，自适应塔马劳将任何攻击者的准确率上限推至低于30%，而在以效率为中心的设置中，与经典塔马劳相比，它将总开销减少了99个百分点。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1760-paper.pdf

134、Lightweight Internet Bandwidth Allocation and Isolation with Fractional Fair Shares

确保公共互联网上的公平带宽分配具有挑战性。拥塞控制算法(CCA)通常无法实现公平性，特别是当不同CCA同时运行时。在分布式拒绝服务(DDoS)攻击期间，这一挑战变得更加突出，合法流量可能完全被饿死。解决这一挑战的一种方法是通过在路由器上直接分配带宽来强制执行公平性。然而，现有解决方案通常分为两类：一类易于部署但无法提供安全的网络内带宽隔离，另一类提供强大的隔离保证但依赖于阻碍实际部署的复杂假设。为了弥合这两类解决方案之间的差距，我们引入了一种基于每流公平份额(FFS)概念的新公平模型。在每个路径节点上，流的FFS以数据包标签的形式表示，并在转发路径上更新，传达其当前出口带宽的公平份额。数据包携带的FFS与概率性转发的结合，实现了流的有效和可扩展隔离，同时具有最小开销。FFS是第一个将低实现和部署开销与有效带宽隔离相结合的系统，同时保持对源地址欺骗和DDoS攻击的鲁棒性，并提供高性能、可扩展性以及最小的延迟和抖动。我们证明FFS能够在隔离15种不同CCA的带宽的同时，保持延迟和抖动最小。我们的高速实现能够在商用硬件上维持160 Gbps的线路速率。在真实的互联网拓扑上评估时，FFS在带宽分配的中位数和总量上都优于几种最新且安全的带宽隔离系统。在我们的安全分析中，我们证明FFS为每个流量流保证了一个非零的带宽分配下限，确保即使结合源地址欺骗，DDoS攻击也无法阻止合法通信。最后，我们提出了FFS的扩展，为发送方提供准确且安全的速率反馈，允许快速速率适应且最小化数据包丢失。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f23-paper.pdf

135、Limitless Scalability: A High-Throughput and Replica-Agnostic BFT Consensus

传统的拜占庭容错（BFT）共识协议采用星型拓扑结构，由领导者处理所有消息传输，导致副本数量增加时性能迅速下降。最近，许多研究通过探索多层拓扑结构（如树结构）来减少领导的扇出，以提高可扩展性。然而，这些方法要么依赖于多项式扇出来保持容错能力，要么受到拓扑深度对吞吐量影响的限制，最终仅带来有限的可扩展性提升。为此，我们提出了Tide，这是首个能够随着副本数量增长而保持稳健性能的BFT共识协议，这得益于我们对对数扇出拓扑和高并行流水线的设计。Tide在拓扑设计中利用冗余连接作为关键洞察，在不降低弹性的情况下减少扇出。Tide进一步引入了一种新颖的流水线机制，其中层间交互动态确定提案并行度，从而将吞吐量与拓扑深度解耦。使用100台云服务器的真实实验表明，当副本数量从100扩展到1000时，最先进协议的吞吐量下降了65%至90%，延迟增加了50倍。相比之下，Tide保持了与副本数量无关的高吞吐量，约为50ktps，比其他协议高出5倍以上，而其延迟保持在0.3秒至0.4秒之间。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f101-paper.pdf

136、LinkGuard: A Lightweight State-Aware Runtime Guard Against Link Following Attacks in Windows File System

Windows文件系统中的链接跟随（LF）攻击允许攻击者通过滥用精心设计的符号链接组合（链接链），将正常的文件操作悄悄重定向到受保护的文件，从而实现对受保护文件的任意操作。这类攻击通常表现为单步攻击或多步攻击，具体取决于构建的链接链的顺序。现有的针对LF攻击的防御措施要么依赖于复杂的建模，要么存在兼容性差和适用性有限的问题，且没有一种能够为不同类型的LF攻击提供全面保护。在本文中，我们提出了LinkGuard，一个针对Windows系统的轻量级状态感知运行时防御机制。LinkGuard的创新之处在于其两阶段设计：第一阶段通过执行动态主体过滤来提高防御效率，仅监控涉及链接链创建和跟随的文件操作及相关主体；第二阶段基于有限状态机（FSM）的规则匹配来精确防御LF攻击，确保有效且准确的防御。我们在五个代表性的Windows系统上评估了LinkGuard的原型，以验证其兼容性。在一个包含70个真实世界漏洞的数据集上，LinkGuard成功缓解了所有单步攻击和95.45%的多步攻击，并且在良性操作上零误报。在微基准测试中，LinkGuard平均仅产生1%的开销，在实际应用工作负载中产生3.4%的开销，同时在良性文件操作上仅增加5毫秒的延迟。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2943-paper.pdf

137、LLMBisect: Breaking Barriers in Bug Bisection with A Comparative Analysis Pipeline

错误二分法是一项重要的安全任务，旨在理解受软件错误影响的版本范围，即确定引入错误的提交。然而，传统的基于补丁的二分方法面临几个重大障碍：例如，它们假设引入错误的提交（BIC）和补丁提交修改相同的函数，但这并非总是成立；它们通常仅依赖代码变更，而提交消息中经常包含丰富的漏洞相关信息；它们还基于简单的启发式方法（例如假设BIC初始化了补丁中删除的代码行），缺乏对漏洞的逻辑分析。在本文中，我们观察到大型语言模型（LLMs）有潜力突破现有解决方案的障碍，例如能够很好地理解补丁和提交中的文本数据和代码。我们开发了一个全面的多阶段流程，利用LLLMs来（1）充分利用完整的补丁信息，（2）让LLM评估错误的逻辑以及提交成为引入错误提交的可能性，以及（3）通过多次筛选过程逐步缩小候选范围。在我们的评估中，我们证明该方法比最先进的解决方案准确率提高38%以上。我们的结果进一步证实了全面的多阶段流程是必不可少的，因为它比简单的LLM应用准确率提高60%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s990-paper.pdf

138、Loki: Proactively discovering online scams by mining toxic search queries

在线电子商务诈骗，从购物诈骗到宠物诈骗，每年在全球造成数百万美元的经济损失。为此，安全社区已经开发了高度准确的检测系统，能够确定网站是否具有欺诈性。然而，寻找可作为输入提供给这些下游检测系统的候选诈骗网站具有挑战性：依赖用户报告本质上是被动的且反应缓慢，而主动发出搜索引擎查询以返回候选网站的系统则存在覆盖范围有限且无法推广到新型诈骗类型的问题。在本文中，我们提出了LOKI系统，该系统旨在识别可能返回大量欺诈性网站的搜索引擎查询。LOKI实现了基于特权信息学习（LUPI）和搜索引擎结果页面（SERP）特征提取的关键词评分模型。我们在10个主要诈骗类别中对LOKI进行了严格验证，并在所有类别中展示了相较于启发式和数据驱动基线20.58倍的发现率提升。利用仅包含1,663个已知诈骗网站的小型种子集，我们使用通过该方法识别的关键词发现了52,493个先前未报告的野外诈骗案例。最后，我们证明了LOKI可以推广到先前未见过的诈骗类别，突显了其在发现新兴威胁方面的实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s184-paper.pdf

139、Looma: A Low-Latency PQTLS Authentication Architecture for Cloud Applications

量子计算机威胁着打破传统TLS的密码学基础，促使向后量子密码学转变。然而，后量子认证会带来显著的性能开销，特别是在高握手率的云环境中进行相互TLS认证时。我们提出了Looma，一种快速的后量子认证架构，它将认证分为快速的路径上签名/验证操作和慢速的路径外异步预计算，在不牺牲安全性的情况下减少了握手延迟。集成到TLS 1.3中，与基于Dilithium-2的基线相比，Looma将PQTLS握手延迟降低了最多44%。我们的研究结果表明，Looma在云环境中扩展后量子安全通信具有实用性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f74-paper.pdf

140、Losing the Beat: Understanding and Mitigating Desynchronization Risks in Container Isolation

当今容器提供的隔离是通过高度协调地利用Linux命名空间和cgroups实现的。然而，随着计算范式的演变，特别是对跨命名空间资源共享有强烈需求的无服务器计算的出现，这种容器保护的基础已经动摇。这种共享削弱了容器的隔离模型，正如我们在研究中发现的，导致了命名空间-cgroup不同步（NCD）漏洞的出现。在本文中，我们对此类风险进行了研究，旨在确定其根本原因并理解其影响。我们的研究揭示，流行的容器工具都存在NCD风险，这在我们发现的四个新漏洞和一个错误中得到了证实。从根本上说，命名空间共享扩展了容器的隔离边界，这可能违反cgroups设定的限制，从而削弱了这两种机制提供的联合保护。这种冲突通常无法通过现有的容器工具调和。为了应对这一挑战并满足命名空间共享的需求，我们提出了一个内核级解决方案，以统一命名空间和cgroups在监控容器实例资源方面的分散职责。我们的设计将命名空间处理的资源管理与cgroups强制执行的限制相结合，并确定了它们应遵循的协作策略。分析和评估表明，我们的方法有效缓解了NCD风险，同时对Linux内核、主流容器工具和实际应用程序造成的成本可以忽略不计，并保持与这些系统的完全兼容性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1381-paper.pdf

141、Mapping the Cloud: A Mixed-Methods Study of Cloud Security and Privacy Configuration Challenges

云服务配置错误仍然是安全和隐私事件的主要原因，这通常源于云平台配置的复杂性。为了更好地理解这些挑战，我们分析了从2008年到2024年间约251,900条与安全和隐私相关的Stack Overflow帖子。通过使用主题建模和定性分析，我们系统地映射了云用例与其相关的安全和隐私配置挑战，揭示了云运营商所面临障碍的全景图。我们确定了技术性和以人为中心的问题，包括与文档不足以及缺乏针对运营商环境的上下文感知工具相关的问题。值得注意的是，身份验证和访问控制挑战出现在所有已识别的用例中，贯穿云部署、集成和维护的几乎所有阶段。我们的研究结果强调了需要可用、定制化和上下文敏感的支持工具和资源，以帮助开发人员安全地配置云服务。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1302-paper.pdf

142、Memory Backdoor Attacks on Neural Networks

Torsten Krauß（维尔茨堡大学），Alexandra Dmitrienko（维尔茨堡大学），Yisroel Mirsky（内盖夫本古里安大学）

神经网络通常在专有数据集上进行训练，使其成为有吸引力的攻击目标。我们提出了一种新颖的数据集提取方法，利用创新的训练时后门攻击，使恶意联邦学习（FL）服务器能够通过简单的索引过程系统性地、确定性地提取完整的客户端训练样本。与先前技术不同，我们的方法确保精确的数据恢复，而非概率性重建或幻觉，提供对记忆哪些样本及数量的精确控制，并展现出高容量和鲁棒性。受感染模型在接收到基于模式的索引触发器时会输出数据样本，从而在不影响全局模型效用的情况下，系统性地从每个客户端的本地数据中提取有意义的片段。为解决模型输出尺寸较小的问题，我们提取片段后将其重新组合。该攻击仅需对训练代码进行微小修改，可在客户端验证过程中轻易逃避检测。因此，这种漏洞代表了FL供应链的真实威胁，恶意服务器可向客户端分发修改后的训练代码，并从其更新中恢复私人数据。在分类器、分割模型和大型语言模型上的评估表明，可以从客户端模型中恢复数千个敏感训练样本，同时对任务性能影响最小，经过多轮FL后可窃取客户端的整个数据集。例如，医疗分割数据集的提取仅需3%的效用下降。这些研究结果揭示了FL系统中的关键隐私漏洞，强调了分布式训练管道中需要更强的完整性和透明度。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1870-paper.pdf

143、Memory Band-Aid: A Principled Rowhammer Defense-in-Depth

DRAM中的Rowhammer位翻转使软件攻击者能够完全攻破各类系统。硬件缓解措施可以精确且高效，但它们面临漫长的部署周期和非常有限或无更新能力的缺点。因此，改进的攻击方法已多次绕过已部署的硬件保护措施，使得商用系统容易受到Rowhammer攻击。在本文中，我们提出了Memory Band-Aid，一种针对Rowhammer的纵深防御方案。Memory Band-Aid并非长期高效的硬件缓解措施的替代品，而是一种纵深防御，在硬件缓解措施对特定系统世代不足时激活。为此，Memory Band-Aid在内存控制器中引入了按线程和按存储库的DRAM访问速率限制，确保无法达到Rowhammer位翻转所需的最小行激活次数。我们在Ubuntu Linux上实现了Memory Band-Aid的概念验证，并在2个Intel和2个AMD系统上进行了测试，由于当前硬件缺乏按存储库的限制，我们基于全局带宽限制进行实现。使用这个PoC，我们发现包含少量硬件更改的完整实现在一组真实的Phoronix宏基准测试中开销仅为0%至9.4%。在导致DRAM压力的微基准测试中，我们观察到1至5.1倍的减速。这两种开销仅适用于不可信的、被限制的工作负载，例如所有用户空间程序或仅选定的沙箱，如浏览器中的沙箱。特别是因为Memory Band-Aid可以按需启用，我们得出结论，Memory Band-Aid是一种重要的纵深防御，应作为第二防御层在实际中部署。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s156-paper.pdf

144、MEVisor: High-Throughput MEV Discovery in DEXs with GPU Parallelism

去中心化金融（DeFi）是区块链上新兴的金融服务，能够实现自动和匿名的交易。在DeFi中，去中心化交易所（DEXs）维护一对代币的储备，并确定代币交换的汇率。然而，DEXs也为最大可提取价值（MEV）创造了机会，攻击者可以通过包含、排除或重新排序DEX交易来利用代币价格差异并获取利润。发现MEV机会需要高吞吐量，因为12秒的区块间隔和庞大的搜索空间施加了严格的时间限制。然而，现有工具由于依赖CPU绑定执行，频繁的状态分叉和缓慢的DEX执行，导致吞吐量低下。在本文中，我们首次利用GPU并行计算能力来提升套利和三明治策略中的MEV搜索吞吐量。更准确地说，我们将MEV机器人编译为GPU应用程序，然后启动数千个GPU线程并行搜索利润。为此，我们设计了新的解决方案来解决三大挑战：设计在GPU上模拟交易的作弊代码，提出减少GPU内存使用的内存管理器，以及设计策略感知的变异以提高输入多样性。我们实现了一个名为MeVisor的原型，它在GPU上运行DEXs，并使用并行遗传算法搜索MEV。基于以太坊的3,941个真实MEV案例进行评估，MeVisor实现了每秒330万至510万笔交易的吞吐量，比CPU基准性能高出10万倍。在2025年第一季度的大规模研究中，MeVisor估计MEV机会在2到14笔交易之间，最多可获得110万美元的MEV利润。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f93-paper.pdf

145、MIMIR: Masked Image Modeling for Mutual Information-based Adversarial Robustness

视觉变换器（ViTs）已成为基础架构，并作为现代视觉-语言模型的骨干网络。尽管它们表现出色，但ViTs对逃避攻击表现出明显的脆弱性，这需要开发专门针对其独特架构的对抗训练（AT）策略。虽然直接解决方案可能涉及将现有的AT方法应用于ViTs，但我们的分析揭示了显著的不兼容性，特别是与最先进（SOTA）方法（如Generalist（CVPR 2023）和DBAT（USENIX Security 2024））存在明显差异。本文对ViTs中的对抗鲁棒性进行了系统研究，并基于其自编码器自监督预训练提供了新的互信息（MI）理论分析。具体而言，我们证明了在基于ViT的自编码器中，对抗样本与其潜在表示之间的MI应通过推导出的MI边界进行约束。基于这一见解，我们提出了一个名为MIMIR的自监督AT方法，该方法采用MI惩罚机制，通过自编码器的掩码图像建模促进对抗预训练。在CIFAR-10、Tiny-ImageNet和ImageNet-1K上的大量实验表明，MIMIR能够持续提高自然准确率和鲁棒性，在ImageNet-1K上超越了最先进的AT结果。值得注意的是，MIMIR对未预见攻击和常见损坏数据表现出更强的鲁棒性，并且能够抵御拥有完整防御机制知识的自适应攻击。我们的代码和训练模型可在以下公开获取：https://github.com/xiaoyunxxy/MIMIR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1813-paper.pdf

146、MinBucket MPSI: Breaking the Max-Size Bottleneck in Multi-Party Private Set Intersection

多方隐私集合求交（基数）协议使T（T>2）方，每方持有一个私有集合，能够联合计算集合的交集（或基数），而不会向其他方泄露任何额外信息。迄今为止，所有已知的MPSI（MPSI-Card）协议都需要与大规模集合大小成比例的通信复杂度，这从根本上阻碍了它们在具有异构输入规模的实际应用中的高效部署。在这项工作中，我们提出了一种基于新协议的MPSI新框架：批量成员条件随机生成和联合私有相等性测试。通过实例化这一框架，我们开发了两种MPSI协议，其通信复杂度与小集合的大小成线性关系，与大集合的大小成对数关系。一种协议可抵御任意数量的合谋方，而另一种协议可抵御(T-2)个合谋方。此外，我们还开发了一种称为联合置换私有相等性测试的协议，并提出了MPSI-Card框架。通过实例化这一框架，我们推导出一种具有类似通信效率的MPSI-Card协议：与小集合大小成线性关系，与大集合大小成对数关系，可抵御任意数量的合谋方。我们在局域网和广域网环境中实现了我们的协议并进行了广泛实验。实验结果表明，随着集合间大小差异或持有小集合的参与者数量的增加，我们的协议实现了显著更好的性能。在5个持有大规模集合（大小为2^20）和5个持有小规模集合（大小为2^10）的参与方设置中，使用单线程和10 Mbps带宽，我们的MPSI（MPSI-Card）协议仅需12.2（12.2）MB的通信量和129.86（130.05）秒的运行时间。与Wao等人（USENIX Security 2024）的最先进MPSI和高等人（PETS 2024）的MPSI-Card相比，我们的协议实现了通信成本降低157倍（76倍）和运行时间加速12.7倍（3.1倍）。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f182-paper.pdf

147、Mirage: Private, Mobility-based Routing for Censorship Evasion

在专制和高度监控的环境中，传统通信网络容易受到审查、监控和破坏。虽然像Tor这样的去中心化匿名网络能提供强大的隐私保障，但它们仍然依赖于集中式互联网基础设施，使其容易受到大规模封锁或关闭。为解决这些局限性，我们提出了MIRAGE，一种基于移动性的隐私保护消息系统，专为抗审查通信而设计。MIRAGE采用基于区域的路由方案，根据人群的高层移动模式概率性地转发消息。为防止个人移动行为的泄露，MIRAGE通过局部差分隐私保护用户的移动模式，确保参与网络不会通过可观察的路由决策揭示个人的位置历史。我们在Cadence中实现了MIRAGE，这是一个开源模拟器，提供了一个统一框架，用于使用节点间随时间推移的近似地理遭遇来评估基于移动性的协议。我们分析了MIRAGE的隐私与效率权衡，并使用真实世界轨迹对其性能进行了评估：(1)传统流行病和基于随机游走的路由协议，以及(2)最先进的隐私保护地理路由协议。这些轨迹包括：一个是在不同城市地点收集的行人移动模式，另一个是出租车运营的GPS轨迹。我们的结果表明，与流行病路由相比，MIRAGE显著减少了消息开销，在投递率方面优于概率泛洪，同时比现有技术提供更强的隐私保障。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s237-paper.pdf

148、Mobius: Enabling Byzantine-Resilient Single Secret Leader Election with Uniquely Verifiable State

单密钥领导者选举（SSLE）协议能够在确保不可预测性的情况下，在一组注册节点中每轮选举出一个单一领导者。以太坊已将SSLE确定为其发展路线图中的关键组成部分，并采用其作为应对潜在攻击的潜在解决方案。然而，我们识别出一种新型攻击，称为”状态唯一性”攻击，该攻击由恶意领导者提出多个可公开验证的状态引起。这种攻击破坏了后续领导者选举中的”唯一性”属性，并很可能导致上层协议基本安全属性（如活跃性）的违反。这一漏洞源于将唯一性保证降低为每次选举只有一个状态的设计，并可推广到现有的SSLE构造中。我们基于理论分析和在以太坊上的实际执行进一步量化了这种攻击的严重性，强调了设计可证明安全的SSLE协议所面临的严峻挑战。为了解决”状态唯一性”攻击同时确保安全性和实际性能，我们提出了一个名为Mobius的通用SSLE协议，该协议不依赖额外的信任假设。具体而言，Mobius防止每次选举生成多个可验证状态，并通过创新的”近似唯一随机化”机制在连续执行中实现唯一状态。除了在通用可组合性框架中提供全面的安全分析外，我们还开发了Mobius的概念验证实现，并进行了广泛实验以评估其安全性和开销。实验结果表明，Mobius在显著降低协议执行过程中的通信复杂度的同时增强了安全性，在注册阶段实现了超过80%的减少。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2407-paper.pdf

149、MUTATO: Enhancing Fuzz Drivers with Adaptive API Option Mutation

模糊测试是发现漏洞和提高软件系统可靠性的核心技术。最近的研究表明，现代覆盖率引导模糊测试的主要瓶颈不在于模糊测试工具本身，而在于模糊驱动程序的构建——特别是它们在探索库API中选项参数时的有限灵活性。现有方法主要关注变异输入数据，常常忽略了从根本上影响API行为并可能隐藏关键漏洞的配置选项。为解决这一差距，我们提出了MUTATO，一种新的多维度模糊驱动程序增强方法，它使用覆盖率引导的ε-贪婪策略系统且自适应地变异输入数据和选项参数。与需要侵入性修改模糊测试工具或仅针对程序级选项的先前工作不同，MUTATO在驱动程序级别运行，确保了与模糊测试工具无关的适用性，并能与手动和自动生成的驱动程序无缝集成。我们进一步引入了选项参数模糊测试语言（OPFL）来指导驱动程序的增强。在10个广泛使用的C/C++库上进行的大量实验表明，与原始AFL++和LibFuzzer驱动程序相比，MUTATO增强的驱动程序平均分别实现了14%和13%的代码覆盖率提升，并发现了12个先前未知的漏洞，其中包括3个CVE。值得注意的是，我们在API中发现了4个漏洞，而OSS-Fuzz尽管进行了超过18,060小时的模糊测试却未能检测到这些漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s820-paper.pdf

150、MVP-ORAM: a Wait-free Concurrent ORAM for Confidential BFT Storage

众所周知，仅靠加密不足以保护数据隐私。执行操作时暴露的访问模式也可能被用于推理攻击。 oblivious RAM (ORAM) 通过使客户端请求变得不可知来隐藏访问模式。然而，现有协议在支持并发客户端和拜占庭容错(BFT)方面仍然存在局限性。我们提出了 MVP-ORAM，这是第一个支持易故障并发客户端的无等待 ORAM 协议。与之前的工作不同，MVP-ORAM 避免使用需要额外安全假设的可信代理，以及基于客户端间通信或分布式锁的并发控制机制，这些机制限制了整体吞吐量和容忍故障客户端的能力。相反，MVP-ORAM 使客户端能够执行并发请求并在发生时合并冲突更新，满足无等待特性，即客户端独立于其他客户端的性能或故障取得进展。由于等待和冲突自由是根本上矛盾的目标，无法在异步并发 ORAM 服务中同时实现，我们定义了一个依赖于应用程序工作负载和并发客户端数量的较弱不可知性概念，并证明 MVP-ORAM 在客户端执行倾斜块访问的实际场景中是安全的。通过实现无等待特性，MVP-ORAM 可以无缝集成到现有的机密 BFT 数据存储中，创建了第一个 BFT ORAM 构造。我们在一个机密 BFT 数据存储上实现了 MVP-ORAM，并证明我们的原型在现代云环境中每秒可以处理数百次 4KB 访问。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1809-paper.pdf

151、MVPNalyzer: An Investigative Framework for Auditing the Security & Privacy of Mobile VPNs

移动用户越来越依赖虚拟专用网络(VPN)来保护自己免受跟踪、监控和审查。VPN应用通过要求拦截用户流量而处于特权地位。虽然这保护了终端用户流量免受恶意网络中介(如监控互联网服务提供商)的侵害，但它导致了一种关键的”信任转移”，即从这些网络中介转移到VPN提供商。然而，尽管这一角色至关重要，但VPN应用，尤其是在移动平台上，仍然缺乏充分的审计。在这项工作中，我们提出了MVPN-Audit，一个可扩展的框架，用于系统分析Android VPN应用。该框架旨在处理Android VPN生态系统的独特挑战，使能够对VPN应用在网络各层的行为进行详细调查。我们将我们的框架应用于Google Play商店中的281个流行VPN应用，并发现了基本和关键问题：61个应用传输未加密数据，其中5个以明文形式发送敏感的VPN配置文件，允许攻击者劫持VPN隧道连接；29个应用将用户流量(包括DNS)泄露到隧道外；169个应用未能混淆流量以避免简单阻塞；76个应用传输广告ID，这是一种广泛用于设备和用户跟踪的设备唯一标识符；107个应用在其VPN配置文件中未能实施最佳安全实践。这些应用的总安装量达数亿次，突显了受影响用户的规模。我们的研究结果揭示了开发者疏忽的令人担忧的模式，突显了执行不力、透明度不足和维护不善如何继续削弱基本的安全保障。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1573-paper.pdf

152、NetCap: Data-Plane Capability-Based Defense Against Token Theft in Network Access

令牌在企业网络访问控制中发挥着至关重要的作用，它通过在各种协议（如JSON Web令牌、OAuth 2.0）中实现安全的身份验证和授权，使用户能够使用有效的访问令牌访问授权资源，而无需重复提交凭据。然而，授权主机内所有进程所获得的普遍信任，加上令牌的较长生命周期，为恶意进程劫持令牌并冒充合法用户创造了机会。这种威胁影响广泛范围的协议，并已导致众多真实世界事件。在本文中，我们提出了NetCap，这是一种新的防御机制，旨在防止攻击者在企业环境中使用被盗令牌访问未授权资源。其核心思想是引入不可伪造的、进程级的能力，这些能力与授权进程绑定。这些能力被持续嵌入到进程的网络流量中，以供目标资源进行验证，并且频繁刷新。进程身份与能力之间的这种绑定确保了即使访问令牌被恶意进程窃取，没有有效能力也无法通过身份验证。为了支持网络中进程生成的大量请求，NetCap引入了一种基于可编程交换机和eBPF的新型数据平面设计。通过多种优化技术，我们的系统支持能力的内联生成和嵌入，使大量流量能够以线路速率处理且开销极小。我们的广泛评估表明，NetCap在各种协议和实际应用中保持线路速率的网络性能，同时开销可忽略不计，并有效保护这些应用程序免受令牌盗窃攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f273-paper.pdf

153、NetRadar: Enabling Robust Carpet Bombing DDoS Detection

地毯式轰炸攻击是分布式拒绝服务（DDoS）攻击日益普遍的一种变体，它同时攻击受害者网络中的多个服务器，通过最小化每流恶意流量吞吐量来规避检测。聚合的恶意流量压垮了网络接入点（如网关），导致拒绝服务。此外，高级攻击者采用应用层攻击方法生成在语义和流量体积上都不明显的恶意流量，使得现有的DDoS检测机制失效。我们提出了NetRadar，一个能够实现准确且稳健的地毯式轰炸攻击检测的DDoS检测器。NetRadar利用服务器-网关协作架构，聚合从受害者网络收集的流量和服务器端特征，并进行跨服务器分析以定位受害服务器。为实现服务器辅助的地毯式轰炸检测，我们引入了一个兼容多种服务的通用服务器端特征集，以及一种能够处理运行时特征不匹配问题的稳健模型训练方法。此外，我们还提出了一种高效的跨服务器入站流量分析方法，有效利用了地毯式轰炸流量的相似性，同时降低了计算开销。在真实和模拟数据集上的评估表明，NetRadar的检测性能优于最先进的解决方案，在所有地毯式轰炸检测场景中均实现了超过94%的准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2118-paper.pdf

154、NeuroStrike: Neuron-Level Attacks on Aligned LLMs

安全对齐对于大型语言模型（LLM）的道德部署至关重要，它引导模型避免生成有害或不道德的内容。当前的对齐技术，如监督微调和基于人类反馈的强化学习，仍然存在脆弱性，可以通过精心设计的对抗性提示绕过。不幸的是，此类攻击依赖于反复试验，缺乏跨模型的泛化能力，且受可扩展性和可靠性的限制。本文提出了NeuroStrike，一种新颖且可泛化的攻击框架，它利用了对齐技术引入的根本性漏洞：对稀疏、专门的安全神经元的依赖，这些神经元负责检测和抑制有害输入。我们将NeuroStrike应用于白盒和黑盒场景：在白盒场景中，NeuroStrike通过前馈激活分析识别安全神经元，并在推理过程中剪除它们以禁用安全机制。在黑盒场景中，我们提出了首个LLM画像攻击，利用安全神经元的可转移性，在开源权重代理模型上训练对抗性提示生成器，然后将其部署到黑盒和专有目标模型上。我们在来自主要LLM开发者的20多个开源权重LLM上评估了NeuroStrike。通过移除目标层中不到0.6%的神经元，NeuroStrike仅使用普通恶意提示就实现了76.9%的平均攻击成功率（ASR）。此外，NeuroStrike泛化到四个多模态LLM，对不安全图像输入的攻击成功率达到100%。安全神经元在不同架构间有效转移，使11个微调模型和5个蒸馏模型的ASR分别提高到78.5%和77.7%。黑盒LLM画像攻击在五个黑盒模型（包括谷歌的Gemini系列）上实现了63.7%的平均ASR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s660-paper.pdf

155、NEXUS: Towards Accurate and Scalable Mapping between Vulnerabilities and Attack Techniques

通用漏洞与暴露(CVE)计划每年记录数千个已知漏洞，但没有关于这些漏洞可能如何被攻击者利用的可操作上下文。另一方面，MITRE ATT&CK框架概述了攻击战术、技术和程序(TTPs)，但没有将其与特定漏洞联系起来。虽然实现CVE描述到TTPs的自动映射可以允许更准确、更高效地检测和缓解威胁，但现有工作面临几个挑战：(i)缺乏将CVEs与TTPs链接的大规模、高质量数据集；(ii)现有数据中存在数据分布不均和关键TTPs缺失的问题；(iii)从非结构化CVE描述中准确提取敌对行为的困难；以及(iv)缺乏用于持续修正映射的自适应学习机制。本文通过NEXUS框架解决了这些挑战，该框架可自动将CVEs映射到TTPs。我们的评估(基于一个新构建的数据集，涵盖208个TTPs和92K+个CVEs，以及其他公共数据集)表明，NEXUS在CVE到TTP的映射中实现了97.94%的最高F1分数，并且能够处理新的CVE条目，而现有工作的最高F1分数仅为67.68%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2926-paper.pdf

156、ObliInjection: Order-Oblivious Prompt Injection Attack to LLM Agents with Multi-source Data

提示注入攻击旨在污染大语言模型(LLM)的输入数据，误导其完成攻击者选择的任务而非预期任务。在许多应用和代理中，输入数据来源于多个来源，每个来源贡献整体输入的一部分。在这些多源场景中，攻击者可能只控制部分来源并污染相应片段，但通常不知道这些片段在输入中的排列顺序。现有的提示注入攻击要么假设整个输入数据来自攻击者控制的单一来源，要么忽略不同来源片段排列的不确定性。因此，它们在涉及多源数据的领域中效果有限。在这项工作中，我们提出了ObliInjection，这是首个针对具有多源输入数据的大语言模型应用和代理的提示注入攻击。ObliInjection引入了两项关键技术创新：顺序无关损失(order-oblivious loss)，用于量化无论干净和污染片段如何排列，大语言模型都会完成攻击者选择任务的可能性；以及顺序GCG算法(orderGCG algorithm)，专门用于最小化顺序无关损失并优化污染片段。跨越三个不同应用领域数据集和十二个大语言模型的全面实验表明，ObliInjection高度有效，即使输入数据中只有6-100个片段中的一个被污染。我们的代码和数据可在以下网址获取：https://github.com/ReachalWang/ObliInjection。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f702-paper.pdf

157、OCCUPY+PROBE: Cross-Privilege Branch Target Buffer Side-Channel Attacks at Instruction Granularity

近年来，分支目标缓冲器（BTB）在系统安全研究中引起了广泛关注。在某些攻击场景中，该组件在逻辑或物理上被共享，被攻击者滥用以构建侧信道，从而泄露受害进程的敏感分支信息。然而，现有的BTB侧信道攻击要么因跨权限隔离机制而无法从用户模式泄露内核控制流信息，要么在分支监控中存在空间分辨率有限的问题。在本文中，我们提出了Occupy+Probe，一种基于驱逐的新型BTB侧信道攻击，它通过直接从用户模式成功暴露内核控制流行为来弥合这些差距。我们的方法从对Intel处理器上与偏移量相关的BTB更新机制的深入逆向工程开始，并揭示”在用户模式下创建的BTB条目可以直接被内核模式条目替换，而不管底层的替换策略和硬件隔离如何”，这构成了Occupy+Probe的基础。与现有的BTB侧信道攻击相比，Occupy+Probe消除了攻击者和受害者之间条目共享的需求。此外，它在分支监控中实现了指令级别的粒度，超越了现有基于驱逐的BTB侧信道器的空间分辨率。我们通过实验证明，Occupy+Probe可以在各种Intel处理器上以高空间分辨率跨权限边界泄露控制流信息。此外，我们通过针对Linux内核加密API的详细案例研究验证了Occupy+Probe的实际有效性，展示了其破坏关键内核操作的潜力。此外，与先前基于驱逐的BTB侧信道相比，Occupy+Probe展示了提取内核分支标签值的独特能力，这可用于破坏KASLR。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s925-paper.pdf

158、Odysseus: Jailbreaking Commercial Multimodal LLM-integrated Systems via Dual Steganography

多模态大语言模型（MLLMs）将文本与其他模态（如图像）相结合，展现出强大的能力，并在现实商业系统中日益广泛应用。然而，其日益普及也引发了关于滥用的担忧，例如生成有害内容。为缓解这些风险，对齐技术常被用于使模型行为与人类价值观保持一致。尽管有这些努力，但近期研究表明，越狱攻击可以绕过对齐并引发不安全输出。目前，大多数现有越狱方法针对开源模型设计，对集成额外过滤器的商业MLLM系统的效果有限。这些过滤器能够检测并阻止恶意输入和输出内容，显著降低越狱威胁。本文揭示，这些安全过滤器的成功严重依赖于一个关键假设：恶意内容必须在输入或输出中明确可见。这一假设在传统LLM集成系统中通常有效，但在MLLM集成系统中却不再成立，因为攻击者可以利用多种模态来隐藏对抗意图，导致现有MLLM集成系统产生虚假的安全感。为挑战这一假设，我们提出了Odysseus，一种新颖的越狱范式，引入双重隐写术，将恶意查询和响应 covertly 嵌入到看似无害的图像中。我们的方法通过四个阶段进行：（1）恶意查询编码，（2）隐写术嵌入，（3）模型交互，和（4）响应提取。我们首先将攻击者指定的恶意提示编码为二进制矩阵，并使用隐写术模型将其嵌入图像中。修改后的图像将被输入到目标MLLM集成系统中。我们鼓励目标MLLM集成系统将生成的不当内容植入到载体图像中（通过隐写术），供攻击者本地解码隐藏的响应。在基准数据集上的广泛实验表明，我们的Odysseus成功攻击了多个前沿且现实的MLLM集成系统，包括GPT-4o、Gemini-2.0-pro、Gemini-2.0-flash和Grok-3，攻击成功率高达99%。它暴露了现有防御中的一个根本盲点，呼吁重新思考MLLM集成系统中的跨模态安全问题。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f808-paper.pdf

159、On Borrowed Time: Measurement-Informed Understanding of the NTP Pool’s Robustness to Monopoly Attacks

互联网服务和应用严重依赖于网络时间的可用性和准确性。网络时间协议（NTP）是最古老的核心网络协议之一，至今仍是互联网上时钟同步的实际标准机制。尽管存在多个NTP基础设施，但其中之一”NTP池”因其两个基本原因而成为一个极具吸引力的攻击目标：1）它采用分布式管理，基于志愿者服务器；2）被广泛使用，包括全球的物联网和基础设施设备。我们首次收集了关于NTP池的直接、非推断性和全面的数据，包括：纵向的服务器和账户成员资格、服务器配置、时间质量、别名和全球查询流量负载。我们在九个月内收集了完整且细粒度的数据，发现了超过15,000台服务器（包括活跃和非活跃服务器），并对NTP池的使用情况、动态性和稳健性提供了新的见解。通过分析地址别名、账户和网络连接，我们发现池中只有19.7%的活跃服务器是完全独立的。最后，我们证明，拥有我们数据的攻击者能够更好、更精确地发起”垄断攻击”，只需10台或更少的恶意NTP服务器，就能捕获90%国家中绝大多数NTP池流量。我们的研究结果提出了多种可以改进该池稳健性的途径。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f541-paper.pdf

160、On the Security Risks of Memory Adaptation and Augmentation in Data-plane DoS Mitigation

商用交换机的数据平面可编程性正在通过支持自适应的线速率缓解策略，重塑拒绝服务（DoS）防御的格局。最近的系统如Cerberus [SP’24]利用控制平面支持来扩展有限的交换机内存，从而能够快速应对不断演变的攻击。在本文中，我们揭示了该模型中一个微妙但关键的漏洞；即，正是那些使防御系统具有敏捷性和可扩展性的机制，可能被一类新的协调式DoS攻击所破坏。我们提出了Heracles，这是首个利用可编程交换机中的硬件级约束来协调数据平面和控制平面内存中精确资源争用的攻击。通过利用侧信道时序信号，Heracles触发了同步增强、内存挤压和时间窗口利用，这是三种正交的争用策略，会显著降低甚至完全禁用DoS缓解能力。我们在真实的Tofino硬件上实现并测试了Heracles，表明它可以可靠地破坏各种DoS攻击配置文件下的DoS防御，即使使用松散（1-2秒）时间同步的攻击源也是如此。为缓解这一威胁，我们提出了Shield，一种多层DoS缓解草图架构，它解耦了控制平面和数据平面层的内存操作，在保持线速率性能和检测准确性的同时，有效缓解了Heracles攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1857-paper.pdf

161、One Email, Many Faces: A Deep Dive into Identity Confusion in Email Aliases

电子邮件地址作为在线账户管理的通用标识符，其别名机制在电子邮件提供商与外部平台之间引入了显著的身份混淆问题。本文首次对电子邮件别名引起的不一致性问题进行了系统性分析，其中提供商将别名地址（如[email protected]、[email protected]）视为基础电子邮件（[email protected]）的额外入口，而平台通常将它们视为不同的身份。通过对28家电子邮件提供商和18个在线平台的别名机制进行实证评估，我们揭示了关键差距：（1）只有Gmail完整记录了其别名规则，而11家提供商默默地支持未文档化的别名行为；（2）由于缺乏标准化文档和实际实施，平台要么无法区分别名地址，要么过度激进地排除了包含特定符号的所有电子邮件。真实世界的滥用案例表明，攻击者利用别名在npm中从单个基础电子邮件创建多达139个账户用于垃圾邮件活动。我们的用户研究进一步强调了安全风险，显示31.65%具有别名知识的参与者因提供商实现不一致而将钓鱼邮件误认为是合法的电子邮件别名。那些认为自己理解电子邮件别名的用户，特别是受教育程度高、男性和技术参与者，更容易受到钓鱼攻击。我们的研究结果强调了电子邮件别名标准化和透明的迫切需求。我们贡献了OriginMail工具，帮助平台解决别名混淆问题，并向相关利益相关者披露漏洞。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s148-paper.pdf

162、OptiMix: Scalable and Distributed Approaches for Latency Optimization in Modern Mixnets

提出的混网（mixnets）提供网络级匿名性，但代价是增加了通信延迟，这 consequently限制了它们仅适用于延迟容忍型应用，缩小了参与此类用例的客户端匿名集合。解决这一问题需要优化延迟，正如最近在LARMix（NDSS’24）和LAMP（NDSS’25）中通过节点排列和战略路由所探索的那样。然而，这些方法针对特定的混网设计，依赖简化的模型和信任假设，或存在实际效率有限的问题。相比之下，OptiMix通过引入一种通用的低延迟混网模型来弥合这些差距，该模型可适应所有成熟的设计。为此，我们首先提出了一种高效的分布式协议，用于在混网中排列节点，在保持对对手的无偏性（unbiasability）的同时实现低延迟特性。其次，我们引入了优化通信延迟的新型战略路由方案。第三，我们设计了一种负载均衡算法，能够均匀分配流量而不损害路由策略的延迟优化特性。第四，我们使用已部署的Nym混网数据进行了广泛评估，展示了在各种混网设计中显著降低延迟的同时最小化匿名损失——与最先进的解决方案相比实现了高达4倍的性能提升。最后，考虑到延迟减少会导致匿名性降低或带宽开销增加——正如匿名三难困境（anonymity trilemma）所述——我们提出了一种覆盖路由机制，使客户端能够受益于低延迟混网而不损害匿名性，代价是生成额外的覆盖流量。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2680-paper.pdf

163、OSAVRoute: Advancing Outbound Source Address Validation Deployment Detection with Non-Cooperative Measurement

源IP地址欺骗促进了各种恶意攻击，而出站源地址验证（OSAV）仍然是防止欺骗数据包离开网络的最佳当前实践。准确测量OSAV的部署对于研究网络对IP欺骗的脆弱性至关重要。然而，此类测量通常需要从被测试网络内部发送欺骗数据包，需要网络运营商的合作。本文介绍了OSAVRoute，这是首个能够捕获OSAV部署细粒度特征的非合作系统。与现有只能识别OSAV缺失的非合作方法不同，OSAVRoute能够识别OSAV的存在与缺失，并进一步测量其阻塞粒度和阻塞深度，实现了先前仅限于合作方法的能力。OSAVRoute通过显式追踪欺骗数据包的转发路径实现这一功能，能够识别其生成和传播行为。OSAVRoute的准确率达到99.4%，覆盖范围比CAIDA Spoofer多3.1倍的自治系统（AS），它揭示84.2%的测试AS未部署OSAV，尤其是在ISP网络中。在实施OSAV的网络中，95.5%在前两个IP跳内阻塞欺骗数据包，但表现出各种阻塞粒度，其中/22到/24最为常见。此外，我们首次揭示了MANRS参与与OSAV部署之间的正相关关系。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s17-paper.pdf

164、PACS: Privacy-Preserving Attribute-Driven Community Search over Attributed Graphs

在数据驱动应用中，属性驱动的社区搜索已引起越来越多的关注，旨在帮助用户在属性图上找到满足特定要求的高质量子图。然而，在进行社区搜索时，很少有工作考虑数据隐私。一个关键原因是现实世界中的图规模持续增长，而属性驱动的社区搜索涉及在加密图数据上计算复杂指标，包括结构凝聚性和属性相关性，这些计算过于耗时，难以实际应用。本文首次提出了一种面向云的隐私保护属性驱动社区搜索实用方案，命名为PACS。PACS使服务器能够在接近毫秒的时间内高效响应属性驱动的社区搜索，同时无需访问属性图和搜索结果的敏感信息。为此，我们设计了两种结构：安全社区索引和安全边表，用于保护原始属性图的隐私。安全社区索引使云服务器能够高效识别满足结构凝聚性且具有最高属性分数的目标社区。特别是，我们采用内积加密来基于加密属性向量评估社区的属性驱动分数。通过BGN同态加密构建的安全边表，使云服务器能够安全地检索目标社区的边信息而无需了解其细节。我们进行了全面的安全分析，证明PACS实现了CQA2安全性。在真实社交网络数据集上的实验评估表明，PACS在处理属性驱动社区搜索时实现了接近毫秒级的效率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1586-paper.pdf

165、Paladin: Defending LLM-enabled Phishing Emails with a New Trigger-Tag Paradigm

随着大型语言模型的快速发展，其恶意使用（特别是在生成钓鱼内容方面）的潜在威胁日益普遍。利用LLM的能力，恶意用户可以合成没有拼写错误和其他易于检测特征的钓鱼邮件。此外，这类模型能够生成针对特定主题的钓鱼信息，根据目标领域定制内容，提高成功率。由于LLM生成的钓鱼邮件通常缺乏清晰或可区分的语言特征，检测此类内容仍是一项重大挑战。因此，大多数现有的语义级检测方法难以可靠地识别它们。虽然某些基于LLM的检测方法显示出前景，但它们计算成本高，且受底层语言模型性能的限制，使其难以大规模部署。在这项工作中，我们旨在解决这一问题。我们提出了Paladin，它使用各种插入策略将触发器-标签关联嵌入到基础LLM中，将其改造为检测型LLM。当检测型LLM生成与钓鱼相关的内容时，它会自动包含可检测的标签，从而实现更轻松的识别。基于隐式和显式触发器与标签的设计，我们考虑了四种不同的场景。我们从隐蔽性、有效性和稳健性三个关键角度评估我们的方法，并与现有的基线方法进行比较。实验结果表明，我们的方法优于基线方法，在所有场景中均实现了超过90%的检测准确率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s2522-paper.pdf

166、Pallas and Aegis: Rollback Resilience in TEE-Aided Blockchain Consensus

许多拜占庭容错(BFT)共识算法利用可信组件来提高弹性并减少通信开销。然而，最近的研究发现，当可信组件崩溃、丢失状态或被克隆时，存在一个关键的回滚攻击漏洞。现有的防御方法要么将崩溃的副本视为拜占antine节点，从而增加副本数量，要么在组件间复制可信状态，这会带来巨大的性能开销，并且仅提供有限的容错能力。我们提出了一种稳健的替代方案：一种针对可信组件的安全状态保存机制，消除了在副本间复制可信状态的高昂成本。其核心是Aegis，这是首个专为使用可信组件的BFT协议设计的高效视图同步器。Aegis确保每个副本在任何视图中只有一个可信组件实例可以投票，即使可信组件在崩溃后重新启动或被敌对者克隆。在Aegis的基础上，我们引入了Pallas，这是首个能够在强敌对者控制固定数量的拜占庭副本并可能导致数量不定的可信组件崩溃的情况下保持安全性的BFT共识协议。我们确定了在部分同步条件下Pallas确保活跃性的敌对条件。在Amazon AWS上进行的大量地理分布式评估表明，Pallas在稳定条件下提供高性能且开销可忽略，吞吐量比现有协议高41%，延迟低29%。更重要的是，在其他协议失败的敌对条件下，Pallas仍能保持活跃性和优雅降级。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2443-paper.pdf

167、Pando: Extremely Scalable BFT Based on Committee Sampling

拜占庭容错（BFT）协议一直面临着可扩展性问题。事实上，随着副本数量n的增加，其性能会急剧下降。尽管已有大量工作试图实现可扩展性目标，但这些工作最多只能扩展到大约一百个副本，尤其是在低端机器上。在本文中，我们基于所谓的委员会采样方法开发了BFT协议，该方法选择一个小型委员会进行共识，并将结果传达给所有副本。然而，这种方法一直专注于拜占庭协议（BA）问题（仅考虑副本），而非拜占庭容错（BFT）问题（在客户端-副本模型中）；此外，该方法主要仅具有理论意义，因为实际上它适用于不切实际的大n值。我们基于委员会采样方法，在部分同步环境中构建了一个名为Pando的极其高效、可扩展且具有自适应安全性的BFT协议。我们在Amazon EC2上的评估表明，与现有协议相比，Pando可以轻松扩展到WAN环境中的一千个副本，实现62.57 ktx/秒的吞吐量。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s273-paper.pdf

168、PANDORA: Lightweight Adversarial Defense for Edge IoT using Uncertainty-Aware Metric Learning

资源受限的物联网设备的快速增长显著扩大了攻击面，暴露了网络中的关键漏洞。因此，依赖静态、基于签名的传统入侵检测系统已日益过时。现代攻击者现在采用复杂、自动化且通常是新颖（零日）的攻击，这些攻击可以轻易绕过此类传统防御。此外，现有基于机器学习的入侵检测模型在实际场景中往往难以处理概念漂移和无法泛化到未知威胁等挑战。为解决这些差距，我们引入了PANDORA（资源受限架构上的概率网络防御），这是一个用于检测边缘设备上零日攻击的新型端到端框架。PANDORA做出三项关键贡献：1）它学习不确定性感知的概率嵌入，以创建网络流量的鲁棒表示；2）它引入了一种新颖的概率流形结构和距离（PMSD）损失函数，实现了有效的零样本泛化；3）它利用高效的Mamba-专家混合（MoE）架构进行设备端部署。为验证我们的方法，我们还引入了TTDFIOTIDS2025数据集，这是一个新的高保真基准，包含复杂、程序生成的攻击。我们的广泛评估表明，PANDORA显著优于最先进的模型，在CICIDS2017上仅通过10次样本适应即可达到0.971的F1分数。关键的是，在域偏移条件下，其零样本检测准确率高达99%，并且在部署到树莓派时，保持约24 MB的低内存占用和高达4.26流/秒的吞吐量，证明了其在实时边缘安全中的实际可行性。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f713-paper.pdf

169、Passive Multi-Target GUTI Identification via Visual-RF Correlation in LTE Networks

LTE网络采用全球唯一临时标识符（GUTI）来保护用户免受永久国际移动用户身份（IMSI）的暴露，但我们表明，这些标识符可以通过被动观察在无需预先了解目标的情况下被解析并链接到特定设备。我们将带有时间戳的设备使用视觉观察与使用商用软件定义无线电（SDR）捕获的空中控制平面消息相关联。有限状态机（FSM）算法处理同步流以解析相机视场（FoV）内每个设备的GUTI，只要捕获相应的控制平面消息，仅需观察三次用户交互即可完成。在多个商业长期演进（LTE）网络进行的实地实验验证了多目标解析能力：在某些部署中，我们观察到GUTI可保持长达33天，且重新分配行为通常可被链接。一旦链接，这些长期存在的标识符通过被动监测寻呼消息和无线资源控制（RRC）消息，实现了从小区到寻呼区域范围的分层位置跟踪。与需要预先存在的标识符（如电话号码）和主动探测的主动IMSI捕获器或先前的GUTI攻击不同，我们的方法是仅监听模式，并可扩展到视场内的多个设备。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f2487-paper.pdf

170、PathProb: Probabilistic Inference and Path Scoring for Enhanced and Flexible BGP Route Leak Detection

边界网关协议（BGP）缺乏内在安全性，使互联网容易受到路由泄漏等严重威胁。现有的检测方法存在二元分类僵化、误报率高以及权威AS关系数据稀疏等局限性。为应对这些挑战，本文提出了PathProb——一种新颖的范式，通过计算AS链路的拓扑感知概率分布和计算AS路径的合法性分数，灵活识别路由泄漏。我们的方法将蒙特卡洛方法与路由策略的整数线性规划公式相结合，以高效推导这些解决方案。我们使用真实的BGP路由跟踪和路由泄漏事件对PathProb进行了全面评估。结果表明，我们的推理模型在具有高置信度的验证数据集上优于最先进的方法。PathProb以98.45%的召回率检测真实世界的路由泄漏，同时将误报率比现有替代方法降低4.29~20.08个百分点。此外，PathProb的路径合法性评分使网络管理员能够动态调整路由泄漏检测阈值——根据其特定的误报容忍度和安全需求定制安全态势。最后，PathProb与新兴的路由缓解机制（如自治系统提供者授权（ASPA））无缝兼容，能够灵活集成以增强泄漏检测能力。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1691-paper.pdf

171、Peering Inside the Black-Box: Long-Range and Scalable Model Architecture Snooping via GPU Electromagnetic Side-Channel

随着深度神经网络（DNN）在自动驾驶和人脸识别等安全关键应用中的日益普及，它们也成为对抗性攻击的目标。然而，DNN的机密信息（包括模型架构）通常对攻击者隐藏。因此，对抗性攻击通常在黑盒环境下发起，这限制了其有效性。在本文中，我们提出了ModelSpy，一种基于GPU电磁（EM）泄漏的隐蔽DNN架构窥探攻击。ModelSpy能够在几米外甚至穿透墙壁提取完整的架构信息。ModelSpy基于一个关键观察：在DNN推理过程中，GPU会发出远场电磁信号，这些信号表现出特定于架构的幅度调制。我们开发了一个分层重建模型，从嘈杂的电磁信号中恢复细粒度的架构细节。为了提高对不同且不断演变的架构的可扩展性，我们设计了一个迁移学习方案，利用外部电磁泄漏与内部GPU活动之间的相关性。我们设计并实现了一个概念验证系统，以证明ModelSpy的可行性。我们在五款高端消费级GPU上的评估显示，ModelSpy在架构重建方面具有高准确性，包括97.6%的层分割准确率和94.0%的超参数估计准确率，工作距离可达6米。此外，ModelSpy重建的DNN与受害架构具有相当的性能，并能有效增强黑盒对抗性攻击。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s141-paper.pdf

172、PhantomMap: GPU-Assisted Kernel Exploitation

图形处理单元（GPU）已成为现代计算中的关键组件，推动了高性能渲染和并行处理的发展。其中，Arm公司的Mali GPU是在移动设备中部署最广泛的。与CPU端成熟且稳健的防御措施相比，GPU的安全保护仍然不足。因此，GPU已成为攻击者绕过CPU防御的首选目标。例如”三角行动”（Operation Triangulation）等重大事件已经证明，GPU端的漏洞可以被利用来危害系统安全。尽管威胁日益增加，对Mali GPU的全面深入的安全分析仍然缺失。为填补这一空白，我们首次对Mali GPU的内存映射机制进行了深入的安全分析，发现了两个新的安全弱点：分配-映射解耦和物理地址验证缺失。利用这些弱点，我们提出了PhantomMap，一种新颖的GPU辅助利用技术，可将有限的堆漏洞转化为强大的物理内存读写原语，无需特权能力或信息泄露即可绕过主流内核防御。为评估其安全影响，我们开发了一个静态分析工具，能够系统识别所有易受攻击的映射路径，在两种Mali驱动架构中发现了15个利用链。我们基于真实世界的CVE漏洞开发了15个端到端漏洞利用程序，进一步证明了PhantomMap的实用性，其中包括CVE-2025-21836的首个公开漏洞利用程序。最后，我们设计并实现了一个轻量级的驱动内缓解措施，在Pixel 6和Pixel 7设备上以最小的性能开销消除了根本原因。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f201-paper.pdf

173、PhantomMotion: Laser-Based Motion Injection Attacks on Wireless Security Surveillance Systems

无线安全监控系统因其日益提高的性价比而被广泛部署。运动检测通常被集成到这些系统中，作为其安全功能的核心，用于检测是否有人在监控范围内，然后触发系统开始录制或通知财产所有者。在本文中，我们提出了PhantomMotion，一种新的攻击框架，用于欺骗这些安全系统的运动检测功能。它可以通过将激光束瞄准运动检测范围来秘密地创建虚假运动刺激，并通过嗅探无线流量确认系统对刺激的响应。PhantomMotion不需要任何专业设备，也不需要在监控区域内进行物理运动。它包含一个集成了激光控制和WiFi嗅探的新型硬件平台，以及一种新的运动注入生成机制。我们开发了一款智能手机应用程序来实现PhantomMotion，并在18种流行的无线运动激活安全系统上验证了其有效性。实验结果表明，PhantomMotion能够始终生成虚假运动来成功触发这些系统，平均耗时12.8秒，激光点移动平均距离为1.1米。值得注意的是，我们验证了PhantomMotion可以在高达120米的距离上有效工作。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1454-paper.pdf

174、Phishing in Wonderland: Evaluating Learning-Based Ethereum Phishing Transaction Detection and Pitfalls

钓鱼攻击仍然是以太坊生态系统的一个重大威胁，占以太坊相关网络犯罪的50%以上，并促使基于机器学习的防御措施兴起。本文提出了一个综合框架，通过解决特征选择、类别不平衡、模型鲁棒性和算法优化等关键挑战，来增强以太坊交易中的钓鱼检测。通过对现有方法的系统性评估，我们确定了实践中的主要差距，特别是在特征处理和不可持续的性能提升方面。我们的分析和实证评估表明，所提出的框架提高了检测的泛化能力和有效性。这些研究结果强调了需要完善检测策略，以应对区块链领域日益复杂的钓鱼战术。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f694-paper.pdf

175、PhishLang: A Real-Time, Fully Client-Side Phishing Detection Framework Using MobileBERT

我们提出了PhishLang，这是首个完全基于客户端的反钓鱼框架，以基于Chromium的浏览器扩展形式实现。PhishLang利用轻量级语言模型(MobileBERT)实现钓鱼网站的实时、设备端检测。与难以应对规避性威胁的传统启发式或静态特征模型，以及对于客户端使用而言资源消耗过大的深度学习方法不同，PhishLang分析页面源代码的上下文结构，在检测性能上与几种最先进的模型相当，同时内存消耗比类似架构低多达7倍。在为期3.5个月的期间内，我们实时部署了该框架，成功识别了约26,000个钓鱼URL，其中许多是流行反钓鱼黑名单未检测到的，从而证明了PhishLang辅助当前检测措施的潜力。另一方面，该浏览器扩展超越了多种反钓鱼工具，在零日攻击期间检测到超过91%的威胁。PhishLang还表现出强大的对抗鲁棒性，通过解析器级防御和对抗性重训相结合的方式，抵抗了16类真实问题空间的规避攻击。为了帮助终端用户和研究社区，我们已经开源了PhishLang框架和浏览器扩展。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1037-paper.pdf

176、PhyFuzz: Detecting Sensor Vulnerabilities with Physical Signal Fuzzing

传感器漏洞可被物理信号攻击利用，导致传感器测量错误，危及依赖传感器做出关键决策的系统。尽管已有数百项研究发现了众多传感器漏洞，但它们都依赖于人工专家分析，需要耗时耗力的试错过程。缺乏自动化方法辅助检测传感器漏洞，已成为连接传感器安全研究与工业应用之间鸿沟的主要障碍。本文提出PhyFuzz，一种新的物理信号模糊测试范式，它依赖物理测试信号来检测现有及潜在的新型传感器漏洞，无需人工干预。为应对物理信号模糊测试带来的前所未有的挑战，如信号参数的无限搜索空间和多样化传感器硬件的黑盒设计，我们设计了一种独特的模糊测试算法，能够高效构建测试信号，并对传感器漏洞识别和评估进行有效的特征离散化。我们实现了PhyFuzz原型系统，支持声学、激光和电磁信号的模糊测试。实验表明，该系统能够在9种不同类型的13个传感器上识别出46个漏洞，其中包括6个未公开的案例。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f29-paper.pdf

177、PIRANHAS: PrIvacy-Preserving Remote Attestation in Non-Hierarchical Asynchronous Swarms

远程认证是评估远程设备完整性的基本安全机制。在实践中，现有协议缺乏公开可验证性和交互要求，这阻碍了认证方案的广泛采用。Ebrahimi 等人 (NDSS’24) 的最新工作构建了公开可验证的非交互式远程认证，但却忽略了认证敏感系统的另一个重要要求：隐私保护。在物联网集群中，许多设备可能处理敏感数据，这些设备应产生单一的认证证明，同样存在此类需求。在本文中，我们同时应对这两个挑战。我们提出了 PIRANHAS，一种针对单个设备和集群的公开可验证、异步且匿名的认证方案。我们利用 zk-SNARKs 将任何经典的对称远程认证方案转换为非交互式、公开可验证且匿名的方案。验证者仅确认认证的有效性，而不了解任何关于相关设备的识别信息。对于物联网集群，PIRANHAS 使用递归 zk-SNARKs 对整个集群的认证证明进行聚合。我们的系统支持任意网络拓扑结构，并允许节点动态加入和离开网络。我们为单设备和集群场景提供了形式化安全证明，表明我们的构造满足所需的安全保证。此外，我们使用 Noir 和 Plonky2 框架提供了我们方案的开源实现，实现了仅 356ms 的聚合运行时间。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f526-paper.pdf

178、Pitfalls for Security Isolation in Multi-CPU Systems

在嵌入式系统中，将多个CPU集成到单个系统芯片(SoC)中可以实现更高的性能，并将任务分离为独立的固件和优化架构。例如，ARM Cortex-M4核心可以运行主固件，而Cortex-M0核心可以运行实时操作系统(RTOS)。此类集成的安全影响仍不明确，例如，如果一个攻击者在某个CPU上执行代码，是否能够完全攻破第二个CPU或泄露受保护数据。在这项工作中，我们系统地识别了此类集成导致的安全问题，特别是与内存和外设访问控制相关的问题。这些问题源于在新多CPU系统中重用单CPU安全机制，如内存保护单元(MPU)。我们确定了此类系统中可能存在的四种主要攻击向量，并发现市场上大量系统似乎存在漏洞。这些攻击向量可能导致对另一个CPU受保护内存的任意读写，甚至导致代码执行。此外，我们发现一种流行的开源RTOS FreeRTOS[17]的通信机制（被建议作为多CPU系统上固件间的通信机制）在多CPU场景中引入了代码执行漏洞。随后，我们通过实施四种攻击向量验证了我们的理论预测，并证明了其实际有效性。此外，我们发现在一个案例中，发现的攻击面可能导致自定义可信执行环境(TEE)实现的攻破。我们向供应商负责任地披露了我们的发现，导致发布了安全公告并对专有网络栈实现进行了修复。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f971-paper.pdf

179、PortRush: Detect Write Port Contention Side-Channel Vulnerabilities via Hardware Fuzzing

CPU漏洞在现代CPU架构中持续构成安全挑战。在CPU漏洞中，写端口竞争——由多个功能模块同时竞争有限的共享写端口引起——仍未得到充分研究。本文研究了CPU中的写端口竞争侧信道漏洞，并提出了PortRush，一种新型模糊测试框架，用于在寄存器传输级（RTL）检测和验证此类漏洞。首先，PortRush构建写请求图（WRG），通过建模目标共享存储单元的功能模块之间的写路径和优先关系，静态识别潜在的写端口竞争实例。其次，在WRG中，PortRush实现了分层聚合和解码方法，通过监控设计层次结构中的相关硬件信号，高效检测写端口竞争。第三，PortRush采用竞争引导的硬件模糊测试方法，触发写端口竞争，并将竞争触发的指令序列与瞬时执行攻击模式自动结合，从而验证写端口竞争侧信道漏洞。我们在三个RISC-V CPU（BOOM、NutShell和Rocket Core）上评估了PortRush，证明了其在识别和触发写端口竞争方面的有效性。此外，我们验证了所发现的漏洞可在实际的写端口竞争攻击场景中被利用。基于这些漏洞，我们提出了两种新型攻击向量：Birgus变体，利用重排序缓冲区中物理寄存器文件的竞争；以及MSHRush，利用L1数据缓存中加载/存储单元（LSU）与缺失状态处理寄存器（MSHR）之间的竞争，以诱导依赖于秘密的执行延迟。我们还为CPU开发者提出了缓解此类漏洞的策略。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f587-paper.pdf

180、Practical Traceable Over-Threshold Multi-Party Private Set Intersection

带阈值的多方私密集合交集（MP-PSI）通过披露至少出现在t个参与者集合中的元素，而非要求元素出现在所有n个集合中，从而增强了MP-PSI的灵活性。在每位参与者负责其数据集的场景中，例如数字取证，带阈值的MP-PSI应披露交集元素及其对应持有者，以便元素可追溯，从而保证交集的可靠性。我们将支持可追溯性的带阈值MP-PSI称为可追溯超阈值多方私密集合交集（T-OT-MP-PSI）。然而，此类协议的研究仍然有限，当前解决方案能够抵抗t-2个半诚实参与者，但代价是巨大的计算开销。在本文中，我们提出了两种新颖的可追溯OT-MP-PSI协议。第一种是高效可追溯OT-MP-PSI（ET-OT-MP-PSI），它将Shamir秘密共享与可忽略可编程伪随机函数相结合，在抵抗最多t-2个半诚实参与者的同时显著提高了效率。第二种是增强安全性的可追溯OT-MP-PSI（ST-OT-MP-PSI），它通过进一步利用可忽略线性评估协议，实现了抵抗多达n-1个半诚实参与者的安全性。与Mahdavi等人最近的Traceable OT-MP-PSI协议相比，我们的协议消除了某些特殊参与者不共谋的安全假设，并提供了更强的安全保证。我们实现了所提出的协议并在各种设置下进行了广泛实验。我们将我们的协议与Mahdavi等人的协议进行了性能比较。尽管我们的可追溯OT-MP-PSI协议增强了安全性，但实验结果表明其具有高效率。例如，给定5个参与者，阈值为3，集合大小为2^14时，我们的ET-OT-MP-PSI协议比Mahdavi等人的协议快15056倍，而ST-OT-MP-PSI协议快505倍。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s38-paper.pdf

181、PriSrv+: Privacy and Usability-Enhanced Wireless Service Discovery with Fast and Expressive Matchmaking Encryption

服务发现是无线网络中的基本过程，使设备能够动态地查找并与服务通信，对于5G和物联网等现代系统的无缝运行至关重要。本文介绍了PriSrv+，一种针对现代无线网络和资源受限环境的先进隐私和可用性增强型服务发现协议。PriSrv+基于PriSrv（NDSS’24），通过解决在表达性、隐私性、可扩展性和效率方面的关键局限性，同时保持与广泛使用的无线协议（如mDNS、BLE和Wi-Fi）的兼容性。PriSrv+的一个关键创新是开发了快速且表达性强的匹配加密（FEME），这是第一个能够支持具有无界属性宇宙的表达性访问控制策略的匹配加密方案，允许使用任意字符串作为属性。FEME显著增强了服务发现的灵活性，同时确保了强大的消息和属性隐私。与PriSrv相比，PriSrv+优化了加密操作，加密速度提高了7.62倍，解密速度提高了6.23倍，并将密文大小减少了87.33%。此外，与PriSrv相比，PriSrv+将服务广播的通信成本降低了87.33%，匿名相互认证的通信成本降低了86.64%。形式化安全证明确认了FEME和PriSrv+的安全性。在多个平台上的广泛评估表明，与现有最先进的协议相比，PriSrv+实现了卓越的性能、可扩展性和效率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s87-paper.pdf

182、PrivATE: Differentially Private Average Treatment Effect Estimation for Observational Data

因果推断在多学科科学研究中发挥着关键作用。从观测数据中估计因果效应，特别是平均处理效应（ATE），已引起广泛关注。然而，从现实世界观测数据计算ATE会对用户造成严重的隐私风险。差分隐私提供了严格的理论保证，已成为隐私保护数据分析的标准方法。然而，现有的差分隐私ATE估计研究依赖于特定假设，提供的隐私保护有限，或无法提供全面的信息保护。为此，我们引入了PrivATE，一个确保差分隐私的实用ATE估计框架。实际上，不同场景需要不同程度的隐私保护。例如，在教育评估中，只有测试成绩通常是敏感信息，而所有类型的医疗记录数据通常都是私有的。为了适应不同的隐私需求，我们在PrivATE中设计了两个级别的隐私保护（即标签级和样本级）。通过推导自适应匹配限制，PrivATE有效平衡了噪声引起的误差和匹配误差，从而实现了更准确的ATE估计。我们的评估验证了PrivATE的有效性。在所有数据集和隐私预算下，PrivATE均优于基线方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1350-paper.pdf

183、PrivCode: When Code Generation Meets Differential Privacy

大型语言模型（LLMs）在代码生成和补全方面表现出色。然而，在私有数据集上对这些模型进行微调可能会引发隐私和专有性问题，例如敏感个人信息的泄露。差分私有（DP）代码生成通过生成保留统计特性同时减少隐私泄露担忧的合成数据集，为保护敏感代码提供了理论保证。然而，DP代码生成面临着严格的语法依赖性和隐私-效用权衡的显著挑战。我们提出了PrivCode，这是首个专门为代码数据集设计的DP合成器。它采用两阶段框架来提高隐私性和效用性。在第一阶段，称为”隐私净化”，PrivCode通过使用DP-SGD训练模型并引入语法信息来保留代码结构，生成符合DP要求的合成代码。第二阶段，称为”效用提升”，在无隐私风险的合成代码上对更大的预训练LLM进行微调，以减轻DP造成的效用损失，提高生成代码的效用性。在四个LLMs上的广泛实验表明，在四个基准测试的各种测试任务中，PrivCode生成的代码具有更高的效用。实验还证实了它在不同隐私预算下保护敏感数据的能力。我们在匿名链接提供了复制包。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f936-paper.pdf

184、PrivORL: Differentially Private Synthetic Dataset for Offline Reinforcement Learning

最近，离线强化学习（RL）已成为一种流行的强化学习范式。在离线强化学习中，数据提供者共享预先收集的数据集——无论是作为单个转换还是形成轨迹的转换序列——以实现强化学习模型（也称为智能体）的训练，而无需直接与环境交互。与传统强化学习相比，离线强化学习减少了与环境的交互，并在导航任务等关键领域已证明其有效性。同时，关于离线强化学习数据集隐私泄露的担忧也随之出现。为了保护离线强化学习数据集中的私人信息，我们提出了首个差分隐私（DP）离线数据集合成方法PrivORL，该方法分别利用扩散模型和扩散转换器在差分隐私条件下合成转换和轨迹。然后，合成数据集可以安全地发布用于下游分析和研究。PrivORL采用在公共数据集上预训练合成器，然后使用差分随机梯度下降（DP-SGD）在敏感数据集上进行微调的流行方法。此外，PrivORL引入了由好奇心驱动的预训练，该方法利用好奇心模块的反馈来多样化合成数据集，从而能够生成与敏感数据集高度相似的多样化合成转换和轨迹。在五个敏感离线强化学习数据集上的广泛实验表明，与基线方法相比，我们的方法在差分隐私转换和轨迹合成中实现了更好的效用和保真度。复制包可通过匿名链接获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f149-paper.pdf

185、Prompt Injection Attack to Tool Selection in LLM Agents

工具选择是LLM智能体的关键组成部分。一种流行的方法遵循两步过程——检索和选择——从工具库中为给定任务选择最合适的工具。在这项工作中，我们引入了ToolHijacker，这是一种针对无框场景中工具选择的新型提示注入攻击。ToolHijacker将恶意工具文档注入工具库，以操纵LLM智能体的工具选择过程，迫使其始终为攻击者选择的目标任务选择攻击者的恶意工具。具体而言，我们将此类工具文档的制定表述为一个优化问题，并提出了一种两阶段优化策略来解决它。我们广泛的实验评估表明，ToolHijacker非常有效，在应用于工具选择时，显著优于现有的基于手动和自动化的提示注入攻击。此外，我们探索了各种防御措施，包括基于预防的防御（StruQ和SecAlign）和基于检测的防御（已知答案检测、DataSentinel、困惑度检测和窗口化困惑度检测）。我们的实验结果表明，这些防御措施不足，凸显了开发新防御策略的迫切需求。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s675-paper.pdf

186、ProtocolGuard: Detecting Protocol Non-compliance Bugs via LLM-guided Static Analysis and Dynamic Verification

网络协议实现应严格遵循其规范以确保可靠和安全的通信。然而，自然语言规范的固有歧义常导致开发者的误解，使协议实现偏离标准行为。这些偏差会导致细微的不合规错误，引发互操作性和关键安全问题。与内存损坏错误不同，这类错误通常不表现出明显的错误行为，导致现有的错误预言机制不足以全面检测它们。此外，现有工作需要大量手动工作来验证发现和分析根本原因，严重限制了它们的实际可扩展性。

本文提出了ProtocolGuard，一个新颖的框架，通过结合大语言模型（LLM）引导的静态分析与基于模糊测试的动态验证，系统性地检测不合规错误。ProtocolGuard首先使用混合方法从协议规范中提取规范性规则，并执行LLM引导的程序切片，提取与每条规则相关的代码片段。然后，它利用LLM检测这些规则与代码逻辑之间的语义不一致，并动态验证这些错误是否可以被触发。为便于错误验证，ProtocolGuard首先使用LLM自动生成断言语句并对代码进行插桩，将静默的不一致转变为可观察的断言失败。接着，借助LLM生成更有可能触发错误的初始测试用例进行动态验证。最后，ProtocolGuard动态测试插桩后的代码，确认错误识别并生成概念验证测试用例。

我们实现了ProtocolGuard的原型，并在11个广泛使用的协议实现上对其进行了评估。ProtocolGuard以高精度成功发现了158个不合规错误，其中70个已得到确认，且大多数可以转换为断言并进行动态验证。与现有最先进工具的对比表明，在错误检测能力方面，ProtocolGuard在精确率和召回率上都优于它们。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f521-paper.pdf

187、Pruning the Tree: Rethinking RPKI Architecture from the Ground up

资源公钥基础设施（RPKI）是BGP的关键安全机制，但随着其采用规模的扩大，其架构复杂性日益成为关注点。当前RPKI设计大量重用了传统PKI组件，如X.509 EE证书、ASN.1编码和基于XML的存储库协议，这些引入了过多的密码验证、冗余元数据以及在存储和处理方面的低效。我们表明，这些设计选择虽然基于既定标准，但造成了显著的性能瓶颈，增加了攻击面，并阻碍了大规模互联网部署的可扩展性。在本文中，我们首次对RPKI设计中复杂性的根本原因进行了系统性分析，并通过实验量化了它们在现实世界中的影响。我们表明，RPKI依赖方超过70%的验证时间花费在证书解析和签名验证上，其中大部分是不必要的。基于这一见解，我们引入了改进的RPKI（iRPKI），这是一种向后兼容的重新设计，在保留所有安全保证的同时显著减少了协议开销。iRPKI消除了EE证书和ROA签名，合并了撤销和完整性对象，用Protobuf替换了冗长的编码，并重新构造了存储库元数据以实现更高效的访问。我们通过实验证明，在Routinator验证器中实现的iRPKI实现了处理时间20倍的加速，带宽需求18倍的改进，缓存内存占用8倍的减少，同时消除了已在RPKI软件中导致至少10个漏洞的漏洞类别。iRPKI显著提高了在互联网中特别是在受限环境中大规模部署RPKI的可行性。我们的设计可以增量部署而不会影响现有操作。我们开源了我们的设计、对象模板、发布点软件和RP实现，以促进iRPKI集成到当前RPKI部署中，并能够复现我们的研究。我们进一步提供了如何从我们提出的改进中推导新RPKI规范的建议，以促进标准化。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s823-paper.pdf

188、Prεεmpt: Sanitizing Sensitive Prompts for LLMs

大型语言模型(LLMs)的兴起带来了新的隐私挑战，特别是在推理过程中，提示中的敏感信息可能暴露给专有的LLM API。在本文中，我们解决了在保持响应质量的同时正式保护提示中包含的敏感信息的问题。为此，首先，我们引入了一种受密码学启发的”提示净化器”概念，用于转换输入提示以保护其敏感标记。其次，我们提出了Pr$epsilonepsilon$mpt，一个实现提示净化器的系统，专注于仅能从各个标记中推导出的敏感信息。Pr$epsilonepsilon$mpt将敏感标记分为两类：(1)LLM的响应仅依赖于格式的标记(如社会保障号、信用卡号)，对此我们使用格式保留加密(FPE)；(2)响应依赖于特定值的标记(如年龄、薪资)，对此我们应用度量差分隐私(mDP)。我们的评估表明，Pr$epsilonepsilon$mpt是一种实现有意义隐私保证的实用方法，与未净化的提示相比保持了高效用，并优于先前的方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1277-paper.pdf

189、Q-MLLM: Vector Quantization for Robust Multimodal Large Language Model Security

多模态大型语言模型（MLLMs）在跨模态理解方面展现出令人印象深刻的能力，但尽管拥有强大的文本安全机制，仍易通过视觉输入受到对抗性攻击。这些弱点源于两个核心问题：视觉表示的连续性使得基于梯度的攻击成为可能，以及基于文本的安全机制无法充分迁移到视觉内容。我们提出了Q-MLLM，一种新颖的架构，通过集成两级向量量化来创建对抗性攻击的离散瓶颈，同时保留多模态推理能力。通过在像素块和语义级别对视觉表示进行离散化，Q-MLLM能够阻断攻击路径并弥合跨模态安全对齐的差距。我们的两阶段训练方法确保了稳健的学习同时保持模型效用。实验表明，Q-MLLM在抵御越狱攻击和有毒图像攻击方面的防御成功率显著优于现有方法。值得注意的是，除一个可争议的案例外，Q-MLLM对越狱攻击实现了完美的防御成功率（100%），同时在多个效用基准测试上保持有竞争力的性能，且推理开销最小。这项研究确立了向量量化作为安全多模态AI系统的有效防御机制，无需昂贵的特定安全微调或检测开销。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s407-paper.pdf

190、QNBAD: Quantum Noise-induced Backdoor Attacks against Zero Noise Extrapolation

变分量子算法（VQA）已成为在嘈杂中等规模量子（NISQ）时代实现实用量子优势的最有前景的范例之一。为了提高VQA在嘈杂硬件上的计算精度，零噪声外推（ZNE）已成为一种广泛采用且有效的错误缓解技术。然而，对ZNE的日益依赖也增加了识别潜在对抗性攻击的重要性。我们审视了现有的后门攻击，并强调了它们为何难以破坏ZNE。具体而言，仅修改电路结构的量子后门攻击只会移动理想输出而不影响噪声相关的外推过程，从而使ZNE保持完整。同样，不考虑设备特定噪声而训练的参数级后门在不同硬件平台上表现出不一致的行为，导致不可靠或无效的攻击。基于这些观察，我们发现了一类新的后门漏洞，专门针对ZNE的独特属性。在本研究中，我们提出了QNBAD，这是一种针对ZNE的新型隐蔽后门攻击。QNBAD经过精心设计，可在大多数设备上保持变分量子电路的正确功能。然而，在特定的噪声模型下，它利用量子噪声与电路结构之间的微妙相互作用，系统性地操纵不同噪声水平下的采样期望值。这种有针对性的干扰破坏了ZNE拟合过程，并导致显著偏差的最终估计。与先前的后门方法相比，QNBAD在四个平台和六个应用中实现了绝对误差放大1.68倍至11.7倍的显著提升。此外，它在各种拟合函数和ZNE变体中保持有效。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1665-paper.pdf

191、ReFuzz: Reusing Tests for Processor Fuzzing with Contextual Bandits

处理器设计依赖于迭代修改和重用成熟的设计。然而，这种对先前设计的重用也导致多个处理器之间存在相似的漏洞。随着处理器通过迭代修改变得越来越复杂，高效检测现代处理器中的漏洞变得至关重要。受软件模糊测试的启发，硬件模糊测试最近已证明其在检测处理器漏洞方面的有效性。然而，据我们所知，现有的处理器模糊测试器单独测试每个设计，缺乏理解先前处理器中已知漏洞的能力，无法微调模糊测试以识别相似或新的漏洞变体。为了解决这一差距，我们提出了ReFuzz，一个自适应模糊测试框架，它利用上下文老虎机来重用来自先前处理器的高度有效测试，以在给定ISA内测试目标处理器（PUT）。通过智能修改能触发先前处理器漏洞的测试，ReFuzz能够检测PUT中的相似漏洞和新变体。ReFuzz发现了三个新的安全漏洞和两个新的功能错误。ReFuzz通过重用触发先前处理器中已知漏洞的测试，检测到一个漏洞。一个功能错误存在于共享设计模块的三个处理器中。第二个错误有两个变体。此外，与现有的模糊测试器相比，ReFuzz通过重用高度有效的测试来提高覆盖率效率，实现了平均511.23倍的覆盖率加速和高达9.33%的额外总覆盖率。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f118-paper.pdf

192、Repairing Trust in Domain Name Disputes Practices: Insights from a Quarter-Century’s Worth of Squabbles

《统一域名争议解决政策》（UDRP）旨在平衡两个相互竞争的目标：赋予商标持有人迅速解决域名滥用的权力——例如销售经常绕过黑名单等技术保护措施的假冒商品，并保护注册人免受过度主张商标的当事人采取的激进法律策略。自实施以来，UDRP已成为超过一千二百个域名扩展的实际争议解决机制，比最初的三个有了显著增加。然而，尽管取得了成功，批评者认为该政策助长了破坏信任和公平的做法。不幸的是，由于缺乏大规模结构化数据，有意义的改革努力陷入停滞，这限制了实证评估，并使基础性问题在过去二十多年中一直悬而未决。为解决这一长期存在的空白，我们训练了模型从90,153个UDRP争议程序中提取结构化数据，从而实现了迄今为止对该政策最全面的实证分析。我们的研究结果揭示了几个问题，显示在几乎所有争议中近三分之一的案件存在”法庭选购”现象，43个案例中存在潜在的利益冲突，以及许多当事人的延迟回应时间远超预期——所有这些都影响了UDRP的感知公平性和效率。除了侵蚀信任外，这些问题还带来了严重的安全挑战：在专家组下令转移域名后，2,751个恶意域名仍在恶意行为者控制下长达四个月。总体而言，我们的研究结果强调了政策改革的必要性，以帮助恢复信任并提高互联网应对商标侵权的实际标准的透明度。基于我们的发现，我们建议引入更多自动化、加强监督和执行更明确的合规规则，以确保UDRP继续成为基于商标的名称争议的可靠工具——特别是在互联网随着新的通用顶级域名（2026年）和日益敌对的数字环境不断扩张的背景下。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s174-paper.pdf

193、Rethinking Fake Speech Detection: A Generalized Framework Leveraging Spectrogram Magnitude

受深度学习进步驱动的语音合成技术已取得了显著的逼真效果，使其能够在各个领域实现多样化应用。然而，这些技术也可能被用来生成虚假语音，带来重大风险。尽管现有的虚假语音检测方法在受控环境中表现出有效性，但它们往往难以推广到未见过的场景，包括新的合成模型、语言和录音条件。此外，许多现有方法依赖于特定假设，且缺乏对虚假语音中固有伪影的全面理解。本文通过提出一种专注于分析语谱图幅度的新视角，重新思考了虚假语音检测任务。通过广泛分析，我们发现合成语音在语谱图的幅度表示中始终表现出伪影，如纹理细节减少和不同幅度范围的不一致性。利用这些见解，我们引入了一种新颖的无假设且通用的虚假语音检测框架。该框架基于幅度将语谱图分层表示，并利用二维和三维表示在空间和离散余弦变换（DCT）域中检测伪影。这种设计使框架能够有效捕捉虚假语音中固有的细粒度伪影和合成不一致性。大量实验表明，该框架在几个广泛使用的公共音频深度伪造数据集上取得了最先进的性能。此外，在涉及黑盒网络语音克隆API的真实场景评估中，突显了该框架的鲁棒性和实际适用性， consistently优于基线方法。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s1024-paper.pdf

194、Revealing The Secret Power: How Algorithms Can Influence Content Visibility on Twitter/X

近年来，社交网络推荐算法的不透明设计和公众对其的有限理解引发了人们对信息曝光可能被操纵的担忧。降低内容可见性，即所谓的”影子封禁”，可能有助于限制有害内容；然而，它也可能被用来压制不同声音。这促使我们需要更大的透明度和对这一做法的更好理解。在本文中，我们通过对两个Twitter/X数据集进行大规模定量分析来研究可见性变化的存在，这些数据集包含来自900多万用户的超过4000万条推文，重点关注围绕乌克兰-俄罗斯冲突和2024年美国总统大选的讨论。我们使用浏览量来检测可见性降低或增加的模式，并检查这些模式如何与用户观点、社会角色和叙事框架相关联。我们的分析表明，算法系统性地惩罚包含外部资源链接的推文，将其可见性降低多达8倍，而不管其意识形态立场或来源可靠性如何。相反，内容可见性可能会根据产生它的特定账户而被惩罚或青睐，正如比较基辅独立报和RT.com的推文或唐纳德·特朗普和卡玛拉·哈里斯的推文时所观察到的那样。总体而言，我们的工作强调了内容审核和推荐系统透明度的重要性，以保护公共话语的完整性并确保对在线平台的公平访问。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s718-paper.pdf

195、Revisiting Differentially Private Hyper-parameter Tuning

我们研究了差分隐私在超参数调优中的应用，该过程涉及从多个候选运行中选择最佳运行。与许多隐私学习算法（包括普遍使用的DP-SGD）不同，选择最佳运行的隐私影响常常被忽视。尽管最近的研究提出了针对调优过程的通用隐私选择解决方案，但一个悬而未决的问题仍然存在：这种隐私上界是否紧密？本文从实证和理论两方面探讨了这一问题。最初，我们提供的研究证实了当前隐私分析中关于隐私选择的结论在一般情况下确实是紧密的。然而，当我们具体研究白盒环境下的超参数调优问题时，这种紧密性便不再成立。这一点首先通过对调优过程进行隐私审计得到证明。我们的研究结果表明，即使在强大的审计设置下，当前的理论隐私边界与经验隐私泄露之间仍存在显著差距。这一差距促使我们进行后续的理论研究，由于超参数调优具有独特性质，我们为其提供了改进的隐私上界。我们的改进边界带来了更好的效用。与之前仅限于特定参数配置的分析相比，我们的分析还展示了更广泛的应用性。总体而言，我们对理解因”选择”导致的隐私退化做出了贡献。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s447-paper.pdf

196、Robust Fraud Transaction Detection: A Two-Player Game Approach

基于机器学习（ML）的欺诈检测系统被企业广泛采用，以减少欺诈活动造成的经济损失。然而，欺诈者具有智能性且快速演变，采用先进技术伪造交易特征以规避检测系统。更糟糕的是，由于这些伪造过程不受小范围限制，基于小规模扰动的现有鲁棒性增强方法无效。检测不受限制扰动的欺诈活动显著增加了欺诈检测的不确定性，这仍然是一个开放性问题。为解决这一问题，我们提出了GAMER，一个基于双人博弈的鲁棒欺诈检测系统，在检测欺诈活动时实现了高准确性和强鲁棒性。具体而言，GAMER利用特征选择主动对抗欺诈检测中的智能欺诈者（即选择较少的特征以减少特征伪造的组合），并创新地将检测过程表述为双人博弈。通过求解双人博弈的均衡点，GAMER计算特征选择的最优概率，该概率考虑了欺诈者所有可能的伪造策略。基于均衡点的选择概率不仅最小化了欺诈者获得的收益，从而阻止他们发起伪造；还使系统能够在检测欺诈活动时选择鲁棒特征（即不太可能被伪造的特征），增强了系统在欺诈检测中的鲁棒性。我们的理论和实验结果验证了威慑和鲁棒性增强的特性。此外，对全球领先在线支付企业遭受的真实攻击进行的实验表明，GAMER优于传统的鲁棒性增强技术，在为期两个月的欺诈检测中平均将F1分数提高了67.5%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1611-paper.pdf

197、ropbot: Reimaging Code Reuse Attack Synthesis

代码重用攻击是现代基于内存损坏攻击的最关键基石之一。然而，将代码片段(gadgets)拼接在一起的任务仍然是一个耗时且手动的过程。过去十年间已发表大量研究旨在自动化解决这个问题，但实践中很少被采用。这些解决方案在性能或支持的架构方面通常不切实际，或者无法生成有效的代码链。系统分析表明，它们都采用生成-测试方法，即首先枚举所有代码片段，然后使用符号执行或SMT求解器来推理哪些代码片段可以组合成链。不幸的是，这种方法随可用代码片段的数量呈指数级扩展，从而限制了在较大二进制文件上的可扩展性。在这项工作中，我们重新审视这一基本策略，并提出了一种新的代码片段分组方法，称为ROPBlock，它与代码片段有一个关键区别：ROPBlock保证可以链接。我们将ROPBlock的概念与图搜索算法相结合，提出了一种代码链接方法，与先前的工作相比显著提高了性能。我们将设置寄存器为攻击者指定值的时间复杂度从O(2^n)降低到O(n)。这在实践中带来了2-3个数量级的加速。同时，ROPBlock使我们能够建模复杂的代码片段——例如涉及ret2csu或包含条件分支的代码片段——而大多数其他方法在设计上无法考虑这些。由于ROPBlock与架构无关，我们的方法可以应用于多种架构。我们的原型工具ropbot在评估的所有37个二进制文件上平均2.5秒内即可生成调用dup-dup-execve的复杂真实世界代码链。除了一种方法外，所有其他方法都无法在此场景下生成任何代码链。对于需要设置六个寄存器值的困难场景——mmap链，ropbot找到的目标数量是第二佳技术的5倍。为了展示其多功能性，我们在x64、MIPS、ARM和AArch64上评估了ropbot。我们仅通过添加十二行代码就在不到两小时内添加了RISC-V支持。最后，我们证明ropbot在各自的数据集上优于所有现有工具。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f845-paper.pdf

198、Rounding-Guided Backdoor Injection in Deep Learning Model Quantization

模型量化是将深度学习模型部署在资源受限环境中的常用技术。然而，它也可能引入先前被忽视的安全风险。在这项工作中，我们提出了QuRA，一种利用模型量化来嵌入恶意行为的新型后门攻击。与依赖训练数据投毒或模型训练操作的传统后门攻击不同，QuRA仅通过量化操作工作。具体而言，QuRA首先采用一种新颖的权重选择策略来识别影响后门目标的关键权重（同时考虑保持模型整体性能）。然后，通过优化这些权重的舍入方向，我们在不降低准确率的情况下跨模型层放大后门效应。大量实验表明，QuRA在大多数情况下实现了接近100%的攻击成功率，且性能下降可忽略不计。此外，我们证明QuRA能够适应并绕过现有的后门防御措施，凸显了其威胁潜力。我们的研究结果强调了广泛使用的模型量化过程中的关键漏洞，强调了需要更强大的安全措施。我们的实现可在https://github.com/cxx122/QuRA获取。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-s113-paper.pdf

199、RoundRole: Unlocking the Efficiency of Multi-party Computation with Bandwidth-aware Execution

在隐私保护分布式计算系统如安全多方计算(MPC)中，跨方通信是主要瓶颈。过去二十年间，众多卓越协议被提出以降低整体通信复杂度，显著缩小了MPC与明文计算之间的差距。然而，这些进展常常忽视了一个关键方面：非对称通信模式。这种不平衡导致执行过程中产生大量带宽浪费，从而”锁定”了性能。本文提出了RoundRole，一种针对秘密共享MPC的带宽感知执行优化。其核心思想是将决定通信模式的逻辑角色与决定带宽的物理节点解耦。通过将整体协议划分为并行任务，并为每个任务将每个逻辑角色战略性地映射到物理节点，RoundRole能够根据固有协议通信量和物理带宽有效分配通信工作负载。这种执行级别的优化充分利用了网络资源并”解锁”了效率。我们将RoundRole集成到广泛使用的开源MPC框架ABY3之上。在六种不同网络环境（具有同构和异构带宽）下对九种协议进行的广泛评估展示了显著的性能提升，最高可达7.1倍的加速比。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f52-paper.pdf

200、RTCON: Context-Adaptive Function-Level Fuzzing for RTOS Kernels

实时操作系统(RTOS)因其包含蓝牙和Wi-Fi等多种子系统而被广泛应用于嵌入式系统。随着其功能不断增长，其攻击面也随之扩大，使其面临更多的安全威胁。为应对这一问题，模糊测试等动态测试技术已被广泛应用于嵌入式系统。然而，对于RTOS，由于其复杂性，这些技术难以有效测试内核中深度嵌套的函数。在本文中，我们提出了RTCon，一种面向RTOS内核的上下文自适应函数级模糊测试工具。RTCon通过在模糊测试过程中自适应生成函数上下文，对RTOS内核中的任何目标函数进行函数级模糊测试。此外，RTCon采用多层分类方法根据置信度对崩溃进行分类，帮助分析师专注于高置信度崩溃。我们实现了RTCon的原型，并在四种流行的RTOS内核上进行了评估：Zephyr、RIOT、FreeRTOS和ThreadX。结果表明，RTCon发现了27个漏洞，其中包括25个新漏洞。我们向维护者报告了所有这些漏洞，并获得了14个CVE编号。RTCon在崩溃分类方面也展示了其有效性，高置信度崩溃的精确度达到92.7%，而低置信度崩溃的精确度仅为5.8%。

下载链接：https://www.ndss-symposium.org/wp-content/uploads/2026-f1600-paper.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞战争漏洞战争漏洞战争《NDSS 2026论文清单及摘要（中）》