近日,全球网络安全领域四大顶级会议之一的ACM CCS 2021召开,并颁发年度“最佳论文奖”。浙江大学与蚂蚁集团联合论文获此殊荣,这也是自CCS创办28年以来,中国的团队以第一作者身份第2次获得该项荣誉。
作为国际顶级安全技术研究会议,CCS过去十年的平均录用率仅为17.6%,而在录用的论文中,仅有个位数的论文可以获得“最佳论文奖”。据不完全统计,近十年来,全球网络安全领域四大顶级会议的Best Paper Award仅有3篇第一作者来自中国的研究机构,并且都以高校研究机构为主。
本次获奖论文的主题是《V-SHUTTLE: Scalable and Semantics-Aware Hypervisor Virtual Device Fuzzing》(点击查看论文分享)。该论文第一作者潘高宁、第二作者林性伟,目前均就职于蚂蚁集团旗下蚂蚁安全光年实验室。其中,第一作者潘高宁是出生于96年的青年科研工作者,目前主攻云安全方向,也是浙江大学计算机科学与技术学院的在读博士。因此,该篇论文也是中国企业研究者以第一作者身份参与并拿下网络安全四大顶会“最佳论文奖”的第一篇。
蚂蚁安全光年实验室组建于2016年底,通过对基础软件及设备的安全研究,达到全球领先破解能力,同时基于基础研究能力与实际场景的落地结合,为蚂蚁集团及相关生态金融级基础设施提供更多安全保障。实验室具有行业领先的硬核漏洞挖掘与利用能力,攻破过多个高难度目标,获得多个PWN顶级大赛单项冠军、数百次国际顶级厂商漏洞致谢。
作者在论文中指出,存在于各大云厂商的常用设备(虚拟机监视器hypervisor)中有严重安全漏洞。该漏洞一旦被恶意攻击,可能导致多家国际主流云厂商的用户数据被大批量泄漏。由于现今云计算的⼴泛应⽤和部署,云平台的安全性影响将尤其深远。论文研究团队在发现问题后,通过研发自动化工具V-SHUTTLE,实现了对该类漏洞的⾃动挖掘,极大地提升了风险发现和阻断的效率。通过小规模实验,研究团队已经挖掘相关软件漏洞35个。截止发稿时,已有17个漏洞被写入国际通用漏洞字典(CVE),研究团队也因此得到了知名软件厂商的17次官⽅致谢。
目前,蚂蚁集团该项研究成果V-SHUTTLE的源代码已经在技术社区GitHub向全社会免费开放,以提升各云厂商及相关软件生态的整体安全水位,进一步保护互联网用户的数据安全。
