同态加密为隐私感知处理提供了许多机会,包括与机器学习相关的方法。 我们现有的许多加密方法在过去已被证明容易受到侧通道攻击。 有了这些,加密方法的实现可以揭示使用的私钥,结果,甚至原始明文的信息。 一个例子包括使用Montgomery方法处理RSA指数,以及0和1在模块化指数的处理时间上的差异。 使用FHE,我们通常使用晶格方法,并且在与侧通道泄漏相关的实施中可能会遇到特定问题。 本文旨在概述与侧通道分析相关的FHE实现中的一系列弱点。 它概述了侧通道分析,一些案例研究和缓解策略的分类。
我们认为大型语言模型(LLM)将很快改变网络攻击的经济学。 LLM不是攻击最常用的软件,而是通过针对受害者中最低的共同点来攻击最常用的软件并将漏洞利用货币化,而是使对手能够在用户的基础上发起量身定制的攻击。 在开发方面,而不是人类攻击者在拥有数百万用户的产品中手动搜索一个难以识别的bug,LLM可以在拥有数千个用户的产品中找到数千个易于识别的bug。 在货币化方面,而不是通用的勒索软件,总是执行相同的攻击(加密你所有的数据,并要求付款解密),LLM驱动的勒索软件攻击可以根据每个被利用的设备的特定内容来定制赎金需求。 我们表明,这两种攻击(以及其他几个攻击)使用最先进的LLM迫在眉睫。 例如,我们表明,在没有任何人为干预的情况下,LLM在安然电子邮件数据集(例如,与另一名员工有暧昧关系的高管)中发现高度敏感的个人信息,这些信息可用于勒索。 虽然我们的一些攻击仍然过于昂贵,无法广泛扩展,但随着LLM变得越来越便宜,实施这些攻击的激励措施只会增加。 因此,我们认为LLM需要新的深入防御方法。
确保大型语言模型(LLM)的安全性对于负责任的部署至关重要,但现有的评估通常优先考虑性能而不是识别故障模式。 我们引入了Phare,一个多语言诊断框架,用于在三个关键维度上探索和评估LLM行为:幻觉和可靠性,社会偏见和有害内容生成。 我们对17个最先进的LLM的评估揭示了所有安全维度的系统漏洞模式,包括系统,快速灵敏度和刻板印象再现。 通过突出这些特定的故障模式,而不是简单的排名模型,Pare为研究人员和从业者提供了可操作的见解,以构建更强大,对齐和值得信赖的语言系统。
最近,人工智能驱动的与计算设备的交互已经从基本的原型工具发展到复杂的基于LLM的系统,这些系统可以在图形用户界面中模拟类似人类的操作。 我们现在目睹了计算机使用代理(CUA)的出现,能够自主执行诸如导航桌面应用程序,网页和移动应用程序等任务。 然而,随着这些代理商的能力增长,他们也引入了新的安全和安保风险。 LLM驱动的推理中的漏洞,加上集成多个软件组件和多模态输入的复杂性,使安全环境进一步复杂化。 在本文中,我们提出了关于CUA安全和安全威胁的知识的系统化。 我们进行全面的文献综述,并沿着四个研究目标提炼我们的研究结果:(i)定义适合安全分析的CUA;(ii)对CUA中的当前安全威胁进行分类;(iii)提出现有防御策略的综合分类;(iv)总结用于评估CUA的安全性和性能的现行基准,数据集和评估指标。 在这些见解的基础上,我们的工作为未来的研究人员提供了一个结构化的基础,用于探索未开发的漏洞,并为从业者在设计和部署安全的计算机使用代理方面提供了可操作的指导。
多语义性 - 单个神经元编码多个不相关的特征 - 是大型神经网络的著名特征,仍然是语言模型可解释性的核心挑战。 同时,它对模型安全的影响也知之甚少。 利用稀疏自动编码器的最新进展,我们研究了两个小模型(Pythia-70M和GPT-2-Small)的多语义结构,并在提示,特征,令牌和神经元级别评估其针对目标,隐蔽干预的脆弱性。 我们的分析揭示了两种模型中共享的一致的多语义拓扑。 引人注目的是,我们证明可以利用这种结构在两个更大的黑箱指令调整模型(LLaMA3.1-8B-Instruct和Gemma-2-9B-Instruct)上进行有效的干预。 这些发现不仅表明干预措施的可推广性,而且还表明一种稳定且可转移的聚语义结构,这种结构可能存在于架构和培训制度中。
同态加密为隐私感知处理提供了许多机会,包括与机器学习相关的方法。 我们现有的许多加密方法在过去已被证明容易受到侧通道攻击。 有了这些,加密方法的实现可以揭示使用的私钥,结果,甚至原始明文的信息。 一个例子包括使用Montgomery方法处理RSA指数,以及0和1在模块化指数的处理时间上的差异。 使用FHE,我们通常使用晶格方法,并且在与侧通道泄漏相关的实施中可能会遇到特定问题。 本文旨在概述与侧通道分析相关的FHE实现中的一系列弱点。 它概述了侧通道分析,一些案例研究和缓解策略的分类。
确保大型语言模型(LLM)的安全性对于负责任的部署至关重要,但现有的评估通常优先考虑性能而不是识别故障模式。 我们引入了Phare,一个多语言诊断框架,用于在三个关键维度上探索和评估LLM行为:幻觉和可靠性,社会偏见和有害内容生成。 我们对17个最先进的LLM的评估揭示了所有安全维度的系统漏洞模式,包括系统,快速灵敏度和刻板印象再现。 通过突出这些特定的故障模式,而不是简单的排名模型,Pare为研究人员和从业者提供了可操作的见解,以构建更强大,对齐和值得信赖的语言系统。
用户和实体行为分析(UEBA)是数据分析的一个广泛分支,试图建立正常的行为配置文件,以检测异常事件。 在用于检测异常的技术中,Deep Autoencoders构成了UEBA任务中最有前途的深度学习模型之一,允许可解释的安全事件检测,可能导致个人数据泄漏,劫持系统或访问敏感业务信息。 在这项研究中,我们介绍了基于UEBA的可解释的异常检测框架的第一个实现,该框架利用Deep Autoencoders与Doc2Vec相结合来处理数值和文本特征。 此外,基于神经网络的理论基础,我们提供了一个新颖的证明,证明了完全连接神经网络的两个广泛使用的定义的等效性。 实验结果表明,拟议的框架能力可以检测从真实攻击数据中有效生成的真实和合成异常,表明这些模型不仅提供了对异常的正确识别,而且还提供了可解释的结果,从而重建了异常的可能起源。 我们的研究结果表明,拟议的UEBA框架可以无缝集成到企业环境中,补充现有的安全系统,以便进行可解释的威胁检测。
我们引入了一种新的框架,用于通过数据截断进行微分私有(DP)统计估计,当数据支持不受限制时,解决DP估计中的一个关键挑战。 传统方法依赖于特定于问题的敏感性分析,限制了其适用性。 通过利用截断统计的技术,我们开发计算高效的DP估计器用于指数型家族分布,包括高斯均值和协方差估计,实现近乎最优的样本复杂性。 以前关于指数家庭的作品只考虑有界限或一维的家庭。 我们的方法通过截断减轻灵敏度,同时使用最大概率估计和DP随机梯度下降仔细纠正引入的偏置。 在此过程中,我们建立了改进的统一收敛保证,为指数家庭的可能性函数,这可能是独立的兴趣。 我们的结果通过截断的统计为DP算法设计提供了通用蓝图。
从具有分层结构的数据集中释放有用的信息,同时保护个人隐私,这是一个重大挑战。 标准的隐私保护机制,特别是差异隐私,通常需要在层次结构的不同级别和组件之间谨慎分配有限的隐私预算。 次优分配可能导致过度噪声,使数据无用,或对敏感信息的保护不足。 本文解决了为分层数据发布提供最佳隐私预算分配的关键问题。 它将这一挑战作为一个受限的优化问题,旨在最大限度地提高数据效用,以完全隐私预算为主体,同时考虑数据粒度和隐私损失之间的固有权衡。 拟议的方法得到了理论分析的支持,并通过对真实分层数据集进行综合实验进行了验证。 这些实验表明,最佳的隐私预算分配显著增强了发布数据的效用,提高了下游任务的性能。
强化学习(RL)代理越来越多地用于模拟复杂的网络攻击,但其决策过程仍然不透明,阻碍了信任,调试和防御准备。 在高风险的网络安全环境中,可解释性对于理解对抗性策略如何随着时间的推移而形成和演变至关重要。 在本文中,我们提出了一个统一的多层可解释性框架,用于基于RL的攻击者代理,该框架揭示了战略(MDP级)和战术(策略级)推理。 在MDP层面,我们将网络攻击建模为部分可观察到的马尔可维使用流程(POMDP),以揭示勘探开发动态和阶段感知行为转变。 在政策层面,我们分析Q值的时间演变,并使用Prioritised Experience Replay(PER)来表面关键的学习过渡和不断变化的行动偏好。 在日益复杂的CyberBattleSim环境中进行评估,我们的框架提供了对大规模代理行为的可解释性见解。 与以前的可解释的RL方法不同,这些方法通常是后特定的,特定领域或深度限制,我们的方法既是代理的,也是与环境无关的,支持从红队模拟到RL策略调试的用例。 通过将黑盒学习转化为可操作的行为智能,我们的框架使防御者和开发人员能够更好地预测、分析和应对自主网络威胁。
Gohr et.al在CRYPTO 2019上的研究和太阳学相关作品表明,神经网络可以发现以前未使用的特征,为密码分析提供了新的见解。 在这些发现的激励下,我们使用神经网络来学习与积分属性相关的特征,并将相应的见解集成到优化的搜索框架中。 这些发现验证了使用神经网络进行特征探索的框架,为研究人员提供了新的见解,从而推进了既定的密码分析方法。 神经网络激发了更精确的整体搜索模型的发展。 通过将神经网络获得的整体区分器与经典方法识别的区分器进行比较,我们观察到现有的自动搜索模型通常无法找到最佳区分器。 为了解决这个问题,我们在中间搜索框架中开发了一个会议,平衡了模型的准确性和计算效率。 因此,我们减少了 SKINNY64/64 上 11 轮积分区分器所需的活动明文位数,并进一步确定了 12 轮关键依赖积分区分器,比之前最知名的结果多出一轮。 神经网络发现的整体区分器可以在更多回合中进行关键恢复攻击。 我们从一个只有主动明文细胞的神经网络中识别一个7轮关键的独立积分区分器,它基于比特的线性组合。 该区分器可实现对 SKINNYn/n 的 15 轮密钥恢复攻击,比之前的记录提高一轮。 此外,我们发现使用神经网络的8轮关键依赖积分区分器,进一步降低了针对SKINNY的关键恢复攻击的时间复杂性。
蜂窝网络需要严格的安全程序和措施,从核心到无线电接入网络(RAN)和最终用户设备。 随着网络变得越来越复杂和相互关联,如在O-RAN部署中,它们面临着许多安全威胁。 因此,确保强大的安全性对于 O-RAN 保护网络完整性和保护用户数据至关重要。 这需要严格的测试方法来减轻威胁。 本文介绍了基于 RAN 的自动化、自适应和可扩展的用户设备 (UE) 安全测试框架,旨在解决现有 RAN 测试解决方案的缺点。 使用商用现成硬件和开源软件构建的5G软件无线电测试台的实验结果验证了RAN Tester UE框架上开发的示例安全测试程序的效率和可重复性。
零售能源市场越来越以消费者为导向,这要归功于众多能源供应商、零售商和中介机构提供的越来越多的能源计划。 为了最大限度地发挥有竞争力的零售能源市场的好处,集团采购是一种新兴的范式,通过协调向特定能源供应商的转换决策来汇总消费者的购买力,以进行打折的能源计划。 传统上,团体购买是由受信任的第三方调解的,后者缺乏隐私和透明度。 在本文中,我们引入了一种分散式隐私保护群体购买的新范式,通过隐私保护区块链和安全的多方计算,使用户能够在没有可信任的第三方的情况下,以分散的方式形成协调交换机决策的联盟。 协调的开关决策由具有竞争力的在线算法决定,基于用户的私人消费数据和当前的能源计划关税。 值得注意的是,在线决策过程中不会向其他人透露私人用户消费数据,该流程以透明可验证的方式进行,以消除不诚实用户的欺诈行为,并通过分担转换成本以激励团体购买来支持公平的相互补偿。 我们在Solidity支持的区块链平台(例如以太坊)上实现了分散的集团购买解决方案,作为智能合约,并提供广泛的实证评估。
我们提出了基因组基础模型(GFM)的第一个统一对抗攻击基准,命名为GenoArmory。 与现有的GFM基准不同,GenoArmory提供了第一个全面的评估框架,以系统地评估GFM对对抗性攻击的脆弱性。 从方法上讲,我们使用四种广泛采用的攻击算法和三种防御策略来评估五种最先进的GFM的对抗性稳健性。 重要的是,我们的基准提供了一个可访问和全面的框架来分析GFM在模型架构,量化方案和培训数据集方面的漏洞。 此外,我们还介绍了GenoAdv,这是一个旨在提高GFM安全性的新型对抗性样本数据集。 与生成模型相比,分类模型在对抗性扰动方面表现出更大的鲁棒性,突出了任务类型对模型脆弱性的影响。 此外,对抗性攻击经常针对具有生物学意义的基因组区域,这表明这些模型有效地捕获了有意义的序列特征。
如今,大型语言模型(LLM)是在庞大的数据集上进行训练的,其中一些包括敏感信息。 这带来了严重的隐私问题,因为隐私攻击(会员推理攻击(MIA)等隐私攻击可能会检测到这些敏感信息。 虽然知识蒸馏将LLM压缩为高效,较小的学生模型,但它对隐私的影响仍然未被充分探索。 在本文中,我们研究了知识蒸馏如何影响模型对MIA的稳健性。 我们专注于两个问题。 首先,私人数据如何在教师和学生模型中得到保护? 其次,我们如何在知识蒸馏中加强对MIA的隐私保护? 通过综合实验,我们表明,虽然教师和学生模型实现了类似的整体MIA准确性,但教师模型更好地保护成员数据,MIA的主要目标,而学生模型更好地保护非成员数据。 为了解决学生模型中的这种漏洞,我们提出了5种隐私保护蒸馏方法,并证明它们成功地降低了学生模型对MIA的脆弱性,从而进一步稳定了稳健性,为蒸馏更安全,更高效的学生模型提供了可靠的方法。 我们的实现源代码可在https://github.com/richardcui18/MIA_in_KD。
形式2n + 1的模数属于一类低成本的奇数模,这些模数经常被选择构成各种残渣号系统(RNS)的基础。 最有效的计算modulo(mod)2n + 1使用所谓的ave-1(D1)表示进行。 因此,从位置号系统到RNS(由一组残渣生成器组成的)的输入转换器可以生成D1形式的残渣mod 2n + 1。 本文介绍了残渣生成器 mod 2n + 1 具有 D1 输出的基本结构。 它是通用的,因为它的初始部分可以很容易地设计为任意p >= 4n,而其最终块 - 4-operand adder mod 2n + 1-为任何p保留相同的结构。 如果一对共轭模数2n +/- 1属于RNS moduli集,则后一种架构可以轻松扩展,以构建p-input bi-residue生成器mod 2n+/-1,它不仅通过共享p - 4n全添加器来保存硬件,还可以直接以D1形式生成残存mod 2n+1。
现代企业网络越来越依赖 Active Directory (AD) 进行身份和访问管理。 然而,这种集中化暴露了一个单一的失败点,允许对手妥协高价值资产。 现有的AD防御方法通常假设静态攻击者行为,但现实世界的对手动态地适应,使这种方法变得脆弱。 为了解决这个问题,我们将AD中的攻击者 - 防御者交互建模为自适应攻击者和主动防御者之间的Stackelberg游戏。 我们提出了一个共同进化的防御框架,将图形神经网络近似动态编程(GNNDP)与进化多样性优化(EFO)建模相结合,以生成弹性阻塞策略。 为了确保可扩展性,我们引入了固定参数可伸缩(FPT)图形还原方法,可降低复杂性,同时保持战略结构。 我们的框架共同完善了攻击者和防御者的政策,以改善推广和防止过早融合。 合成AD图的实验显示了接近最佳的结果(在r500上的最佳值在0.1%以内)和更大的图形(r1000和r2000)上的性能提高,证明了框架的可扩展性和有效性。
有害的微调攻击对大型语言模型(LLM)的安全性构成重大威胁,允许对手以最小的有害数据妥协安全护栏。 虽然现有的防御试图加强LLM对齐,但它们未能解决模型对有害数据固有的“可训练性”,使其容易受到更强的攻击,学习率增加或更大的有害数据集。 为了克服这一关键限制,我们引入了SEAM,这是一种新颖的对齐增强防御,将LLM转化为具有内在弹性的自毁模型,具有对错位尝试的内在弹性。 具体而言,这些模型保留了其用于合法任务的能力,同时在有害数据上微调时表现出实质性的性能下降。 这种保护是通过一种新的损失函数来实现的,该函数将良性和有害数据的优化轨迹耦合在一起,并通过对抗梯度提升来增强自我破坏性效应。 为了进行实践训练,我们开发了一个有效的无赫西安梯度估计值,具有理论误差范围。 跨LLM和数据集的广泛评估表明,SEAM为对手创造了不赢的局面:自我毁灭模型实现了对抗低强度攻击的最先进的鲁棒性,并在高强度攻击下经历灾难性的性能崩溃,使它们实际上无法使用。(警告:本文包含LLM产生的潜在有害内容。)
硬件安全验证是一项具有挑战性且耗时的任务。 为此,设计工程师可以使用诸如正式验证、林荫和功能仿真测试等工具,同时分析和对所检查的硬件设计的深刻理解。 大型语言模型(LLM)已用于协助完成这项任务,无论是直接还是与现有工具相结合。 我们通过提出MARVEL来改善技术状态,MARVEL是一个多代理LLM框架,用于统一决策,工具使用和推理方法。 MARVEL模仿设计师在RTL代码中寻找安全漏洞的认知过程。 它由一个主管代理组成,使用其安全文档设计系统芯片(SoC)的安全策略。 它将验证安全策略的任务委托给各个执行者代理。 每个执行者代理使用特定策略执行其分配的任务。 每个执行者代理可以使用一个或多个工具来识别设计中潜在的安全漏洞,并将结果发送回主管代理进行进一步分析和确认。 MARVEL 包括利用正式工具、林荫、模拟测试、基于 LLM 的检测方案和基于静态分析的检查的执行器代理。 我们根据 Hack@DATE 竞赛中的 OpenTitan 的已知 bug 方法测试我们的方法。 我们发现MARVEL报告的48个问题中有20个构成安全漏洞。
提供量子硬件作为服务以提高性能的第三方云提供商有所增加,以更低的成本提高性能。 尽管这些提供商为用户提供了灵活性,用户可以从几种量子比特技术、量子硬件和耦合图中进行选择;程序的实际执行对客户来说并不清晰可见。 用户程序的成功,除了成本、性能、迭代次数等各种其他元数据要收敛,取决于使用的后端的错误率。 此外,第三方提供商和/或工具(例如,硬件分配器和映射器)可能持有内部/外部对抗代理,通过在容易出错的硬件上运行量子电路来节约资源并实现利润最大化。 因此,重要的是从计算过程的不同角度获得后端的可见性,例如执行,传输和结果。 在本文中,我们估计了原始电路和转导电路后端的错误率。 对于取证,我们利用转导过程的量子位映射和路由步骤选择具有较少单个量子比特和双量子位门错误的量子比特和量子比特对,以最小化整体错误积累,从而为我们提供了有关后端各个部分错误率的线索。 我们根据公开可用的ECR错误率将量子位链接排名到垃圾箱中,并将其与我们对转译者选择的量子位链接相对频率的调查得出的排名进行比较。 对于高达83.5布里斯班,127量子比特IBM后端,我们能够分配一个垃圾箱等级,该等级与根据实际错误率信息分配的垃圾箱等级相差2。
在云中构建现场可编程门阵列系统(FPGA-SoC)上的可信执行环境(TEE)可以有效地保护用户的私人知识产权(IP)核心。 为了促进FPGA-SoC TEE的广泛部署,本文提出了在FPGA-SoC上构建TPM 2.0兼容运行时可定制的TEE的方法。 该方法利用用户可控制的虚拟可信平台模块(vTPM),该模块集成了FPGA-SoC TEE特有的敏感操作。 它为可定制的 FPGA-SoC TEE 提供 TPM 2.0 支持,以便在运行时动态测量、部署和调用 IP。 我们的主要贡献包括:(i) 提出 FPGA-vTPM 架构,支持 FPGA-SoC TEE 的 TPM 2.0 规范;(ii) 探索 FPGA-vTPM 在 FPGA-SoC TEE 上动态测量、部署和调用用户的 IP 的利用;(iii) 扩展 TPM 命令集以适应 FPGA-SoC TEE 的敏感操作,使用户能够以安全的方式执行敏感任务。 我们在 Xilinx Zynq UltraScale+ MPSoC 平台上实现了 TRCEE 的原型,并进行了安全分析和性能评估,以证明这种方法的实用性和增强的安全特性。
Federated 推荐系统 (FedRec) 已成为通过协作训练技术保护用户数据的解决方案。 典型的FedRec涉及在边缘设备和服务器之间传输完整的模型和整个重量更新,给带宽和计算能力有限的设备造成重大负担。 虽然嵌入更新的很少性为有效载荷优化提供了机会,但现有的Sbarsity-aware联合协议通常会牺牲隐私来提高效率。 设计安全稀疏感知高效协议的一个关键挑战是保护额定项目索引免受服务器的影响。 在本文中,我们提出了一个关于稀疏嵌入更新(SecEmb)的无损安全推荐系统。 SecEmb 减少了用户有效载荷,同时确保服务器除了聚合模型之外,不会学习任何有关额定项目索引和单个更新的信息。 该协议由两个相关的模块组成:(1)一个隐私保护嵌入检索模块,允许用户从服务器下载相关的嵌入,(2)一个更新聚合模块,安全地聚合在服务器上的更新。 经验分析表明,与安全的FedRec协议相比,SecEmb将下载和上传通信成本降低了90倍,并将用户端计算时间降低了70倍。 此外,与有损的消息压缩方法相比,它提供了不可忽略的实用工具优势。
随着技术的进步,Android恶意软件继续对设备和敏感数据构成重大威胁。 Android OS的开源特性及其SDK的可用性有助于这种快速增长。 传统的恶意软件检测技术,如基于签名、静态和动态分析,难以检测使用加密、打包或压缩的混淆威胁。 虽然已经提出了基于深度学习(DL)的可视化方法,但它们往往无法有效地突出关键的恶意功能。 这项研究引入了MalVis,这是一个统一的可视化框架,集成了熵和N-gram分析,以强调恶意软件字节码中的结构和异常模式。 MalVis解决了先前方法的关键限制,包括特征表示不足,可解释性差以及数据可访问性有限。 该框架利用新引入的大规模数据集MalVis数据集,其中包含超过130万个视觉样本,包括9个恶意软件类和一个良性类。 我们使用领先的CNN模型评估MalVis与最先进的可视化技术:MobileNet-V2,DenseNet201,ResNet50和Inception-V3。 为了提高性能并减少过度拟合,我们实施了八种集成学习策略。 此外,低估技术可减轻多类设置中的类不平衡。 MalVis取得强劲成绩:95.19 90.81 ROC-AUC。 这些发现证明了MalVis在实现准确,可解释的恶意软件检测方面的有效性,并为安全研究和应用程序提供了宝贵的资源。
以太坊上的诈骗合约与DeFi和NFT生态系统的兴起一起迅速发展,利用越来越复杂的代码混淆技术来避免早期检测。 本文系统地调查了混淆如何放大欺诈合同的财务风险并破坏现有的审计工具。 我们提出了一个以转移为中心的混淆分类,提炼七个关键特征,并介绍了ObProbe,一个执行字节码级智能合约分析的框架,以发现混淆技术,并通过Z-score排名量化混淆的复杂性。 在对103万份以太坊合约的大规模研究中,我们隔离了3000多个高度混淆的合同,并确定了两个骗局原型,三个高风险合约类别和MEV机器人,它们采用各种混淆操作,如内联组装,死代码插入和深度函数拆分。 我们进一步表明,混淆大大增加了财务损失的规模和直至被发现的时间。 最后,我们评估SourceP,一个最先进的庞氏检测工具,在混淆和非混淆的样品上,并观察其在现实世界中从大约80%下降到大约12%。 这些发现突出表明,迫切需要加强防混淆分析技术和更广泛的社区合作,以阻止不断扩大的DeFi生态系统中诈骗合同的扩散。