2021年4月20日,清华大学张超教授访问网络与密码技术重点实验室,并与当日晚上在腾讯会议(ID:646718105)作了题为“数据流敏感的漏洞挖掘方法”的学术报告。
在报告中,张超教授首先向师生介绍其带领的白帽黑客团队“蓝莲花”和“紫荆花”,并介绍战队在国际赛事中的辉煌战绩,接着指出攻防实践中传统漏洞挖掘存在静态分析误报高,动态分析漏报高,符号执行可扩展性差的缺陷,张超教授所在团队针对此缺陷从当前主流漏洞挖掘方法Fuzzing出发,通过分析经典模糊测试工具AFL的实现原理,构建出面向代码覆盖率的模糊测试方法CollAFL,数据流制导的模糊测试方法GreyOne,基于学习的智能变异调度的模糊测试方法MOpt和自动分析测试接口的模糊测试方案FANS等漏洞挖掘方案,最后指出Fuzzing仍面临着测试效率优化,进化方向调整等诸多挑战。
本次报告引发在场学生尤其是本科生对CTF网络安全大赛的兴趣与热情,最后张超教授与在场师生对高校CTF网络安全大赛的学生技术培训与规划作出深入交流并提出宝贵的建议。
报告人简介:张超博士,清华大学副教授(博导),蓝莲花战队教练。获得清华大学”学术新人奖”、某海外人才计划、 MIT TR35 China、求是杰出青年学者、中国科协青年人才托举工程等奖励和荣誉。主要研究软件和系统安全,尤其是智能攻防方向,在国际四大安全会议发表论文17篇。在自动攻防研究方面,提出的漏洞挖掘方案发现500多个未知漏洞,获得腾讯CSS安全探索论坛专业奖;防御方案获得微软BlueHat竞赛特别提名奖;自动漏洞利用方案获得腾讯CSS安全探索论坛突破奖;带队研发了自动攻防系统,获得了美国国防部DARPA CGC机器自动攻防竞赛初赛防御第一、决赛攻击第二。在攻防实践方面,获得Defcon CTF攻防夺旗赛2016年团队第二名等国内破纪录成绩。