bg05.jpg

榜样的力量——2021年中国科学院优秀博士学位论文获得者:刘丙昌

  • 发布者: 刘冬
  • 日期:2022-03-28
  • 1904

获奖论文

       论文题目:基于补丁的漏洞逆向发现技术研究

       主要创新点:

  • 提出深度学习增益的二进制代码比对技术,实现从二进制机器码提取鲁棒性更高的比对特征,将有效比对特征来源数据拓展到更低层次。
  • 构建并发布了两个大规模(百万级)数据集,为研究者使用深度学习方法开展二进制代码相似性检测等相关研究提供了有力支撑。
  • 提出双层图距离制导的导向模糊测试与控制流支配序列制导的导向符号执行组合方案,以互补形式弥补了单项技术的不足,实现生成率和生成效率双提高。
  • 研究了漏洞在软件代码空间、漏洞类型、漏洞代码模式和漏洞代码引入者等维度上的分布规律,发现漏洞分布存在局部性现象,揭示了造成此种现象的潜在成因,一定程度上填补了当前漏洞分布研究空白,将发现的分布规律用于指导0day漏洞发现方法,挖掘出10个漏洞,探索出一条基于补丁间接发现0day漏洞的新途径。除此之外,揭示了当前漏洞修补实践普遍存在的“报一补一”问题。

 

作者简介

 

实验室工位抓拍

       刘丙昌,主要研究方向是基于补丁的漏洞逆向发现技术,指导教师是邹维教授。在学期间以一作身份发表CCF A类论文2篇,合作发表CCF A类论文1篇、CCF B类论文2篇。重点参与了“漏洞挖掘系统构建与应用”、“漏洞库建设运维服务”、“代码特征学习”等项目。曾获微软全球Top 100 Security Researchers、Microsoft/Google/Facebook Top Security Researcher、国家奖学金、中科院院长优秀奖、信工所优秀毕业生等。

       2020年以“阿里星”入职蚂蚁科技集团。日常喜欢动漫(资深海贼迷)、羽毛球(人菜瘾大),在学期间经常负责组织研究室的羽毛球日常活动。

导师简介

       邹维,国科大网络空间安全学院副院长,中科院信息工程研究所副所长。长期从事网络与软件安全等方面的研究工作,是网络安全优秀人才奖获得者,中科院优秀导师,中国计算机学会及北京大学优秀博士论文指导教师。邹维教授带领教学团队取得“网络与软件安全研究生三型人才培养探索与实践”成果,该成果获中科院教育教学成果奖二等奖,国科大教育教学成果奖,教学团队获国科大领雁奖章。

【科研学习经历】

  • 2015-2016年,因0day漏洞提交贡献入选微软2016 MSRC Top 100 Security Researchers (排名89),受邀参加BlueHat v16(微软·美国)以及BountyCraft 2016和2017。
  • 2016-2017年,发现各类开源/闭源软件的0day漏洞数十个,被授予CVE编号20多项;逆向发现Windows GDI、Windows Journal、Microsoft Office Word等无公开PoC的1day漏洞十余个。
  • 2018年,在软件工程领域顶会ASE (CCF A类)上以一作身份发表论文αDiff: Cross-Version Binary Code Similarity Detection with DNN。该论文首次尝试从机器码层面提取用于二进制代码相似性比对的特征,相较当时代表性的工业工具和学术成果具有更好的效果,同时构建并发布了一个大规模的公开数据集。同年,在360主办的互联网安全大会(ISC 2018)的“人工智能与安全”论坛上分享该研究成果。
  • 2020年,在软件工程领域顶会ICSE (CCF A类)上以一作身份发表论文A Large-Scale Empirical Study on Vulnerability Distribution within Projects and the Lessons Learned。该论文研究了漏洞在软件代码空间、漏洞类型、漏洞代码模式和漏洞代码引入者等维度上的分布规律,发现漏洞分布存在局部性现象,揭示了造成此种现象的潜在成因,一定程度上填补了当前漏洞分布研究的空白,并将规律成功应用于指导0day漏洞发现。

【经验分享】

       在求学期间,导师要求我们按照“科研实践”-“把握前沿”-“创新实验”-“论文撰写”四个阶段进行规划安排,并提供了原则性的指导。他提倡的“三型人才”培养模式也让我及早明确了合适的科研定位,对我顺利完成学业产生了重要影响。同时,导师敏锐的学术判断力和前瞻力,总能在关键时刻给出合理的决策,为我指明方向;他以身作则、严谨、精益求精的言行也一直感染着我。

       在平台方面,第六研究室推动建设的VARAS平台为我进行科研实践和创新实验提供了重要支撑。研究所建立起的各类学术交流通道和项目实践大平台也为我提供了诸多机会与帮助。

       入学之初,我在科研基础和科研能力两个方面都不出色,那时觉得顶会是那么可望不可及。然而,我相信“别人能做到的自己也能做到”,这一信念支撑我完成了博士学业。犹记在实验室度过的数不清的夜晚,也记得在首篇文章发表前经历过较严重的心理焦虑,通过坚持参加每周的羽毛球活动,与同学及时沟通交流,我渡过了那段时光,也深刻体会到读博是对身心的磨砺。师弟师妹们都非常优秀,我想,只要能够“脚踏实地、相信自己、敢于挑战”,终能达成目标。加油!