基本信息

霍玮

中国科学院信息工程研究所研究员

中国科学院大学网络空间安全学院教授

博士生导师

中国科学院青年创新促进会成员
电子邮件: huowei@iie.ac.cn
通信地址: 北京市海淀区闵庄路甲89号
邮政编码: 100093

总体介绍

第六研究室软件安全分析研究群组负责人,中国科学院青年创新促进会成员,信工所优秀引进人才。主要研究领域包括软件漏洞挖掘、利用和安全评测、基于大数据及知识图谱的软件安全分析、信息系统(包括云、智能终端、硬件、网络设备、web、AI等)安全分析等。迄今为止主持和参与项目30余项。在国内外高水平会议和刊物上发表学术论文30余篇,包括ICSE、ASE、TSE、DSN、CGO等,申请10余项专利。目前主要开展规模化、智能化及协同化漏洞挖掘及风险评估关键技术和系统的研发,关注基于云计算及大数据的新型漏洞挖掘利用技术和关键支撑技术,培养漏洞挖掘、程序分析及大数据系统构建等方面的人才。作为技术负责人,自主研发了国家级漏洞分析与风险评估平台VARAS,挖掘零日漏洞二百余个,获微软、谷歌、思科等厂商的致谢并获CVE编号百余个。VARAS团队成员,参加GeekPWN、XPWN、NASAC、阿里供应链大赛等,获得优异成绩;多人入选微软全球Top 100安全研究者,并有多名学生获得全国网络安全奖学金及国家奖学金等。

招生信息

   
招生专业
083900-网络空间安全
0812Z1-信息安全
招生方向
软件安全分析理论与技术,网络安全评测,网络攻防

教育背景

2003-09--2010-06   中国科学院计算技术研究所   博士研究生,工学博士
1999-09--2003-06   中国科学技术大学   本科,工学学士

教授课程

漏洞利用与攻防实践
软件安全原理
软件安全与脆弱性分析

专利与奖励

   
奖励信息
(1) 软件评测, 特等奖, 研究所(学校), 2016
专利成果
( 1 ) 一种检测运行栈与静态数据区重叠的方法, 发明, 2005, 第 2 作者, 专利号: 200510093280.6
( 2 ) 一种动态断点的自动生成方法及系统, 发明, 2012, 第 2 作者, 专利号: 201210447321.7
( 3 ) 软件开发工具的测试方法及系统, 发明, 2010, 第 1 作者, 专利号: 201010204249.6
( 4 ) 一种支持用规则记录变量访问专用寄存器组的处理方法, 发明, 2005, 第 3 作者, 专利号: 200510093279.3
( 5 ) 一种基于传播引擎的错误检测方法及系统, 发明, 2013, 第 2 作者, 专利号: 201310284541.7
( 6 ) 一种基于依赖强度的日志推荐方法, 发明, 2013, 第 2 作者, 专利号: 201310379397.5
( 7 ) 一种无损压缩系统依赖图的方法及装置, 发明, 2012, 第 2 作者, 专利号: 201210584770.6
( 8 ) 一种并发分析的方法及装置, 发明, 2013, 第 2 作者, 专利号: 201310262639.2
( 9 ) 一种计算机软件白盒测试的实现方法及系统, 发明, 2009, 第 3 作者, 专利号: 200910242657.8
( 10 ) 黑盒与白盒相结合的执行反馈驱动的并行模糊测试方法, 发明, 2015, 第 2 作者, 专利号: ZL2015101910028
( 11 ) 一种云环境中Flush‑Reload缓存侧信道攻击防御方法和装置, 发明, 2018, 第 5 作者, 专利号: CN107622199A
( 12 ) 基于关键词导向的主题网络爬虫的数据搜集方法, 发明, 2017, 第 4 作者, 专利号: CN106339378A
( 13 ) 带有三维漏洞数据可视化界面的展示装置, 外观设计, 2018, 第 3 作者, 专利号: CN304694771S
( 14 ) 一种基于策略的自动化程序分析系统和方法, 发明, 2016, 第 5 作者, 专利号: CN106155880A
( 15 ) 一种面向目标的测试用例生成方法及系统, 发明, 2018, 第 5 作者, 专利号: 201810713776.6
( 16 ) 一种面向多种补丁模式的差异分支识别方法及系统, 发明, 2018, 第 5 作者, 专利号: 201810718977.5

出版信息

   
发表论文
(1) SRFuzzer:自动化实体路由器模糊测试框架, SRFuzzer: An Automatic Fuzzing Framework for Physical SOHO Router Devices to Discover Multi-Type Vulnerabilities, The 35th Annual Computer Security Applications Conference (ACSAC), 2019-12, 通讯作者
(2) B2SFinder:检测商用软件中的开源程序复用, B2SFinder: Detecting Open-Source Software Reuse in COTS Software, The 34th IEEE/ACM International Conference on Automated Software Engineering, 2019-11, 其他(合作组作者)
(3) 大规模二进制程序中开源协议违反检测, Open-Source License Violations of Binary Software at Large Scale, 26th IEEE International Conference on Software Analysis, Evolution and Reengineering, 2019, 其他(合作组作者)
(4) 1dvul:通过二进制补丁发现1day漏洞, 1dVul: Discovering 1-day Vulnerabilities through Binary Patches, The 49th IEEE/IFIP International Conference on Dependable Systems and Networks, 2019, 第 7 作者
(5) 安卓市场中大规模的第三库检测技术, Large-scale Third-party Library Detection in Android Markets, IEEE Transactions on Software Engineering, 2018, 第 8 作者
(6) αDiff: cross-version binary code similarity detection with DNN, Proceedings of the 33rd ACM/IEEE International Conference on Automated Software Engineering, 2018, 通讯作者
(7) 基于模式生成的浏览器模糊测试技术, BROWSER FUZZING BASED ON PATTERN-GENERATION, 软件学报, 2018, 第 1 作者
(8) 可编程模糊测试技术, Programmable Fuzzing Technology, 软件学报, 2018, 第 2 作者
(9) LibD: Scalable and Precise Third-party Library Detection in Android Markets, ICSE, 2017, 第 8 作者
(10) Locating Software Faults Based on Minimum Debugging Frontier Set, TSE, 2017, 第 3 作者
(11) 面向动态生成代码的攻防技术综述, 信息安全学报, 2016, 通讯作者
(12) 动态资源感知的并行化模糊测试框架, 计算机应用研究, 2016, 第 3 作者
(13) 基于静态生成的浏览器漏洞挖掘技术, 计算机工程, 2016, 第 2 作者
(14) 一种场景敏感的高效错误检测方法, 软件学报, 2014, 第 2 作者
(15) Effective Fault Localization Based on Minimum Debugging Frontier Set, International Symposium on Code Generation and Optimization, 2013, 第 2 作者
(16) 一种基于最小调试边界的断点自动生成技术, 软件学报, 2013, 第 2 作者
(17) 基于传播引擎的指针引用错误检测, 计算机学报, 2013, 第 2 作者
(18) Can We Make It Faster Efficient May-Happen-in-Parallel Analysis Revisited, International Conference on Parallel and Distributed Computing, Applications and Technologies, 2012, 第 2 作者
(19) Making It Practical and Effective: Fast and Precise May-Happen-in-Parallel Analysis, International conference on parallel architectures and compilation techniques(poster), 2012, 第 2 作者
(20) 一种提高时序安全属性静态检测实用性的方法, 计算机学报, 2012, 第 1 作者
(21) 静态检测中断驱动程序的数据竞争, 计算机研究与发展, 2011, 第 1 作者
发表著作
   

科研活动

   
科研项目
( 1 ) 针对多线程程序失效的用户级半自动诊断方法研究, 主持, 国家级, 2012-01--2014-12
( 2 ) 基于云计算的移动互联网应用安全检测技术研究, 参与, 部委级, 2014-01--2014-12
( 3 ) 引进青年人才, 主持, 市地级, 2014-03--2017-02
( 4 ) VA145, 主持, 研究所(学校), 2014-05--2016-04
( 5 ) XX测试床, 主持, 部委级, 2015-01--2017-09
( 6 ) XX挖掘平台, 主持, 市地级, 2015-10--2016-09
( 7 ) 行业场景构建与漏洞分析关键技术研究, 主持, 省级, 2016-01--2017-12
( 8 ) 国家漏洞XX资源库及XX, 主持, 国家级, 2016-11--2017-11
( 9 ) XX代码审计, 参与, 国家级, 2016-06--2016-12
( 10 ) 模糊测试技术, 主持, 国家级, 2017-09--2020-09
( 11 ) XX发现与溯源, 参与, 部委级, 2018-10--2023-09
( 12 ) XX漏洞挖掘, 主持, 研究所(学校), 2019-01--2019-12

指导学生

已指导学生

叶菁  硕士研究生  081202-计算机软件与理论  

戴戈  硕士研究生  0812Z1-信息安全  

刘宁逸  硕士研究生  0812Z1-信息安全  

彭佳琪  硕士研究生  085211-计算机技术  

现指导学生

冯牧玥  硕士研究生  083900-网络空间安全  

王世阳  硕士研究生  085212-软件工程  

向浩  硕士研究生  085212-软件工程  

陈婧婷  博士研究生  083900-网络空间安全  

周建华  博士研究生  083900-网络空间安全  

卢昊良  硕士研究生  083900-网络空间安全  

彭跃  硕士研究生  085211-计算机技术  

汤仟  硕士研究生  085211-计算机技术  

尹嘉伟  硕士研究生  083900-网络空间安全  

林巍  博士研究生  083900-网络空间安全  

孙晴  博士研究生  083900-网络空间安全  

刘益铭  博士研究生  083900-网络空间安全  

简鲲鹏  博士研究生  083900-网络空间安全  

苏赫  博士研究生  083900-网络空间安全  

刘龙权  硕士研究生  085211-计算机技术  

班固  硕士研究生  083900-网络空间安全  

谭凌霄  硕士研究生  085211-计算机技术