基本信息

李丰  女  硕导  中国科学院信息工程研究所
电子邮件: lifeng@iie.ac.cn
通信地址: 北京市海淀区树村路19号
邮政编码:

研究领域

主要从事软件漏洞挖掘相关支撑技术的研究及工具的研发,重点关注针对源代码、二进制代码形式的协议软件、设备固件、大数据平台及应用中漏洞静态检测及模糊测试新方法。

招生信息

   
招生专业
083900-网络空间安全
招生方向
软件安全理论与分析技术

工作经历

   
工作简历
2017-07~现在, 中国科学院信息工程研究所, 副研究员
2013-01~2017-07,中国科学院计算技术研究所, 助理研究员

专利与奖励

   
专利成果
[1] 郝高健, 李丰, 许丽丽, 霍玮, 邹维. 基于妨碍特征的模糊测试工具测试方法及电子装置. CN: CN112631901B, 2023-08-08.
[2] 薄德芳, 李丰, 肖扬, 俞晨东, 许丽丽, 卢志刚, 霍玮. 一种基于关键语义特征的安全检查缺陷检测方法. CN: CN114490313A, 2022-05-13.
[3] 李丰, 徐明杰, 陈婧婷, 周怡, 霍玮. 一种网络协议软件的安全机制缺陷检测方法. CN: CN113742724A, 2021-12-03.
[4] 李文超, 李丰, 薄德芳, 周建华, 霍玮. 一种基于可达性分析的组件间交互威胁检测方法及装置. CN: CN113626823A, 2021-11-09.
[5] 霍玮, 袁子牧, 冯牧玥, 李丰, 班固, 肖扬. 一种基于代码特征的二进制代码与源代码相似性分析方法与装置. CN: CN111078227B, 2021-08-31.
[6] 袁子牧, 冯牧玥, 霍玮, 李丰, 肖扬, 班固. 一种二进制代码与源代码间复用关系的识别方法与装置. CN: CN111045670B, 2021-07-13.
[7] 郝高健, 李丰, 许丽丽, 霍玮, 邹维. 基于妨碍特征的模糊测试工具测试方法及电子装置. CN: CN112631901A, 2021-04-09.
[8] 邹燕燕, 尹嘉伟, 霍玮, 朴爱花, 李丰, 刘宝旭, 邹维. 一种基于变异策略的并行模糊测试调度方法及装置. CN: CN110147310A, 2019-08-20.
[9] 李丰, 康炎丽, 冯晓兵. 一种查询计划转化方法及装置. CN: CN105630789B, 2019-07-12.
[10] 李丰, 张赟, 王蕾, 冯晓兵. 批量数据查询方法和装置. CN: CN106202102B, 2019-04-05.
[11] 李丰, 王蕾, 张赟, 冯晓兵. 一种查询语句的优化方法和装置. CN: CN105701128B, 2019-03-08.
[12] 李丰, 彭佳琪, 刘丙昌, 许丽丽, 陈宏程, 刘炳宏, 霍玮, 邹维. 一种面向多种补丁模式的差异分支识别方法及系统. CN: CN109241737A, 2019-01-18.
[13] 李丰, 彭佳琪, 刘丙昌, 许丽丽, 陈宏程, 刘炳宏, 霍玮, 邹维. 一种面向目标的测试用例生成方法及系统. CN: CN109117364A, 2019-01-01.
[14] 陈聪明, 霍玮, 李丰, 冯晓兵. 一种并发分析方法及装置. CN: CN104679484B, 2018-02-06.
[15] 衷璐洁, 霍玮, 李丰, 张兆庆. 路径敏感检测方法和装置. CN: CN104866417B, 2018-01-02.
[16] 陈聪明, 霍玮, 李丰, 冯晓兵. 指针分析方法及装置. CN: CN104657257B, 2017-11-17.
[17] 陈聪明, 霍玮, 李丰, 冯晓兵. 一种并发分析的方法及装置. CN: CN104252346B, 2017-08-29.
[18] 李丰, 霍玮, 陈聪明, 衷璐洁, 张兆庆, 冯晓兵. 一种无损压缩系统依赖图的方法及装置. CN: CN103902273B, 2017-07-07.
[19] 李丰, 霍玮, 陈聪明, 冯晓兵. 一种程序日志检测方法、推荐方法及各自对应的装置. CN: CN104424097B, 2017-06-27.
[20] 李丰, 张赟, 王蕾, 冯晓兵. 批量数据查询方法和装置. CN: CN106202102A, 2016-12-07.
[21] 李丰, 王蕾, 张赟, 冯晓兵. 一种查询语句的优化方法和装置. CN: CN105701128A, 2016-06-22.
[22] 李丰, 王蕾, 张赟, 冯晓兵. 批量数据查询方法和装置. CN: CN105677683A, 2016-06-15.
[23] 李丰, 康炎丽, 冯晓兵. 一种查询计划转化方法及装置. CN: CN105630789A, 2016-06-01.
[24] 衷璐洁, 霍玮, 李丰, 张兆庆. 路径敏感检测方法和装置. CN: CN104866417A, 2015-08-26.
[25] 陈聪明, 霍玮, 李丰, 冯晓兵. 一种并发分析方法及装置. CN: CN104679484A, 2015-06-03.
[26] 陈聪明, 霍玮, 李丰, 冯晓兵. 指针分析方法及装置. CN: CN104657257A, 2015-05-27.
[27] 李丰, 霍玮, 陈聪明, 冯晓兵. 一种程序日志检测方法、推荐方法及各自对应的装置. CN: CN104424097A, 2015-03-18.
[28] 李丰, 霍玮, 陈聪明, 李龙, 衷璐洁, 冯晓兵. 一种动态断点的自动生成方法及系统. CN: CN102968369B, 2015-02-04.
[29] 衷璐洁, 霍玮, 李丰, 陈聪明, 冯晓兵, 张兆庆. 一种程序的错误检测方法及设备. CN: CN104281519A, 2015-01-14.
[30] 陈聪明, 霍玮, 李丰, 冯晓兵. 一种并发分析的方法及装置. CN: CN104252346A, 2014-12-31.
[31] 李丰, 霍玮, 陈聪明, 衷璐洁, 张兆庆, 冯晓兵. 一种无损压缩系统依赖图的方法及装置. CN: CN103902273A, 2014-07-02.
[32] 李丰, 霍玮, 陈聪明, 李龙, 衷璐洁, 冯晓兵. 一种动态断点的自动生成方法及系统. CN: CN102968369A, 2013-03-13.
[33] 霍玮, 丁兆伟, 于洪涛, 李丰, 陈聪明, 王雪, 张兆庆, 冯晓兵. 软件开发工具的测试方法及系统. CN: CN101866315B, 2013-01-02.
[34] 陈聪明, 李丰, 冯晓兵, 霍玮. 一种计算机软件白盒测试的实现方法及系统. CN: CN101710305B, 2012-04-18.
[35] 霍玮, 丁兆伟, 于洪涛, 李丰, 陈聪明, 王雪, 张兆庆, 冯晓兵. 软件开发工具的测试方法及系统. CN: CN101866315A, 2010-10-20.
[36] 陈聪明, 李丰, 冯晓兵, 霍玮. 一种计算机软件白盒测试的实现方法及系统. CN: CN101710305A, 2010-05-19.

出版信息

   
发表论文
[1] 刘益铭, 张岑, 李丰, 李页霆, 周建华, 王翦, 湛蓝蓝, Liuyang, 霍玮. Semantic-Enhanced Static Vulnerability Detection in Baseband Firmware. International Conference on Software Engineering (ICSE)null. 2024, [2] 周建华, 李丰, 湛蓝蓝, 杜跃进, 霍玮. 一种基于无害处理识别的嵌入式设备漏洞检测方法. 信息安全研究[J]. 2023, 9(10): 954-960, http://lib.cqvip.com/Qikan/Article/Detail?id=7110577256.
[3] 陈婧婷, 李丰, 陈晴方, 李平, 许丽丽, 霍玮. EBugDec: Detecting Inconsistency Bugs caused by RFC Evolution in Protocol Implementations. International Symposium on Research in Attacks, Intrusions and Defenses (RAID)null. 2023, [4] 刘丽艳, 李丰, 邹燕燕, 周建华, 朴爱花, 刘峰, 霍玮. SiCsFuzzer:基于稀疏插桩的闭源软件模糊测试方法. 信息安全学报[J]. 2022, 7(4): 55-70, http://lib.cqvip.com/Qikan/Article/Detail?id=7107787220.
[5] chen jingting, 李丰, 徐明杰, 周建华, 霍玮. RIBDetector: an RFC-guided Inconsistency Bug Detecting Approach for Protocol Implementations.. SANERnull. 2022, [6] 孙晴, 许丽丽, 肖扬, 李丰, 苏赫, 刘益铭, Hongyun Huang, 霍玮. VERJava: Vulnerable Version Identification for Java OSS with a Two-Stage Analysis. 2022 IEEE International Conference on Software Maintenance and Evolution (ICSME)null. 2022, [7] 苏赫, 许丽丽, 晁会娜, 李丰, 袁子牧, 周建华, 霍玮. A Sanitizer-centric Analysis to Detect Cross-Site Scripting in PHP Programs. 2022 IEEE International Symposium on Software Reliability Engineering (ISSRE)null. 2022, [8] 李丰. 一种基于妨碍特征的模糊测试工具测评方法. 信息安全学报. 2021, [9] 李丰. HiveAttacker:一个针对Hive数据仓库的两阶段安全性检测方案. 信息安全学报. 2021, [10] 陆杰, 李丰, 李炼, 冯晓兵, xue jingling. CloudRaid: Detecting Distributed Concurrency Bugs via Log-Mining and Enhancement. IEEE Transactions on Software Engineering[J]. 2021, [11] 李丰, 朴爱花, 霍玮, 刘宝旭, 邹维. 固件安全检测技术概述. 保密科学技术[J]. 2021, 3-9, http://lib.cqvip.com/Qikan/Article/Detail?id=7106532998.
[12] He, Xiaoyu, Xiaofei Xie, Yuekang Li, Sun Jianwen, Feng Li, Zou Wei, Yang Liu, Lei Yu, Jianhua Zhou, 石文昌, Wei Huo. SoFi: Reflection-Augmented Fuzzing for JavaScript Engines. ACM Conference on Computer and Communications Securitynull. 2021, https://dl.acm.org/doi/10.1145/3460120.3484823.
[13] 刘峰. SiCsFuzzer:基于稀疏插桩的闭源软件模糊测试方法. 信息安全学报. 2020, [14] Lili Xu, Mingjie Xu, Feng Li, Wei Huo. ELAID:detecting integer-Overflow-to-Buffer-Overflow vulnerabilities by light-weight and accurate static analysis. CYBERSECURITY[J]. 2020, 3(1): 1-19, http://lib.cqvip.com/Qikan/Article/Detail?id=7103849820.
[15] Xiao, Yang, Chen, Bihuan, Yu, Chendong, Xu, Zhengzi, Yuan, Zimu, Li, Feng, Liu, Binghong, Liu, Yang, Huo, Wei, Zou, Wei, Shi, Wenchang. MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures. PROCEEDINGS OF THE 29TH USENIX SECURITY SYMPOSIUMnull. 2020, 1165-1182, [16] Liu, Bingchang, Meng, Guozhu, Zou, Wei, Gong, Qi, Li, Feng, Lin, Min, Sun, Dandan, Huo, Wei, Zhang, Chao. A Large-Scale Empirical Study on Vulnerability Distribution within Projects and the Lessons Learned. 2020 ACM/IEEE 42ND INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING (ICSE, CCF-A)null. 2020, 1547-1559, [17] He, Xiaoyu, Erick Bauman, Li Feng, Yu Lei, Linyu Li, Liu, Bingchang, Piao, Aihua, Kevin W. Hamlen, Huo Wei, Zou Wei. Exploiting the Trust Between Boundaries: Discovering Memory Corruptions in Printers via Driver-Assisted Testing. LCTES 2020 (CCF-B类)null. 2020, https://dl.acm.org/doi/10.1145/3372799.3394363.
[18] Peng, Jiaqi, Li, Feng, Liu, Bingchang, Xu, Lili, Liu, Binghong, Chen, Kai, Huo, Wei, IEEE. 1dVul: Discovering 1-day Vulnerabilities through Binary Patches. 2019 49TH ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS (DSN 2019)null. 2019, 605-616, [19] 陆杰, 李丰, 李炼. 分布式系统中的日志分析及应用. 高技术通讯[J]. 2019, 29(4): 303-320, http://lib.cqvip.com/Qikan/Article/Detail?id=7001801303.
[20] Jie Lu, Feng Li, Lian Li. AgamottoEye:Recovering Request Flow for Cloud Systems via Log Analysis. 计算机科学研究(英文)[J]. 2019, 1(2): 30-34, http://lib.cqvip.com/Qikan/Article/Detail?id=7100607709.
[21] Hao, Gaojian, Li, Feng, Huo, Wei, Sun, Qing, Wang, Wei, Li, Xinhua, Zou, Wei, IEEE. Constructing Benchmarks for Supporting Explainable Evaluations of Static Application Security Testing Tools. 2019 13TH INTERNATIONAL SYMPOSIUM ON THEORETICAL ASPECTS OF SOFTWARE ENGINEERING (TASE 2019)[J]. 2019, 65-72, [22] Lu, Jie, Li, Feng, Li, Lian, Feng, Xiaobing, Leavens, GT, Garcia, A, Pasareanu, CS. CloudRaid: Hunting Concurrency Bugs in the Cloud via Log-Mining. ESEC/FSE'18: PROCEEDINGS OF THE 2018 26TH ACM JOINT MEETING ON EUROPEAN SOFTWARE ENGINEERING CONFERENCE AND SYMPOSIUM ON THE FOUNDATIONS OF SOFTWARE ENGINEERINGnull. 2018, 3-14, http://dx.doi.org/10.1145/3236024.3236071.
[23] Zhong, Lujie, Yew, PenChung, Huo, Wei, Li, Feng, Feng, Xiaobing, Zhang, Zhaoqing. RARE: An Efficient Static Fault Detection Framework for Definition-Use Faults in Large Programs. IEEE ACCESS[J]. 2018, 6: 10432-10444, https://doaj.org/article/0fba3cde9e9043a59f2cad4e26371032.
[24] Mingjie Xu, Qingjia Huang, Shengnan Li, Lili Xu, Feng Li, Wei Huo. A Light-weight and Accurate Method of Static Integer-Overflow-to-Buffer-Overflow Vulnerability Detection. The 14th International Conference on Information Security and Cryptology (Inscypt)[J]. 2018, [25] 康炎丽, 李丰, 王蕾. 一种面向数据仓库周期性查询的增量优化方法. 软件学报[J]. 2017, 28(8): 2126-2147, http://lib.cqvip.com/Qikan/Article/Detail?id=672959956.
[26] 王蕾, 李丰, 李炼, 冯晓兵. 污点分析技术的原理和实践应用. 软件学报[J]. 2017, 28(4): 860-882, http://lib.cqvip.com/Qikan/Article/Detail?id=671917931.
[27] Li, Feng, Li, Zhiyuan, Huo, Wei, Feng, Xiaobing. Locating Software Faults Based on Minimum Debugging Frontier Set. IEEE TRANSACTIONS ON SOFTWARE ENGINEERING[J]. 2017, 43(8): 760-776, https://www.webofscience.com/wos/woscc/full-record/WOS:000407693000004.
[28] 衷璐洁, 霍玮, 李龙, 李丰, 冯晓兵, 张兆庆. 一种场景敏感的高效错误检测方法. 软件学报[J]. 2014, 25(3): 472-488, http://lib.cqvip.com/Qikan/Article/Detail?id=48805248.
[29] Li Feng, Huo Wei, Chen Congming, Zhong Lujie, Feng Xiaobing, Li Zhiyuan, IEEE. Effective Fault Localization Based on Minimum Debugging Frontier Set. PROCEEDINGS OF THE 2013 IEEE/ACM INTERNATIONAL SYMPOSIUM ON CODE GENERATION AND OPTIMIZATION (CGO)null. 2013, 109-118, [30] 衷璐洁, 霍玮, 李丰, 陈聪明, 冯晓兵, 张兆庆. 基于传播引擎的指针引用错误检测. 计算机学报[J]. 2013, 36(2): 432-444, http://lib.cqvip.com/Qikan/Article/Detail?id=45002102.
[31] 李丰, 霍玮, 陈聪明, 李龙, 衷璐洁, 冯晓兵. 一种基于最小调试边界的断点自动生成技术. 软件学报[J]. 2013, 24(7): 1455-1468, http://lib.cqvip.com/Qikan/Article/Detail?id=46248050.
[32] 霍玮, 李丰, 丁兆伟, 桑春雷, 张兆庆, 冯晓兵. 一种提高时序安全属性静态检测实用性的方法. 计算机学报[J]. 2012, 35(2): 244-256, http://lib.cqvip.com/Qikan/Article/Detail?id=41120337.
[33] Wang, Man, Li, Zhiyuan, Li, Feng, Feng, Xiaobing, Bagchi, Saurabh, Lu, YungHsiang. Dependence-based Multi-level Tracing and Replay for Wireless Sensor Networks Debugging. ACM SIGPLAN NOTICES[J]. 2011, 46(5): 91-100, https://www.webofscience.com/wos/woscc/full-record/WOS:000294608700010.
[34] 李丰, 霍玮, 冯晓兵. 面向无线传感器网络应用的自适应调试方法. 计算机学报[J]. 2011, 34(7): 1195-1213, http://lib.cqvip.com/Qikan/Article/Detail?id=38725746.
[35] Ma Lili, Liao Huaming, He Yongqiang, Li Feng, Gao Qiang, IEEE COMPUTER SOC. A Switch Criterion for Hybrid Datasets Merging on Top of Map Reduce. 2009 EIGHTH INTERNATIONAL CONFERENCE ON GRID AND COOPERATIVE COMPUTING, PROCEEDINGSnull. 2009, 293-298, http://dx.doi.org/10.1109/GCC.2009.28.
[36] 李丰. 实施SOA不能盲目. 中国计算机用户[J]. 2008, 41-41, http://lib.cqvip.com/Qikan/Article/Detail?id=28232477.

科研活动

   
科研项目
( 1 ) 漏洞挖掘系统升级维护, 负责人, 国家任务, 2018-01--2018-12
( 2 ) 漏洞相关数据集中的知识发现及在漏洞检测中的应用, 参与, 国家任务, 2019-01--2022-12
( 3 ) 网络协议研究, 负责人, 国家任务, 2019-10--2022-10
( 4 ) 二进制分析工具研究, 负责人, 国家任务, 2019-07--2022-06
( 5 ) 静态应用安全测试技术委托开发, 负责人, 境内委托项目, 2022-08--2023-08
( 6 ) 基于规范推导的自动化污点识别和协议测试套自动化评估, 负责人, 境内委托项目, 2022-12--2023-12

指导学生

已指导学生

李文超  硕士研究生  083900-网络空间安全  

徐明杰  硕士研究生  085211-计算机技术  

周怡  硕士研究生  083900-网络空间安全  

李平  硕士研究生  085412-网络与信息安全  

现指导学生

湛蓝蓝  硕士研究生  085412-网络与信息安全  

肖晶晶  硕士研究生  085412-网络与信息安全  

施潇楠  硕士研究生  083900-网络空间安全  

张宇航  硕士研究生  083900-网络空间安全  

张迪远  硕士研究生  085400-电子信息  

毕业去向

阿里、字节跳动、部队等