基本信息
肖扬 男 硕导 中国科学院信息工程研究所
电子邮件: xiaoyang@iie.ac.cn
通信地址: 北京市海淀区树村路19号
邮政编码: 100095
电子邮件: xiaoyang@iie.ac.cn
通信地址: 北京市海淀区树村路19号
邮政编码: 100095
总体介绍
肖扬,中国科学院信息工程研究所副研究员,专注于软件供应链安全和软件漏洞挖掘。独立发现0day漏洞130余个,涵盖Linux kernel、FreeBSD、高通驱动等;带领团队发现Chrome、Adobe、Tensorflow、Pytorch等软件0day漏洞300余个。相关论文发表于USENIX Security、S&P、CCS、NDSS、ICSE、ISSTA等,曾任TOSEM、TSE、Computer & Security等期刊审稿人,信息安全学报和CyberSecurity期刊编辑等。主持国家自然基金青年项目,担任国家重点研发计划课题执行负责人,参与国家自然基金重点等国家级项目。团队2人入选MSRC TOP 100、戴尔名人堂、因特尔名人堂、谷歌名人堂等漏洞全球排行榜。
招生信息
招生专业
083900-网络空间安全
0812Z1-信息安全
0812Z1-信息安全
招生方向
漏洞挖掘
软件供应链安全
软件供应链安全
教育背景
2019-07--2020-02 南洋理工大学 访问
2015-09--2022-01 中国科学院信息工程研究所 工学博士
2011-09--2015-06 中山大学 工学学士学位
2015-09--2022-01 中国科学院信息工程研究所 工学博士
2011-09--2015-06 中山大学 工学学士学位
工作经历
工作简历
2022-03~现在, 中国科学院信息工程研究所, 副研究员
专利与奖励
专利成果
( 1 ) 一种基于动静态结合的ReDoS漏洞检测方法与系统, 发明专利, 2023, 第 4 作者, 专利号: CN116614270A
( 2 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 3 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 4 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 5 ) 一种二进制代码复用的开源组件版本识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114035794A
( 6 ) 一种基于机器学习的编译相关文件识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114047917A
( 7 ) 针对二进制程序的相似漏洞检测方法及装置, 发明专利, 2021, 第 3 作者, 专利号: CN113468525A
( 8 ) 一种二进制代码与源代码间复用关系的识别方法与装置, 专利授权, 2021, 第 5 作者, 专利号: CN111045670B
( 9 ) 一种基于代码特征的二进制代码与源代码相似性分析方法与装置, 发明专利, 2021, 第 6 作者, 专利号: CN111078227B
( 10 ) 一种源代码与二进制代码间的语义比对方法和装置, 2021, 第 4 作者, 专利号: CN110147235B
( 11 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 2021, 第 2 作者, 专利号: CN110147673B
( 12 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 发明专利, 2019, 第 2 作者, 专利号: CN110147673A
( 13 ) 一种源代码与二进制代码间的语义比对方法和装置, 专利授权, 2019, 第 4 作者, 专利号: CN110147235A
( 2 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 3 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 4 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A
( 5 ) 一种二进制代码复用的开源组件版本识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114035794A
( 6 ) 一种基于机器学习的编译相关文件识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114047917A
( 7 ) 针对二进制程序的相似漏洞检测方法及装置, 发明专利, 2021, 第 3 作者, 专利号: CN113468525A
( 8 ) 一种二进制代码与源代码间复用关系的识别方法与装置, 专利授权, 2021, 第 5 作者, 专利号: CN111045670B
( 9 ) 一种基于代码特征的二进制代码与源代码相似性分析方法与装置, 发明专利, 2021, 第 6 作者, 专利号: CN111078227B
( 10 ) 一种源代码与二进制代码间的语义比对方法和装置, 2021, 第 4 作者, 专利号: CN110147235B
( 11 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 2021, 第 2 作者, 专利号: CN110147673B
( 12 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 发明专利, 2019, 第 2 作者, 专利号: CN110147673A
( 13 ) 一种源代码与二进制代码间的语义比对方法和装置, 专利授权, 2019, 第 4 作者, 专利号: CN110147235A
出版信息
发表论文
(1) LibvDiff: Library Version Difference Guided OSS Version Identification in Binaries, International Conference on Software Engineering (ICSE) (CCF-A), 2024, 第 4 作者
(2) Leveraging Semantic Relations in Code and Data to Enhance Taint Analysis of Embedded Systems, USENIX SEC (CCF-A), 2024, 第 5 作者
(3) SCALE: Constructing Structured Natural Language Comment Trees for Software Vulnerability Detection, ISSTA (CCF-A), 2024, 第 4 作者
(4) File Hijacking Vulnerability: The Elephant in the Room, NDSS (CCF-A), 2024, 第 2 作者 通讯作者
(5) Effective ReDoS Detection by Principled Vulnerability Modeling and Exploit Generation, The 44th IEEE Symposium on Security and Privacy (S&P 2023, CCF-A), 2023, 第 8 作者
(6) Asteria-Pro: Enhancing Deep-Learning Based Binary Code Similarity Detection by Incorporating Domain Knowledge, ACM Transactions on Software Engineering and Methodology (CCF-A), 2023, 第 3 作者 通讯作者
(7) Detecting API Post-Handling Bugs Using Code and Description in Patches, USENIX Security 2023 (CCF-A类), 2023, 第 3 作者
(8) Towards Practical Binary Code Similarity Detection: Vulnerability Verification via Patch Semantic Analysis, ACM Transactions on Software Engineering and Methodology (TOSEM) (CCF-A), 2023, 第 3 作者 通讯作者
(9) ACETest: Automated Constraint Extraction for Testing Deep Learning Operators, ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) (CCF-A), 2023, 第 2 作者 通讯作者
(10) Learning Program Semantics for Vulnerability Detection via Vulnerability-specific Inter-procedural Slicing, ESEC/FSE (CCF-A), 2023, 第 3 作者
(11) Enhancing OSS Patch Backporting with Semantics, CCS (CCF-A), 2023, 第 2 作者
(12) Unleashing the power of pseudo-code for binary code similarity analysis, CYBERSECURITY, 2022, 第 3 作者
(13) VERJava: Vulnerable Version Identification for Java OSS with a Two-Stage Analysis, 2022 IEEE International Conference on Software Maintenance and Evolution (ICSME), 2022, 第 3 作者
(14) RegexScalpel: Regular Expression Denial of Service (ReDoS) Defense by Localize-and-Fix, USENIX Security 2022, 2022, 第 10 作者
(15) VIVA: Binary Level Vulnerability Identification via Partial Signature, SANER, 2021, 第 1 作者
(16) B2SMatcher: fine-Grained version identification of open-Source software in binary files, CYBERSECURITY, 2021, 第 3 作者
(17) MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures, PROCEEDINGS OF THE 29TH USENIX SECURITY SYMPOSIUM, 2020, 第 1 作者
(18) B2SFinder: Detecting Open-Source Software Reuse in COTS Software, 34TH IEEE/ACM INTERNATIONAL CONFERENCE ON AUTOMATED SOFTWARE ENGINEERING (ASE 2019), 2019, 第 5 作者
(19) Open-Source License Violations of Binary Software at Large Scale, 2019 IEEE 26TH INTERNATIONAL CONFERENCE ON SOFTWARE ANALYSIS, EVOLUTION AND REENGINEERING (SANER), 2019, 第 4 作者
(2) Leveraging Semantic Relations in Code and Data to Enhance Taint Analysis of Embedded Systems, USENIX SEC (CCF-A), 2024, 第 5 作者
(3) SCALE: Constructing Structured Natural Language Comment Trees for Software Vulnerability Detection, ISSTA (CCF-A), 2024, 第 4 作者
(4) File Hijacking Vulnerability: The Elephant in the Room, NDSS (CCF-A), 2024, 第 2 作者 通讯作者
(5) Effective ReDoS Detection by Principled Vulnerability Modeling and Exploit Generation, The 44th IEEE Symposium on Security and Privacy (S&P 2023, CCF-A), 2023, 第 8 作者
(6) Asteria-Pro: Enhancing Deep-Learning Based Binary Code Similarity Detection by Incorporating Domain Knowledge, ACM Transactions on Software Engineering and Methodology (CCF-A), 2023, 第 3 作者 通讯作者
(7) Detecting API Post-Handling Bugs Using Code and Description in Patches, USENIX Security 2023 (CCF-A类), 2023, 第 3 作者
(8) Towards Practical Binary Code Similarity Detection: Vulnerability Verification via Patch Semantic Analysis, ACM Transactions on Software Engineering and Methodology (TOSEM) (CCF-A), 2023, 第 3 作者 通讯作者
(9) ACETest: Automated Constraint Extraction for Testing Deep Learning Operators, ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) (CCF-A), 2023, 第 2 作者 通讯作者
(10) Learning Program Semantics for Vulnerability Detection via Vulnerability-specific Inter-procedural Slicing, ESEC/FSE (CCF-A), 2023, 第 3 作者
(11) Enhancing OSS Patch Backporting with Semantics, CCS (CCF-A), 2023, 第 2 作者
(12) Unleashing the power of pseudo-code for binary code similarity analysis, CYBERSECURITY, 2022, 第 3 作者
(13) VERJava: Vulnerable Version Identification for Java OSS with a Two-Stage Analysis, 2022 IEEE International Conference on Software Maintenance and Evolution (ICSME), 2022, 第 3 作者
(14) RegexScalpel: Regular Expression Denial of Service (ReDoS) Defense by Localize-and-Fix, USENIX Security 2022, 2022, 第 10 作者
(15) VIVA: Binary Level Vulnerability Identification via Partial Signature, SANER, 2021, 第 1 作者
(16) B2SMatcher: fine-Grained version identification of open-Source software in binary files, CYBERSECURITY, 2021, 第 3 作者
(17) MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures, PROCEEDINGS OF THE 29TH USENIX SECURITY SYMPOSIUM, 2020, 第 1 作者
(18) B2SFinder: Detecting Open-Source Software Reuse in COTS Software, 34TH IEEE/ACM INTERNATIONAL CONFERENCE ON AUTOMATED SOFTWARE ENGINEERING (ASE 2019), 2019, 第 5 作者
(19) Open-Source License Violations of Binary Software at Large Scale, 2019 IEEE 26TH INTERNATIONAL CONFERENCE ON SOFTWARE ANALYSIS, EVOLUTION AND REENGINEERING (SANER), 2019, 第 4 作者
科研活动
科研项目
( 1 ) 基于多源漏洞数据的同源漏洞发现技术研究, 负责人, 国家任务, 2023-01--2025-12
( 2 ) 无CVE警示的漏洞感知技术合作, 负责人, 境内委托项目, 2022-12--2023-12
( 3 ) 面向软件供应链的全生命周期安全风险精准分析与检测技术, 负责人, 国家任务, 2022-12--2025-11
( 4 ) 代码语义理解, 负责人, 其他, 2022-09--2024-09
( 2 ) 无CVE警示的漏洞感知技术合作, 负责人, 境内委托项目, 2022-12--2023-12
( 3 ) 面向软件供应链的全生命周期安全风险精准分析与检测技术, 负责人, 国家任务, 2022-12--2025-11
( 4 ) 代码语义理解, 负责人, 其他, 2022-09--2024-09
指导学生
现指导学生
孙天琦 硕士研究生 083900-网络空间安全
邱思豪 硕士研究生 083900-网络空间安全
齐柯宇 硕士研究生 083900-网络空间安全
蔡欣悦 硕士研究生 083900-网络空间安全