基本信息
肖扬  男  硕导  中国科学院信息工程研究所
电子邮件: xiaoyang@iie.ac.cn
通信地址: 北京市海淀区树村路19号
邮政编码: 100095

总体介绍

肖扬,中国科学院信息工程研究所预聘副研究员,专注于软件供应链安全和软件漏洞挖掘。独立发现0day漏洞130余个,涵盖Linux kernel、FreeBSD、高通驱动等;带领团队发现Chrome、Adobe、Tensorflow、Pytorch等软件0day漏洞300余个。相关论文发表于USENIX Security、S&P、CCS、NDSS、ICSE、ISSTA等,曾任TOSEM、EMSE、FCS、Neural Network等期刊审稿人。主持国家自然基金青年项目,担任国家重点研发计划课题执行负责人,参与国家自然基金重点等国家级项目。团队2人入选MSRC TOP 100、戴尔名人堂、因特尔名人堂、谷歌名人堂等漏洞全球排行榜。

招生信息


招生专业
083900-网络空间安全
0812Z1-信息安全
招生方向
软件安全
软件供应链安全

教育背景

2015-09--2022-01   中国科学院信息工程研究所   工学博士
2011-09--2015-06   中山大学   工学学士学位

工作经历

   
工作简历
2022-03~现在, 中国科学院信息工程研究所, 副研究员

专利与奖励

   
专利成果
( 1 ) 一种基于动静态结合的ReDoS漏洞检测方法与系统, 发明专利, 2023, 第 4 作者, 专利号: CN116614270A

( 2 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

( 3 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

( 4 ) 一种基于关键语义特征的安全检查缺陷检测方法, 发明专利, 2022, 第 3 作者, 专利号: CN114490313A

( 5 ) 一种基于机器学习的编译相关文件识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114047917A

( 6 ) 一种二进制代码复用的开源组件版本识别方法及装置, 发明专利, 2022, 第 3 作者, 专利号: CN114035794A

( 7 ) 针对二进制程序的相似漏洞检测方法及装置, 发明专利, 2021, 第 3 作者, 专利号: CN113468525A

( 8 ) 一种基于代码特征的二进制代码与源代码相似性分析方法与装置, 发明专利, 2021, 第 6 作者, 专利号: CN111078227B

( 9 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 2021, 第 2 作者, 专利号: CN110147673B

( 10 ) 一种二进制代码与源代码间复用关系的识别方法与装置, 专利授权, 2021, 第 5 作者, 专利号: CN111045670B

( 11 ) 一种源代码与二进制代码间的语义比对方法和装置, 2021, 第 4 作者, 专利号: CN110147235B

( 12 ) 一种基于文本和源代码符号提取的漏洞位置标注方法和装置, 发明专利, 2019, 第 2 作者, 专利号: CN110147673A

( 13 ) 一种源代码与二进制代码间的语义比对方法和装置, 专利授权, 2019, 第 4 作者, 专利号: CN110147235A

出版信息

   
发表论文
(1) LibvDiff: Library Version Difference Guided OSS Version Identification in Binaries, International Conference on Software Engineering (ICSE) (CCF-A), 2024, 第 4 作者
(2) File Hijacking Vulnerability: The Elephant in the Room, Annual Network & Distributed System Security Symposium (NDSS) (CCF-A), 2024, 通讯作者
(3) Asteria-Pro: Enhancing Deep-Learning Based Binary Code Similarity Detection by Incorporating Domain Knowledge, ACM Transactions on Software Engineering and Methodology (CCF-A), 2023, 通讯作者
(4) Detecting API Post-Handling Bugs Using Code and Description in Patches, USENIX Security 2023 (CCF-A类), 2023, 第 3 作者
(5) Towards Practical Binary Code Similarity Detection: Vulnerability Verification via Patch Semantic Analysis, ACM Transactions on Software Engineering and Methodology (TOSEM) (CCF-A), 2023, 通讯作者
(6) Enhancing OSS Patch Backporting with Semantics, The ACM Conference on Computer and Communications Security (CCS) (CCF-A), 2023, 第 2 作者
(7) ACETest: Automated Constraint Extraction for Testing Deep Learning Operators, ACM SIGSOFT International Symposium on Software Testing and Analysis (ISSTA) (CCF-A), 2023, 通讯作者
(8) Unleashing the power of pseudo-code for binary code similarity analysis, CYBERSECURITY, 2022, 第 3 作者
(9) VERJava: Vulnerable Version Identification for Java OSS with a Two-Stage Analysis, 2022 IEEE International Conference on Software Maintenance and Evolution (ICSME), 2022, 第 3 作者
(10) RegexScalpel: Regular Expression Denial of Service (ReDoS) Defense by Localize-and-Fix, USENIX Security '22 (CCF-A), 2022, 第 10 作者
(11) VIVA: Binary Level Vulnerability Identification via Partial Signature, SANER, 2021, 第 1 作者
(12) B2SMatcher: fine-Grained version identification of open-Source software in binary files, CYBERSECURITY, 2021, 第 3 作者
(13) MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures, PROCEEDINGS OF THE 29TH USENIX SECURITY SYMPOSIUM, 2020, 第 1 作者
(14) B2SFinder: Detecting Open-Source Software Reuse in COTS Software, 34TH IEEE/ACM INTERNATIONAL CONFERENCE ON AUTOMATED SOFTWARE ENGINEERING (ASE 2019), 2019, 第 5 作者
(15) Open-Source License Violations of Binary Software at Large Scale, 2019 IEEE 26TH INTERNATIONAL CONFERENCE ON SOFTWARE ANALYSIS, EVOLUTION AND REENGINEERING (SANER), 2019, 第 4 作者

科研活动

   
科研项目
( 1 ) 基于多源漏洞数据的同源漏洞发现技术研究, 负责人, 国家任务, 2023-01--2025-12
( 2 ) 面向软件供应链的全生命周期安全风险精准分析与检测技术, 负责人, 国家任务, 2022-12--2025-11
( 3 ) 无CVE警示的漏洞感知技术合作, 负责人, 境内委托项目, 2022-12--2023-12

指导学生

现指导学生

孙天琦  硕士研究生  083900-网络空间安全  

邱思豪  硕士研究生  083900-网络空间安全