手機(jī)已經(jīng)成為現(xiàn)代人生活的必需品。乘車、支付、學(xué)習(xí)、社交，手機(jī)已經(jīng)參與到生活的方方面面。但是，你的手機(jī)真的安全嗎？這片繁榮的移動(dòng)生態(tài)背后，暗藏著監(jiān)聽(tīng)竊密、隱私濫用、電信詐騙等安全威脅。十年前的“棱鏡門”事件、近幾年頻頻被爆出的手機(jī)后門、再到車機(jī)系統(tǒng)的隱私泄露，以手機(jī)、車機(jī)為代表的移動(dòng)設(shè)備面臨著嚴(yán)重的安全風(fēng)險(xiǎn)。

然而，在移動(dòng)安全上的破局并不容易。在尋求對(duì)抗移動(dòng)互聯(lián)網(wǎng)攻擊行為的手段中，首要問(wèn)題是如何有效表征針對(duì)移動(dòng)終端的攻擊行為，其次則是如何在層出不窮的新型攻擊手法中準(zhǔn)確感知安全威脅。再次，即使發(fā)現(xiàn)了安全威脅，移動(dòng)生態(tài)軟件數(shù)量龐大、架構(gòu)復(fù)雜、漏洞多樣，人工審計(jì)遠(yuǎn)遠(yuǎn)跟不上漏洞產(chǎn)生的速度，如何定位海量漏洞又是一個(gè)難題。最后的問(wèn)題是，面對(duì)快速迭代的新型網(wǎng)絡(luò)攻擊，該如何持續(xù)防御不斷變化的安全風(fēng)險(xiǎn)？

針對(duì)以上難題，復(fù)旦大學(xué)楊珉團(tuán)隊(duì)的成果以多維語(yǔ)義融合的攻擊行為表征方法作為基礎(chǔ)，針對(duì)檢測(cè)錯(cuò)漏、防護(hù)被動(dòng)、治理困難三大難點(diǎn)，開(kāi)創(chuàng)性地建立了移動(dòng)互聯(lián)網(wǎng)生態(tài)安全防護(hù)體系，形成多項(xiàng)國(guó)家標(biāo)準(zhǔn)和核心專利，填補(bǔ)我國(guó)相關(guān)技術(shù)領(lǐng)域空白。這一成果獲得上海市技術(shù)發(fā)明獎(jiǎng)一等獎(jiǎng)。

在電影《孤注一擲》中，詐騙集團(tuán)利用技術(shù)手段不斷變換身份、偽造信息，讓受害者深陷騙局而難以察覺(jué)。在現(xiàn)實(shí)世界中，電信網(wǎng)絡(luò)詐騙同樣依托快速迭代的黑灰產(chǎn)技術(shù)，讓傳統(tǒng)防御手段疲于應(yīng)對(duì)。如何像反詐專家一樣，提前識(shí)破犯罪分子的“劇本”，成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵挑戰(zhàn)。這正是項(xiàng)目團(tuán)隊(duì)發(fā)明基于犯罪行為表征的網(wǎng)絡(luò)攻擊治理技術(shù)的核心突破。

項(xiàng)目團(tuán)隊(duì)發(fā)現(xiàn)，盡管黑灰產(chǎn)技術(shù)形態(tài)千變?nèi)f化，但其犯罪行為表征會(huì)通過(guò)語(yǔ)義特征、傳播路徑、行為模式等多個(gè)維度留下可追溯的“數(shù)字指紋”。例如，詐騙網(wǎng)站雖頻繁更換域名和主機(jī)，但其網(wǎng)頁(yè)語(yǔ)義與網(wǎng)絡(luò)拓?fù)鋾?huì)形成獨(dú)特的“欺詐圖譜”。對(duì)此，項(xiàng)目團(tuán)隊(duì)另辟蹊徑，提出融合分析方法，如同通過(guò)筆跡鑒定識(shí)別嫌疑人，發(fā)起針對(duì)在野涉詐網(wǎng)站和應(yīng)用軟件的集約打擊。

與此同時(shí)，移動(dòng)軟件中的漏洞是存在手機(jī)中的一顆顆定時(shí)炸彈，隨時(shí)可能竊取用戶隱私信息、影響軟件正常使用，甚至成為詐騙團(tuán)伙實(shí)施犯罪的工具，嚴(yán)重影響廣大用戶的個(gè)人安全。如同現(xiàn)代工業(yè)產(chǎn)品制造依賴于完善的供應(yīng)鏈，現(xiàn)代軟件開(kāi)發(fā)也早已采用成熟的供應(yīng)鏈模式，這也引入了大量的供應(yīng)鏈漏洞。項(xiàng)目團(tuán)隊(duì)通過(guò)融合軟件上下文狀態(tài)語(yǔ)義和操作系統(tǒng)框架層語(yǔ)義，構(gòu)建和挖掘大規(guī)模高質(zhì)量漏洞數(shù)據(jù)，發(fā)明了軟件供應(yīng)鏈驅(qū)動(dòng)的新型漏洞檢測(cè)技術(shù)。

移動(dòng)軟件攻擊行為表征方法原理示意圖

為了解決供應(yīng)鏈漏洞的數(shù)據(jù)來(lái)源繁雜、分析難度高的難題，項(xiàng)目團(tuán)隊(duì)融合自然語(yǔ)言理解和動(dòng)靜態(tài)程序分析等技術(shù)，實(shí)現(xiàn)對(duì)多源公開(kāi)漏洞數(shù)據(jù)的自動(dòng)化清洗和補(bǔ)全，達(dá)到了軟件供應(yīng)鏈條上漏洞信息的全方面覆蓋，形成大規(guī)模高質(zhì)量漏洞數(shù)據(jù)。相關(guān)技術(shù)應(yīng)用于多家企業(yè)，相較于國(guó)內(nèi)外主流產(chǎn)品，漏洞誤報(bào)率顯著降低，發(fā)現(xiàn)百余個(gè)安卓零天高危漏洞，保障移動(dòng)應(yīng)用安全。

另外，為了應(yīng)對(duì)移動(dòng)終端面臨的海量威脅，研究人員通常采用基于指紋特征或機(jī)器學(xué)習(xí)方法的防護(hù)手段來(lái)標(biāo)注已知威脅。然而，就像病毒會(huì)不斷變異逃避疫苗，網(wǎng)絡(luò)攻擊也在持續(xù)進(jìn)化：上個(gè)月還能識(shí)別的惡意軟件，這個(gè)月可能就換了"馬甲"；昨天有效的防護(hù)系統(tǒng)，今天可能就被新型攻擊繞開(kāi)。更棘手的是，攻擊者與防護(hù)系統(tǒng)如同在進(jìn)行永不停歇的“軍備競(jìng)賽”，傳統(tǒng)防護(hù)技術(shù)往往顧此失彼——要么頻繁更新拖慢設(shè)備速度，要么防護(hù)滯后導(dǎo)致漏洞百出。

數(shù)據(jù)驅(qū)動(dòng)，檢測(cè)海量移動(dòng)軟件供應(yīng)鏈漏洞

在這場(chǎng)攻防博弈中，項(xiàng)目團(tuán)隊(duì)發(fā)現(xiàn)惡意軟件的攻擊手段雖然千變?nèi)f化，但其核心行為模式卻如同“基因”般固定。團(tuán)隊(duì)從用戶交互、操作系統(tǒng)框架層和系統(tǒng)內(nèi)核層語(yǔ)義出發(fā)，突破了傳統(tǒng)防護(hù)方法依賴淺層特征進(jìn)行檢測(cè)的瓶頸，建立覆蓋3000余種軟件行為的“基因圖譜庫(kù)”，對(duì)不斷演化的惡意行為進(jìn)行持久識(shí)別。同時(shí)，團(tuán)隊(duì)創(chuàng)造性地將核心算法集成進(jìn)AI芯片算子，并設(shè)計(jì)了獨(dú)特的“雙層安檢”架構(gòu)——大核負(fù)責(zé)深度分析可疑行為、小核處理常規(guī)監(jiān)測(cè)，極大地節(jié)省了移動(dòng)設(shè)備用于防護(hù)的開(kāi)銷。

審稿人：復(fù)旦大學(xué)楊珉團(tuán)隊(duì)

欄目編輯：王蕾 圖片來(lái)源：復(fù)旦大學(xué)

來(lái)源：作者：新民晚報(bào) 張炯強(qiáng)