近日,第33屆USENIX Security會議收錄了我校永利yl23411官網(wǎng)黃誠團隊關(guān)于npm惡意軟件包檢測的研究文章DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping�。黃誠副教授為文章第一作者����,我校系文章唯一通訊單位�����。
USENIX Security會議自1990年首次舉辦�����,已有三十多年歷史�,與IEEE S&P、ACM CCS����、NDSS并稱為信息安全領(lǐng)域國際四大頂級學(xué)術(shù)會議,也是中國計算機學(xué)會推薦的A類會議�。本論文是我校首次以第一單位在該會議上發(fā)表論文,代表著我校對信息安全領(lǐng)域四大頂會的新突破��。
隨著模塊化在軟件開發(fā)中的日益普及����,軟件包管理器和語言生態(tài)系統(tǒng)也隨之興起。其中,npm (node package manager)作為最廣泛的軟件包管理器脫穎而出��,托管了200多萬個第三方開源庫�����,大大簡化了構(gòu)建代碼的過程�。然而,最近的研究報告顯示����,包管理器已被攻擊者濫用來傳播惡意軟件,給開發(fā)人員和最終用戶帶來重大安全風險�。例如,eslint-scope(一個在npm中每周下載量高達數(shù)百萬次的軟件包)就被盜取了開發(fā)人員的憑證����,從而實現(xiàn)代碼投毒。
為大規(guī)模分析歸納npm供應(yīng)鏈攻擊樣本��,該研究首先近乎實時地同步了一個包含340多萬軟件包的本地軟件包緩存����,以便獲取更多軟件包代碼細節(jié)。進一步地����,對從公共數(shù)據(jù)集和安全報告中收集的惡意軟件包進行了人工檢查和API序列分析,從而建立了一個分層分類框架和行為知識庫���,涵蓋了不同的敏感行為�����。
基于上述知識�,團隊實現(xiàn)了結(jié)合動靜態(tài)分析的惡意npm軟件包自動檢測器(Donapi)���。它通過代碼重構(gòu)技術(shù)和靜態(tài)分析對軟件包的惡意程度進行初步判斷���,進而提取動態(tài)API調(diào)用序列來確認和識別靜態(tài)分析無法單獨處理的混淆內(nèi)容,最后根據(jù)構(gòu)建的行為知識庫對惡意軟件包進行類別標記�����。最終�����,在實際檢測中識別了325個惡意樣本(經(jīng)人工確認)�����,并發(fā)現(xiàn)了2個罕見API調(diào)用和246個已知樣本中未出現(xiàn)過的API調(diào)用序列。
黃誠�����,博士���,副教授���,碩士生導(dǎo)師,長期致力于網(wǎng)絡(luò)空間安全方面的科學(xué)研究和人才培養(yǎng)����,目前主要從事網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)公害治理�、應(yīng)用安全等方向的研究工作。先后主持國家自然科學(xué)基金���、科技部重點研發(fā)青年科學(xué)家項目及子課題���、省科技廳重點研發(fā)等國家及省部級項目10余項,省部級教改項目1項���,獲省級科技進步二等獎1項����,學(xué)會科技進步一等獎1項,指導(dǎo)學(xué)生獲國家級學(xué)科競賽一等獎8項���、二等獎10項。
當前位置: