8月22日,第十五届全国大学生信息安全竞赛作品赛圆满落幕,复旦大学计算机科学技术学院系统软件与安全实验室的两支本科生队伍分别凭借作品《玄鉴:互联网黑产应用威胁情报平台》和《基于具象化用户意图感知的最小化隐私收集合规检测》斩获全国一等奖,其中《基于具象化用户意图感知的最小化隐私收集合规检测》作品同时获得大赛最具创业价值奖(全国仅有10项),团队指导教师杨珉和杨哲慜老师获得优秀指导教师奖。
全国大学生信息安全竞赛是我国级别最高、覆盖范围最广、影响力最大的网络安全赛事。本届比赛吸引了来自全国共191所高校的2692名师生,参赛作品达到了840份,经过线上初赛和决赛的激烈评选,全国共产生180支队伍分别获一、二、三等奖,其中一等奖40项,二等奖61项,三等奖79项。
搭建威胁情报平台,让黑产应用无处遁形
智能手机上的各类应用程序,方便了日常生活,但是一些赌博、诈骗、色情相关的“黑产应用”,却让使用者的安全受到威胁。精准追踪并铲除黑产应用,对于打击网络犯罪特别是新型网络犯罪,营造清朗的网络空间,维护人民群众利益和社会和谐稳定至关重要。
“目前的威胁情报平台主要是针对一些恶意应用,例如病毒木马来做威胁情报的分析,对黑产应用涉及较少。警方打击黑产网站的方式,往往是受害者举报后进行追查的被动方式。因此我们开发出黑产应用威胁情报平台,为网络安全治理尽一份力量。”队长、2019级信息安全专业本科生杨昱说。
去年11月,团队的四名队员开始进行前期准备工作。由于黑产应用的隐蔽性很高,如何找出潜藏的黑产应用,是团队面临的第一个问题。经过研究发现,黑产应用在传播过程中,出现一些集中的传播渠道,称为“黑产门户”。
“我们发现网络空间中存在一些流量异常的域名,于是通过被动DNS技术找到可能为之引流的域名,再寻找网站多维特征,采用机器学习的模型,实现对黑产门户网站的准确甄别。”团队中负责黑产门户发现与甄别的2020级软件工程专业本科生戴圣九说。
为了从黑产门户进行黑产应用的采集,2019级信息安全专业本科生叶国懿设计了一套高通用性、高效率的爬虫算法,从互联网上自动化获取黑产相关的应用。此外,叶国懿还负责数据库系统的设计、搭建等方面的工作,感受到理论知识转化为实际成果的过程。“系统搭建、打磨过程中遇到的每个挑战,都大大提高了我们通过团队协作来解决问题的能力。”
2019级保密技术专业本科生陈晋松主要负责应用甄别模块的开发,采用动静态结合的技术对采集到的应用进行多维度特征甄别,实现对黑产应用的准确识别。此外,陈晋松还参与了前后端开发与维护,在角色转换过程中,他感受到团队协作的重要性。“从黑产门户发现到应用采集,最后进行应用甄别的整个过程环环相扣,极大的考验了我们的团队协作能力。”
今年上半年上海疫情期间,团队成员准备参赛的脚步没有停歇,一次次线上会议讨论,成员们发挥所长并互帮互助,让项目日益完善。他们时常与指导教师杨珉交流,感受到老师在网络安全领域的丰富经验,根据意见进行修改完善。
经过长期的分工协作,团队构建了具有0day黑产应用发现能力的威胁情报平台。去年,系统软件与安全实验室曾凭借诈骗网站的主动识别技术获得第十四届全国大学生信息安全竞赛作品赛一等奖,而一年后的黑产应用威胁情报平台涵盖范围更广阔,让黑产应用无处遁形。
通过《玄鉴互联网黑产应用威胁情报平台》,团队与公安系统开展合作,协助黑产应用的自动化获取和下载,以及对黑产应用威胁情报的分析,为打击网络犯罪提高效率。未来团队期待这一平台能在网络安全治理方面发挥更多作用,也协助互联网企业自检自查,从源头来加强内容管理。
大批量精准检测移动应用隐私合规,为个人信息保驾护航
“请求开启您的位置权限。”当使用手机应用程序时,会弹出开启某个隐私权限的请求,用户允许之后,该项数据将会被应用程序使用或收集。然而过度收集信息会对用户的个人信息安全造成影响,乃至对国家网络安全产生风险。
近年来,国家出台相关法律法规,对手机应用程序“个人信息收集的最小必要原则”作出规定,严厉处罚过度收集个人信息的企业。为了判断应用程序的个人信息收集是否符合最小必要原则,复旦本科生团队着手构建“面向最小化隐私收集的移动应用隐私合规检测系统”,以期实现对移动应用隐私收集的自动化、大规模精准检测。
据队长、2019级软件工程专业本科生陈心诺介绍,团队开发的系统的核心创新是具象化用户意图。“如果一个特定功能下应用程序收集的隐私超过了用户意图,便有隐私收集不合规的风险。于是我们工作的重点在于准确建模用户意图,即用户对特定功能下应用程序所获隐私的预期。我们创新地将页面布局特征纳入对用户意图的具像化建模,利用多维语义信息的深度集成构建了自动化检测应用程序隐私收集合规的系统。”
将待检测APP放入自动运行工具中,系统通过业务功能理解模块具象化用户意图,并通过多源隐私监控模块监测应用实际收集的信息,最终进行隐私合规判定,并出具检测报告。
为了实现业务功能理解模块,2019级信息安全专业本科生刘定一对原始数据集进行数据分析和特征提取,通过分类器将数据集单个样本中的多维语义进行隐私收集场景分类并优化后,使用集成学习综合判断业务功能。
开发过程中,2019级信息安全专业本科生施蒂妮将自己在课上的所学所获落地应用:“我负责的是隐私收集模块。为了实现多源隐私收集,模块需要监测安卓权限API的调用情况和输入型隐私,其中对权限API的实时监控通过动态插桩技术实现,运用到了在逆向工程原理这门课上学到的frida的用法,而输入型隐私则是结合实际应用程序的一项小创新。”
2019级计算机科学与技术专业本科生刘慕梵则负责检测系统的部分模块实现、系统集成以及测试和优化工作。“在项目集成时,需要兼顾各个模块的协调,特别是各个模块的运行环境有所不同。我们的各个队员也一样,需要协调与协同,因此除了项目本身带来的关于视野拓展、逻辑与思辨能力的提升外,更收获了和队友交流、协调的能力。”
在近一年的项目实现中,团队在春晖食堂的秋夜里讨论设计思路,也在暑期各自家中线上会议保持交流,随时解决遇到的各种困难,夜以继日,精益求精。上学期期末,作品报告提交在即,而初稿存在一些瑕疵。尽管学业压力较大,陈心诺和施蒂妮抓紧修改,完善了一篇62页的作品报告,不负成员们努力的心血。
期间,杨哲慜副教授尽心指导,同时放手让同学们进行科研探索。“同学们在备赛过程中展现了很强的求知欲,一起讨论问题时,他们‘一点就透’。并且能把理解和掌握的技术充分应用,体现出做科研的良好潜质。”杨哲慜欣慰地说。
《基于具象化用户意图感知的最小化隐私收集合规检测》这一项目不仅同时荣获作品赛一等奖与最具创业价值奖,还将亮相国家网络安全周,并被邀请参加中国网络安全产业联盟举办的2022年网络安全优秀创新成果大赛。
“面向最小化隐私收集的移动应用隐私合规检测系统已经与百度安全开展合作,获得一定的认可。未来,这一系统对于企业内部自查,监管部门的审查,以及应用市场审查,都能够发挥作用,提升移动APP隐私合规检测的效率与精确度。”杨哲慜说。
本次获奖是复旦大学计算机科学技术学院系统软件与安全实验室继2021年获得第十四届全国大学生信息安全竞赛作品赛一等奖以来再次获得该比赛最高奖项,彰显了在网络安全领域的“硬实力”,也是学院系统软件与安全实验室对本科生培养的又一次成功实践。
去年秋季,系统软件与安全实验室对有意向报名参赛的同学进行了课余的技术辅导,帮助他们梳理所学知识,提升技术应用与实践能力。通过多形式的教学实践活动,创新“第二课堂”的方式,让本科生更好地尝试学术科研,取得硕果。
面向国家战略和社会发展需求,计算机科学技术学院充分发挥复旦大学多学科交叉融合优势,通过计算机科学拔尖人才试验班、本科荣誉项目、本研贯通的“卓博计划”等创新模式,致力于培养具有家国情怀、科学精神、国际视野和专业素养的计算机科学领军人才。今年,计算机科学拔尖人才试验班面向全国部分省份进行招生,年招生计划30人,将采用“本研贯通”培养模式,培养引领未来的拔尖创新型计算机科学领军人才。
