《互联网软件的安全分析与防护》

点击下载 ⇩

该项目所属领域为计算机安全与密码工程。互联网软件是网络与信息化社会的支撑和保证,互联网软件安全是网络空间安全的关键技术,它决定着国家经济社会的信息主权和抗攻击能力。互联网软件面临的主要安全威胁是软件漏洞攻击和恶意代码攻击,对付这些威胁的核心难题是如何快速、准确地发现和修复问题,并提出科学、有效的防护和对抗方法。该项目在国家科技重大专项、科技支撑计划、863、242、自然基金等一批科研任务支持下,研究了面向互联网软件的深度安全分析与防护方法,研制了一系列软件自动化安全分析系统和软件安全防护技术,在互联网经济社会的软件安全检测中发现并修复了大量安全漏洞,长期支撑国家关防网络系统对抗恶意攻击,为数亿用户的互联网金融服务提供了安全保护。

1、软件安全自动化测试方法:为提升互联网软件安全分析的准确性和效率,在海量代码分析和代码架构碎片化分析方面突破性能和兼容性瓶颈,形成了动态模拟安全分析和跨平台二进制代码相似性分析技术,解决了桌面、移动平台和物联网设备的二进制代码人工分析错误率高、耗时长的难点。

2、网络系统及应用软件的安全重构方法:为检测和修复已发布软件中存在的安全问题,提出了深层次安全漏洞发现技术,有效支撑了系统和协议底层代码漏洞的发现;在此基础上,提出二进制漏洞修复以及通讯协议/隐私数据方案重构技术,解决了操作系统内核、嵌入式固件、网络通讯协议、隐私存储方案中的安全漏洞修复难题。

3、软件代码保护与反保护方法:为保证互联网软件所需的高安全性,对抗恶意软件攻击,发明了针对桌面和移动平台的软件代码保护与反保护方法,帮助爱奇艺等企业将代码随机化保护技术应用于产品防护,将恶意代码反保护技术应用于国家互联网基础设施,有效对抗了来自境外的特定恶意软件攻击。

4、密码软件安全分析与防护方法:为解决互联网软件中密码学误用问题,创新性地设计了自动化密码算法识别和密码协议分析技术,检测出互联网应用中存在的大量典型密码学误用漏洞。项目申请发明专利38项(其中授权21项),软件著作权5项,国标11项,行标14项;发表SCI/EI论文37篇(其中CCF-A/B类10篇),著作2本。经查新,项目达到国际先进水平。成果应用于国家计算机网络与信息安全管理中心,破解了15类1006个版本的特种恶意软件;应用于公安部计算机安全产品检测中心,发现了5147款软件中存在47类5916个漏洞;应用于蚂蚁金服、阿里巴巴、华为、腾讯、爱奇艺等企业,为4款过亿用户的互联网产品修复安全问题及提供安全防护,获得了肯定和致谢;修复了4类主流移动支付SDK,从而解决了991款移动应用中的安全问题;发现并修复了4个国际主流密码算法库中的安全问题;在5项国际安全竞赛中取得前三名,获得了国际安全研究人员认可。项目近三年累计新增销售额60亿元,新增利润16亿元,避免经济损失16.8亿元。

成果说明

该项目形成的关键技术应用于国家计算机网络与信息安全管理中心、公安部三所等单位的安全测试和安全分析中,对抗和制止了境外安全攻击,保证了国家互联网基础设施的安全运行,发现了大量现有软件中的安全漏洞,帮助已有产品有效阻止了潜在的安全攻击,为网络信息化社会建设提供了安全保障,维护了国家安全和经济社会稳定。 该项目的多项核心技术被蚂蚁金服、阿里巴巴、腾讯、华为、爱奇艺等单位推广应用,在自动化安全测试方面节省了大量人力成本,同时有效减少了相关互联网产品的安全风险,避免了巨额经济损失,协助这些企业的网络服务平稳安全运行

  1. 下载详细PDF版/Doc版

提示:为方便大家复制编辑,博主已将PDF文件制作为Word/Doc格式文件。