社交網路開放平台漏洞挖掘及威脅評估方法研究

社交網路正深度影響人們的交流方式，其網路安全問題也成為信息安全研究的重要問題之一。開放平台作為社交網路下一步發展的必然趨勢，其中潛在的安全漏洞嚴重威脅社交網路隱私安全。然而，開放平台的漏洞挖掘與威脅評估尚未引起國內外研究的足夠重視。本項目以社交網路開放平台為研究對象，旨在深入分析社交網路安全事件的基礎上，挖掘開放平台潛在的注入型漏洞。針對開放平台數據輸出處理客戶端化、與第三方套用互動緊密化等新特性，採用客戶端符號執行與服務端API參數動態測試相結合的方法進行漏洞挖掘。重點研究基於服務端和客戶端過濾機制分析的變異型測試向量生成算法。通過研究漏洞評估方法，重點分析開放平台漏洞在生命周期不同階段，給用戶、社交網站及第三方套用帶來的危害，將漏洞生命周期以時間影響因子的形式增加到評估過程中，為漏洞修復提供合理的優先權建議。最終提出開放平台第三方套用安全解決方案，進而保障用戶隱私安全奠定基礎。

本項目以“社交網路開放平台”為核心，旨在全面了解社交網路安全事件的基礎上，深入分析社交網路開放平台的安全性，最終為保障社交網路用戶的隱私信息安全奠定基礎。課題組在對社交網路進行全面的安全威脅分析的基礎上，在社交網路開放平台漏洞挖掘、威脅評估、第三方套用隱私保護等方面取得了一系列成果： （1）在社交網路開放平台漏洞挖掘技術方面。課題組在全面分析社交網路開放平台安全的基礎上，逐步開展漏洞挖掘工作，主要圍繞Flash這一被廣泛用於諸多社交網路開放平台的第三方套用形式，以及RESTful API腳本。基於API的跨站腳本漏洞的成因、危害、利用方式，課題組設計並實現了注入型漏洞檢測工具原型系統，發現了包括Facebook、LinkedIn、Tumblr、Weibo、Twitter等在內的多個跨API腳本漏洞。（2）在社交網路開放平台威脅評估方面。課題組在圍繞社交網路進行威脅分析的過程中，發現社交網站為代表的公共服務資源逐漸成為了殭屍網路滋生的沃土。攻擊者通過在社交網路中部署由大量社交殭屍賬號組成的社交殭屍網路，對社交網路進行滲透，嚴重危害了社交網路和用戶的信息安全。我們首次提出一種基於群體特徵的社交殭屍網路檢測方法，檢測出多個社交殭屍網路，共包含6899個社交殭屍賬號。（3）在社交網路用戶隱私保護方面。課題組在社交網路漏洞挖掘與威脅評估過程中發現社交網路中第三方惡意腳本導致的隱私威脅問題日益嚴重。為此課題組提出一種基於機器學習的自動化檢測第三方追蹤的方法，開發成第三方追蹤腳本自動化檢測工具TrackerDetector。同時，我們首次提出了一種基於推薦系統的用以平衡第三方套用個性化服務及其隱私威脅的方法，增強了當前第三方追蹤防禦領域中個性化防禦。項目相關成果在CCS 2014、ISPEC 2015、ESORICS 2016、《Computer Networks》、《SCIENCE CHINA Information Sciences》、《通信學報》、《計算機研究與發展》等國內外重要會議或期刊發表學術論文13篇，申請國家發明專利1項。其中，SCI或EI檢索論文11篇，CCF-B類學術論文4篇。部分成果獲得北京市科學技術獎三等獎。