近日,第33届USENIX Security会议收录了我校350vip8888新葡的京集团黄诚团队关于npm恶意软件包检测的研究文章DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping。黄诚副教授为文章第一作者,我校系文章唯一通讯单位。
USENIX Security会议自1990年首次举办,已有三十多年历史,与IEEE S&P、ACM CCS、NDSS并称为信息安全领域国际四大顶级学术会议,也是中国计算机学会推荐的A类会议。本论文是我校首次以第一单位在该会议上发表论文,代表着我校对信息安全领域四大顶会的新突破。
随着模块化在软件开发中的日益普及,软件包管理器和语言生态系统也随之兴起。其中,npm (node package manager)作为最广泛的软件包管理器脱颖而出,托管了200多万个第三方开源库,大大简化了构建代码的过程。然而,最近的研究报告显示,包管理器已被攻击者滥用来传播恶意软件,给开发人员和最终用户带来重大安全风险。例如,eslint-scope(一个在npm中每周下载量高达数百万次的软件包)就被盗取了开发人员的凭证,从而实现代码投毒。
为大规模分析归纳npm供应链攻击样本,该研究首先近乎实时地同步了一个包含340多万软件包的本地软件包缓存,以便获取更多软件包代码细节。进一步地,对从公共数据集和安全报告中收集的恶意软件包进行了人工检查和API序列分析,从而建立了一个分层分类框架和行为知识库,涵盖了不同的敏感行为。
基于上述知识,团队实现了结合动静态分析的恶意npm软件包自动检测器(Donapi)。它通过代码重构技术和静态分析对软件包的恶意程度进行初步判断,进而提取动态API调用序列来确认和识别静态分析无法单独处理的混淆内容,最后根据构建的行为知识库对恶意软件包进行类别标记。最终,在实际检测中识别了325个恶意样本(经人工确认),并发现了2个罕见API调用和246个已知样本中未出现过的API调用序列。
黄诚,博士,副教授,硕士生导师,长期致力于网络空间安全方面的科学研究和人才培养,目前主要从事网络攻防、网络公害治理、应用安全等方向的研究工作。先后主持国家自然科学基金、科技部重点研发青年科学家项目及子课题、省科技厅重点研发等国家及省部级项目10余项,省部级教改项目1项,获省级科技进步二等奖1项,学会科技进步一等奖1项,指导学生获国家级学科竞赛一等奖8项、二等奖10项。