社交网络开放平台漏洞挖掘及威胁评估方法研究

基本信息

批准号：61303239

项目类别：青年科学基金项目

资助金额：23.00

负责人：刘奇旭

学科分类：

依托单位：中国科学院大学

批准年份：2013

结题年份：2016

起止时间：2014-01-01 - 2016-12-31

项目状态：已结题

项目参与者：方喆君,王夏莉,张格非,武倩如,闻观行,张昊星,倪平

关键词：

漏洞挖掘安全漏洞社交网络漏洞评估开放平台

结项摘要

Social network service (SNS) has significantly changed the way people communicate with each other. Consistently, security issues associated with social networks have attracted more and more attentions. Open platform has been an inevitable trend with the development of SNS. However, potential security vulnerabilities inside the platform will become a direct threat to all the users, third-party applications and social networking sites themselves. Unfortunately, until now, security vulnerabilities detection and threat assessment for open platform have not yet received enough awareness from either domestic or foreign research. As a result, our project focuses on the security of SNS open platform and aims at discovering and assessing latent injection vulnerabilities within it. The goal is based on a comprehensive understanding of SNS security incidents. First of all, since open platform outputs and processes data on the client side and frequently interacts with third-party applications, we will utilize the combination of client-side symbolic execution technique and server-side dynamic fuzzing test on API parameters to detect possible vulnerabilities. Specifically, we will concentrate on studying variant test pattern generation methods on the basic of analyzing filtering mechanism at both client and server side. Then, we will study vulnerability assessment technique and analyze the substantial damage of open platform vulnerabilities in different phrases of lifecycle. In addition, we will add the vulnerability cycle to the assessment process as TIF(time impact factor), in order to build a real-time dynamic vulnerability assessment system offering priority recommendations for bug fixes. Moreover, we will regulate the development lifecycle of third-party applications in social networks. Finally, our work will set the foundation for providing corresponding security solutions and protecting user privacy security in social networks.

社交网络正深度影响人们的交流方式，其网络安全问题也成为信息安全研究的重要问题之一。开放平台作为社交网络下一步发展的必然趋势，其中潜在的安全漏洞严重威胁社交网络隐私安全。然而，开放平台的漏洞挖掘与威胁评估尚未引起国内外研究的足够重视。本项目以"社交网络开放平台"为研究对象，旨在深入分析社交网络安全事件的基础上，挖掘开放平台潜在的注入型漏洞。针对开放平台数据输出处理客户端化、与第三方应用交互紧密化等新特性，采用客户端符号执行与服务端API参数动态测试相结合的方法进行漏洞挖掘。重点研究基于服务端和客户端过滤机制分析的变异型测试向量生成算法。通过研究漏洞评估方法，重点分析开放平台漏洞在生命周期不同阶段，给用户、社交网站及第三方应用带来的危害，将漏洞生命周期以"时间影响因子"的形式增加到评估过程中，为漏洞修复提供合理的优先级建议。最终提出开放平台第三方应用安全解决方案，进而保障用户隐私安全奠定基础。

项目摘要

本项目以“社交网络开放平台”为核心，旨在全面了解社交网络安全事件的基础上，深入分析社交网络开放平台的安全性，最终为保障社交网络用户的隐私信息安全奠定基础。课题组在对社交网络进行全面的安全威胁分析的基础上，在社交网络开放平台漏洞挖掘、威胁评估、第三方应用隐私保护等方面取得了一系列成果：. 1）在社交网络开放平台漏洞挖掘技术方面。课题组在全面分析社交网络开放平台安全的基础上，逐步开展漏洞挖掘工作，主要围绕Flash这一被广泛用于诸多社交网络开放平台的第三方应用形式，以及RESTful API脚本。基于API的跨站脚本漏洞的成因、危害、利用方式，课题组设计并实现了注入型漏洞检测工具原型系统，发现了包括Facebook、LinkedIn、Tumblr、Weibo、Twitter等在内的多个跨API脚本漏洞。. 2）在社交网络开放平台威胁评估方面。课题组在围绕社交网络进行威胁分析的过程中，发现社交网站为代表的公共服务资源逐渐成为了僵尸网络滋生的沃土。攻击者通过在社交网络中部署由大量社交僵尸账号组成的社交僵尸网络，对社交网络进行渗透，严重危害了社交网络和用户的信息安全。我们首次提出一种基于群体特征的社交僵尸网络检测方法，检测出多个社交僵尸网络，共包含6899个社交僵尸账号。. 3）在社交网络用户隐私保护方面。课题组在社交网络漏洞挖掘与威胁评估过程中发现社交网络中第三方恶意脚本导致的隐私威胁问题日益严重。为此课题组提出一种基于机器学习的自动化检测第三方追踪的方法，开发成第三方追踪脚本自动化检测工具TrackerDetector。同时，我们首次提出了一种基于推荐系统的用以平衡第三方应用个性化服务及其隐私威胁的方法，增强了当前第三方追踪防御领域中个性化防御。. 项目相关成果在CCS 2014、ISPEC 2015、ESORICS 2016、《Computer Networks》、《SCIENCE CHINA Information Sciences》、《通信学报》、《计算机研究与发展》等国内外重要会议或期刊发表学术论文13篇，申请国家发明专利1项。其中，SCI或EI检索论文11篇，CCF-B类学术论文4篇。部分成果获得北京市科学技术奖三等奖。

项目成果

DOI：{{i.doi}}

发表时间：{{i.publish_year}}

暂无此项成果

数据更新时间：2023-05-31

其他相关文献

DOI：10.12198/j.issn.1673 − 159X.3895

发表时间：2021

DOI：

发表时间：2018

DOI：

发表时间：2015

DOI：10.16265/j.cnki.issn1003-3033.2019.04.015

发表时间：2019

DOI：10.19474/j.cnki.10-1156/f.001172

发表时间：2017

刘奇旭的其他基金

相似国自然基金

基于汇点脆弱性评估的可伸缩并行化漏洞挖掘方法研究

批准号：61003216

批准年份：2010

负责人：韦韬

学科分类：F0205

资助金额：18.00

项目类别：青年科学基金项目

网络应用软件安全漏洞挖掘技术研究

批准号：90718007

批准年份：2007

负责人：孙应飞

学科分类：F0206

资助金额：50.00

项目类别：重大研究计划

基于数据挖掘的安全漏洞静态检测方法研究

批准号：60873213

批准年份：2008

负责人：梁彬

学科分类：F0205

资助金额：30.00

项目类别：面上项目

软件漏洞防利用及危害性分析技术与评估方法

批准号：U1736209

批准年份：2017

负责人：苏璞睿

学科分类：F0203

资助金额：256.00

项目类别：联合基金项目

社交网络开放平台漏洞挖掘及威胁评估方法研究

{{i.achievement_title}}

暂无此项成果

其他相关文献

跨社交网络用户对齐技术综述

硬件木马:关键问题研究进展及新动向

城市轨道交通车站火灾情况下客流疏散能力评价

基于FTA-BN模型的页岩气井口装置失效概率分析

服务经济时代新动能将由技术和服务共同驱动

刘奇旭的其他基金

相似国自然基金