正文

杰出论文奖!复旦-阿里联合团队微服务安全新成果亮相网安顶会S&P

admin
admin V管理员 /0 评论 /15 阅读
0520
文章最后更新时间2025年05月20日,若文章内容或图片失效,请留言反馈!

复旦大学系统软件与安全实验室与阿里巴巴集团安全部联合完成的研究成果微服务架构安全分析领域取得了新进展。该工作系统的揭示了微服务架构下仍存在严重的污点类漏洞风险,并提出了首个面向微服务系统的跨服务静态漏洞检测方案,具有重要的研究价值与应用意义。

该成果被网络安全领域顶级学术会议 IEEE S&P 2025CCF-A类)录用,并荣获 “杰出论文奖”(Distinguished Paper Award),这是复旦大学系统软件与安全实验室继荣获 USENIX Security 和 NDSS 杰出论文奖之后,再次在国际网络安全顶级学术会议中获得该项殊荣。与此同时,成果也成功入选工业界顶级会议 BlackHat USA 2025,充分彰显其在学术研究深度与产业实践价值方面的双重影响力。

项目背景

“微服务”是现代软件架构的一种设计理念,它把一个庞大的应用拆分成多个功能单一、可独立部署的小模块(称为“服务”),比如:订单管理、支付处理、用户认证等,每个服务像拼图一样协同工作。它能显著提升开发效率和系统可维护性,因此被阿里,华为,谷歌,亚马逊等各类大型企业广泛采用。

尽管微服务架构应用提供了一定程度的隔离能力,但其仍存在像 SQL 注入、远程命令执行等“污点类漏洞”。攻击者可以通过一个对外开放的服务发起攻击,将携带恶意输入的数据经由多个服务之间的调用路径逐步传播,最终在内部敏感组件中触发漏洞,对系统安全造成严重威胁。

同时,微服务架构天然具有分布式、解耦运行的特点,服务之间通过多种协议和组件协作完成业务流程。这种结构虽提升了系统弹性与开发效率,却也带来了入口难识别通信路径难还原跨服务调用链难分析等检测挑战。

研究成果

针对微服务架构的独特挑战,研究团队设计了一款全新的安全检测工具 — MScan,通过“看得清、连得上、测得准”三大关键技术,精准定位隐藏在微服务内部的高危漏洞。

1

看得清: 自动识别用户可访问入口

企业系统的访问入口通常藏在各种复杂的“网关配置”中,传统工具很难准确解析网关规则,容易将用户不可访问的入口误认为是可访问的,导致漏洞检测误报。

MScan 首创性地引入了大语言模型(LLM)来理解这些配置,通过 few-shot prompt 方式,让 LLM 理解 Spring Cloud Gateway、Zuul 等网关组件中的规则,从而准确识别出用户可以访问的真实入口,大大减少了误报。

2

连得上: 重建服务之间的“通信地图”

在微服务架构中,服务间通信可能通过 HTTP、gRPC、消息队列等多种异构方式进行。攻击者往往利用这些通信链条,在多个服务之间“跳跃”传播恶意数据,形成复杂的跨服务攻击路径。

为还原这些路径,MScan 构建了一种名为服务依赖图(Service Dependency Graph)的新型图结构,将多种通信协议抽象为统一的图结构节点,通过识别请求模式和通讯标识,串联起各服务之间的真实数据流路径。

3

测得准: 距离引导的污点分析策略

微服务应用规模大、调用链复杂,直接使用精确的上下文敏感分析容易导致内存溢出、分析超时等性能问题。

为平衡检测精度与效率,MScan 采用了一种距离引导”的分析策略。其根据调用图中 source 到 sink 的路径距离动态调整分析精度。路径越近,采用精确分析;路径越远,则使用近似分析。这一策略在不牺牲关键漏洞检测能力的前提下,显著提升了分析效率,使系统能在大规模微服务场景下稳定运行。

研究贡献

本研究工作在微服务应用安全领域取得以下关键成果:

1

揭示新型安全隐患:系统性分析微服务架构在服务分层、通信链路等结构下仍易出现“跨服务污点传播”问题,指出其不同于传统单体架构中的数据流风险,具有更隐蔽的触发链条与更复杂的检测挑战。

2

创新漏洞检测方案:提出新型静态分析框架 MScan,具备三大创新模块:入口识别(基于 LLM)、服务依赖建模(SDG)、距离引导污点分析,三者协同以实现高精度且高效的跨服务漏洞检测。

3

真实场景验证与企业落地实测:我们将 MScan 应用于 25 个开源项目与 5 个来自阿里巴巴集团的工业级微服务系统,成功发现 59 个高风险 0-day 漏洞,覆盖SQL注入、SSRF、远程命令执行等关键攻击面。目前已有 31 个漏洞获得 CVE 编号,并协助企业完成修复流程,体现了本方法在企业级系统中的实际价值。

4

国际认可与广泛影响:该研究成果被国际顶级安全会议 IEEE S&P 2025 录用并荣获杰出论文奖(Distinguished Paper Award),同时也被 BlackHat USA 2025 收录,展示了其在学术与工业界的双重影响力。

第一作者

刘丰毓,复旦大学21级硕博连读生,白泽CTF战队队长,导师为张源教授、杨珉教授。主要研究方向包括越权漏洞治理、智能体安全,在 CCS、S&P、USENIX Security 等网络安全顶会上发表论文 7 篇,其中第一作者 3 篇,获 S&P 2025 杰出论文奖。相关研究成果在阿里巴巴、华为等多家行业头部公司落地,发现数百个高危 0-day 漏洞,获得苹果、微软、英特尔等公司致谢。在网安竞赛方面,获得国家级网络安全攻防演练、CTF竞赛冠军十余项。

素材:刘丰毓

供稿:刘丰毓

版:K

责编:邬梦莹

审核:张琬琪、洪赓、林楚乔

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队?

公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om