夜雨聆风随着AI 以及云原生架构的广泛应用以及 API 驱动的软件形态不断发展,应用接口已成为系统对外服务的核心入口,同时也成为安全攻击的主要目标。如何在复杂网络环境中实现对 API 资产的全面发现、潜在安全风险的精准识别以及异常行为的高效检测,已成为保障云平台安全与提升软件服务质量的关键问题。
然而,当前面向API 的安全防护仍面临多方面挑战,攻击行为不断演化,尤其是基于语义保持的变异攻击( 如 SQL 注入与 XSS 变体 ),使得检测模型难以泛化。此外,真实流量环境中噪声复杂,异常行为隐蔽性强,进一步增加了检测难度。针对上述问题,软件研发效能实验室杨焱景博士在张贺教授和刘博涵助理教授的指导下,依托 CCF - 华为胡杨林基金软件工程专项(基于流量的API 资产发现、安全风险检查与异常识别 ),与华为云开展紧密产研合作,提出了一套面向云平台的智能安全分析方法(AdaRode )。该方法实现了一种基于对抗增强的注入检测方法,通过构建攻击变异规则并结合模型内部反馈机制,实现对复杂攻击模式的高效识别与鲁棒建模。实验结果表明,该方法在多种攻击场景下均表现出优于现有方法的检测能力与稳定性,有效提升了模型在真实环境中的安全防护能力。
相关研究成果" Towards Robust Detection for Malicious Injection Variants " 已被软件工程学科国际旗舰期刊IEEE Transactions on Software Engineering( TSE ) 全文发表,南京大学为第一完成单位 。同时,基于上述研究成果,团队与华为云联合申请发明专利 " 一种检测模型训练方法、装置、设备及存储介质 "( 专利号:CN121072667A ),目前已通过实质审查并公开,进一步体现了研究成果的工程应用价值与产业落地潜力。
该成果标志着实验室在"软件云服务安全 + 人工智能"方向取得了突破性进展,为云平台API安全防护提供了关键技术保障。
联系方式: 张贺( hezhang@nju.edu.cn ) 刘博涵( bohanliu@nju.edu.cn )
信息网络安全
中文核心期刊
中国科技核心期刊
中国科学引文数据库来源期刊
CCF计算领域高质量科技期刊
我们在不断努力和完善中,期待您的关注和支持!
