手机已经成为现代人生活的必需品。乘车、支付、学习、社交，手机已经参与到生活的方方面面。但是，你的手机真的安全吗？这片繁荣的移动生态背后，暗藏着监听窃密、隐私滥用、电信诈骗等安全威胁。十年前的“棱镜门”事件、近几年频频被爆出的手机后门、再到车机系统的隐私泄露，以手机、车机为代表的移动设备面临着严重的安全风险。

然而，在移动安全上的破局并不容易。在寻求对抗移动互联网攻击行为的手段中，首要问题是如何有效表征针对移动终端的攻击行为，其次则是如何在层出不穷的新型攻击手法中准确感知安全威胁。再次，即使发现了安全威胁，移动生态软件数量庞大、架构复杂、漏洞多样，人工审计远远跟不上漏洞产生的速度，如何定位海量漏洞又是一个难题。最后的问题是，面对快速迭代的新型网络攻击，该如何持续防御不断变化的安全风险？

针对以上难题，复旦大学杨珉团队的成果以多维语义融合的攻击行为表征方法作为基础，针对检测错漏、防护被动、治理困难三大难点，开创性地建立了移动互联网生态安全防护体系，形成多项国家标准和核心专利，填补我国相关技术领域空白。这一成果获得上海市技术发明奖一等奖。

在电影《孤注一掷》中，诈骗集团利用技术手段不断变换身份、伪造信息，让受害者深陷骗局而难以察觉。在现实世界中，电信网络诈骗同样依托快速迭代的黑灰产技术，让传统防御手段疲于应对。如何像反诈专家一样，提前识破犯罪分子的“剧本”，成为网络安全领域的关键挑战。这正是项目团队发明基于犯罪行为表征的网络攻击治理技术的核心突破。

项目团队发现，尽管黑灰产技术形态千变万化，但其犯罪行为表征会通过语义特征、传播路径、行为模式等多个维度留下可追溯的“数字指纹”。例如，诈骗网站虽频繁更换域名和主机，但其网页语义与网络拓扑会形成独特的“欺诈图谱”。对此，项目团队另辟蹊径，提出融合分析方法，如同通过笔迹鉴定识别嫌疑人，发起针对在野涉诈网站和应用软件的集约打击。

与此同时，移动软件中的漏洞是存在手机中的一颗颗定时炸弹，随时可能窃取用户隐私信息、影响软件正常使用，甚至成为诈骗团伙实施犯罪的工具，严重影响广大用户的个人安全。如同现代工业产品制造依赖于完善的供应链，现代软件开发也早已采用成熟的供应链模式，这也引入了大量的供应链漏洞。项目团队通过融合软件上下文状态语义和操作系统框架层语义，构建和挖掘大规模高质量漏洞数据，发明了软件供应链驱动的新型漏洞检测技术。

移动软件攻击行为表征方法原理示意图

为了解决供应链漏洞的数据来源繁杂、分析难度高的难题，项目团队融合自然语言理解和动静态程序分析等技术，实现对多源公开漏洞数据的自动化清洗和补全，达到了软件供应链条上漏洞信息的全方面覆盖，形成大规模高质量漏洞数据。相关技术应用于多家企业，相较于国内外主流产品，漏洞误报率显著降低，发现百余个安卓零天高危漏洞，保障移动应用安全。

另外，为了应对移动终端面临的海量威胁，研究人员通常采用基于指纹特征或机器学习方法的防护手段来标注已知威胁。然而，就像病毒会不断变异逃避疫苗，网络攻击也在持续进化：上个月还能识别的恶意软件，这个月可能就换了"马甲"；昨天有效的防护系统，今天可能就被新型攻击绕开。更棘手的是，攻击者与防护系统如同在进行永不停歇的“军备竞赛”，传统防护技术往往顾此失彼——要么频繁更新拖慢设备速度，要么防护滞后导致漏洞百出。

数据驱动，检测海量移动软件供应链漏洞

在这场攻防博弈中，项目团队发现恶意软件的攻击手段虽然千变万化，但其核心行为模式却如同“基因”般固定。团队从用户交互、操作系统框架层和系统内核层语义出发，突破了传统防护方法依赖浅层特征进行检测的瓶颈，建立覆盖3000余种软件行为的“基因图谱库”，对不断演化的恶意行为进行持久识别。同时，团队创造性地将核心算法集成进AI芯片算子，并设计了独特的“双层安检”架构——大核负责深度分析可疑行为、小核处理常规监测，极大地节省了移动设备用于防护的开销。

审稿人：复旦大学杨珉团队