由南京大学软件研发效能(DevOps+)实验室助理研究员刘博涵博士申报的”基于流量的API资产的发现、安全风险检查与异常识别”课题成功通过2023年度“CCF-华为胡杨林基金-软件工程专项”评审并获得立项资助。该项目从30余所高校与研究机构的64项课题申报中脱颖而出,是获得立项资助的13个项目之一。南京大学软件研发效能实验室也成为自2020年CCF-华为胡杨林基金成立以来唯一连续三年获得此基金资助的科研团队。

2023年度“CCF-华为胡杨林基金-软件工程专项”评审结果名单(排名不分先后):

序号申请人单位项目名称
1  自我反馈的代码大模型提示工程技术研究
2  代码表征与生成场景的预训练模型高性能微调与推理技术研究
3  大模型与类型系统混合驱动的单元测试用例生成技术研究
4  基于大语言模型与代码分析的单元测试用例演化技术研究
5  基于大模型的系统集成测试生成和优化技术
6  智能代码重构引擎:时机识别与精准重构的算法研究
7  基于大模型的代码精准重构技术
8  全链路压测演练场景下智能辅助性能工程
9  基于 DPU 的低开销细粒度非侵入式应用观测工具
10  基于导向型模糊测试的漏洞验证程序自动生成技术研究
11刘博涵南京大学基于流量的API资产的发现、安全风险检查与异常识别
12  基于恶意行为序列建模的恶意软件包检测与定位技术
13  基于大语言模型的深度代码高覆盖的灰盒模糊测试方法研究

本项目旨在基于流量实现API资产的发现、安全风险检查与异常识别,具体可分为3个目标,即研发出一套规则与半监督学习相结合的API流量识别方法以实现API资产的发现;汇总现有API安全检查表,设计基于流量的API安全风险检查表及相应的自动化检测方法来进行API资产的风险检查;并在此基础上从单点视角和过程视角两方面进行API流量的异常识别。课题申报前期通过与华为相关科研团队的多次深度沟通,已对总体方案涉及的研究问题、研究路线(如下图所示)、可行性等方面进行了充分论证。软件研发效能实验室具有与华为等国内大型IT企业多年长期持续合作的丰富经验,具备开展安全相关研究的科研实力。尤其是,申请人团队近年来在漏洞检测、威胁建模、供应链安全等软件安全相关领域积累了深厚的研究基础和项目经验,这将为本项目研究的顺利开展提供坚实的理论和技术基础及工程实现能力支持。

研究路线图

“CCF-华为胡杨林基金”由华为与中国计算机学会联合发起,致力于为海内外高校及科研院所的学者搭建产学研合作及学术交流的平台。软件工程专项旨在持续提升软件工程理论和技术的研究以及在产业界的应用落地,创造产业价值。

按照申请指南计划,本年度资助的项目将于2023年10月在CNCC会议期间举行项目授予仪式,2023年12月在中国软件大会上进行开题和项目交流,2023年3月进行中期审视,2024年9月完成结题。

刘博涵博士作为南京大学软件学院软件研发效能实验室的核心骨干成员,将与华为在API资产发现和流量安全检查等方面开展深度合作。