负责公司云原生平台底层系统（Linux内核、容器运行时、分布式存储）的安全防护体系设计，主导漏洞热修复、内核级攻击防御及容器安全策略优化，支撑日均10亿+请求的云服务安全稳定运行。

• 主导Linux内核高危漏洞（如CVE-2024-38080）的应急响应与热修复方案设计，基于kpatch动态内核补丁技术实现无重启修复，将关键业务系统停机时间从传统的4小时压缩至15分钟内，全年完成12个内核漏洞的热修复，保障核心交易链路99.99%可用性。
• 设计并落地基于eBPF的内核态攻击检测引擎，通过定制tracepoint监控sys_enter_openat、sys_enter_execve等关键系统调用，结合语义分析识别内存破坏（缓冲区溢出）、代码注入等攻击行为，上线后拦截内核级攻击事件237起，误报率控制在0.28%以下，成为公司云主机安全基线的核心检测能力。
• 针对容器逃逸风险，重构容器安全策略框架：基于Containerd API开发自定义Runtime Hook，在创建容器时注入Seccomp Profile限制危险系统调用（如pivot_root），并通过AppArmor配置文件细化进程文件访问权限；联合K8s安全组优化Pod安全策略（PSP替代方案），将容器逃逸事件发生率从0.15%降至0.01%以下。
• 推动RASP（运行时应用自保护）技术在核心数据库服务中的深度集成，基于eBPF+UPROBE技术监控数据库连接池、SQL解析器等关键模块，自定义规则拦截反序列化攻击（如Fastjson CVE-2023-29469）和SQL注入变种，年阻断针对数据库层的恶意攻击事件189次，相关方案获集团技术创新奖。

聚焦公司基础设施（物理机、私有云主机、大数据平台）的系统安全加固与攻击面收敛，负责内核安全模块开发、漏洞挖掘验证及安全事件根因分析。

• 牵头制定服务器操作系统（CentOS 7/Ubuntu 20.04）安全基线标准，基于Lynis工具结合自定义脚本实现自动化合规检查，覆盖CPU微架构漏洞（如Spectre V2）、内核参数配置（net.ipv4.tcp_syncookies）、敏感文件权限等237项指标，推动全量服务器修复率从82%提升至98%，通过金融行业等保三级测评。
• 开发内核级提权漏洞拦截模块，利用kprobe动态挂钩sys_setuid、sys_capset等关键系统调用，检测异常权限变更行为；针对CVE-2022-0847（脏管道）漏洞，分析其利用内核fsnotify机制的特性，设计基于inotify事件频率的异常检测规则，成功拦截内部测试团队构造的17种提权利用POC，相关模块集成至公司HIDS（主机入侵检测系统）。
• 构建基于Osquery的主机行为画像系统，采集进程树、网络连接、文件操作等20+维度数据，通过XGBoost模型训练正常行为基线，识别出3起横向移动攻击（攻击者通过cron任务植入木马），平均事件发现时间从传统日志分析的4小时缩短至25分钟，获公司年度安全运营优秀案例。
• 参与大数据平台（Hadoop 3.x/YARN）的内核级安全优化，定位YARN NodeManager进程因内核OOM Killer机制导致的资源抢占问题，通过调整vm.overcommit_memory参数、定制进程优先级策略（cgroups），将关键计算任务的OOM崩溃率从周均5次降至0次，支撑双11期间离线计算任务100%完成。

负责公司自研分布式存储系统的底层安全测试与防护能力开发，覆盖内核漏洞挖掘、文件系统安全增强及研发侧安全意识赋能。

• 对分布式存储系统内核模块（基于Linux内核2.6.32定制）进行Fuzzing测试，使用AFL++结合内核崩溃日志分析框架（kdump）发现3个本地权限提升漏洞（CVE-2020-XXXXX/XXXXX/XXXXX），其中1个可导致普通用户获取root权限，协助开发团队修复后通过中国信息安全测评中心的安全认证。
• 开发文件系统（EXT4）防篡改功能模块，基于内核扩展属性（xattr）存储文件哈希值，结合定时任务（cron）校验关键目录（如/etc/config）的完整性，拦截过2起因运维误操作导致的配置文件篡改事件，相关功能被纳入存储系统企业版安全特性。
• 编制《研发人员系统安全开发指南》，涵盖内核模块内存安全（避免UAF）、系统调用过滤（防止恶意参数注入）、敏感信息保护（/proc文件权限控制）等12个核心场景，配套提供C语言安全编码示例（如使用strncpy替代strcpy），推动研发团队代码审计中系统安全相关缺陷数下降55%。
• 搭建内核安全知识共享平台，整理CVE漏洞分析报告（如CVE-2019-11815脏牛漏洞）、内核调试技巧（kgdb远程调试）等技术文档50+篇，组织月度安全沙龙覆盖80+研发/运维人员，团队整体内核安全意识评分从6.2分（满分10）提升至8.1分。

星途游戏社交平台全链路安全加固与主动威胁狩猎体系搭建

• 星途互娱旗下游戏社交平台承载月活5000万+用户，面临恶意注册、账号盗用、实时聊天违规及黑产刷量等问题，且传统规则防护无法应对黑产机器学习绕抗。我的核心职责是主导全链路安全方案设计与落地，衔接业务、安全运营团队实现“防护-检测-响应”闭环。
• 项目难点在于两点：一是高并发场景下实时检测的性能瓶颈——初期RASP钩子导致游戏服务器延迟上升15%；二是黑产利用游戏社交特性（如虚拟礼物批量刷取、跨服聊天引流）规避传统规则引擎，漏检率高达20%。
• 为解决性能问题，我优化RASP无侵入式hook策略，针对登录、礼物发放等核心接口定制轻量化检测逻辑，通过字节码增强而非全链路拦截，将性能损耗压降至2%以内；针对业务特性，基于用户行为画像（登录时段分布、好友互动频次、虚拟资产变动速率）构建LSTM异常检测模型，结合MISP威胁情报平台的黑产IP/设备指纹库，实现“正常行为基线+实时异常预警”的主动狩猎。
• 项目上线后，恶意注册量月均下降75%，实时威胁拦截率提升至99.2%；威胁狩猎系统3个月内识别3起大型黑产团伙（涉及10万余个虚假账号、非法获利超200万元），为公司挽回直接损失800余万元。同时输出《游戏社交平台安全防护SOP》，赋能公司3款新游上线前的安全评估，成为集团游戏业务安全标准。

云帆供应链金融安全合规改造与自动化审计系统研发

• 云帆电商供应链金融业务连接1000+供应商、500+经销商及8家金融机构，涉及万亿级资金流转，需满足等保2.0三级、金融行业数据安全规范（JR/T 0197-2020），但传统人工审计仅覆盖30%核心流程，无法发现跨系统权限漏洞。我的职责是主导合规改造与自动化审计系统研发，对接风控、法务团队实现“合规可落地、审计可追溯”。
• 项目难点有二：一是供应链金融多系统（ERP、支付网关、风控系统）交互中的权限链路模糊，传统RBAC模型无法覆盖跨系统越权；二是合规要求动态更新（如2021年《金融数据安全管理规范》新增“数据跨境流动”要求），人工适配成本高且易遗漏。
• 针对权限问题，我构建基于Neo4j图数据库的权限链路分析模型，关联用户-角色-系统接口-数据资产的四层关系，识别跨系统隐性越权（如供应商账号通过接口跳转非法访问金融机构交易数据）；针对合规动态性，基于OpenPolicy Agent（OPA）开发适配电商金融的规则引擎，将等保、金融规范封装为可配置的策略集，整合至CI/CD pipeline实现代码提交时自动合规校验。
• 项目完成12个核心系统的合规改造，合规审计覆盖率从60%提升至95%；自动化审计系统将单次全量审计时间从2周缩短至1天，效率提升80%。期间识别并修复17个跨系统越权漏洞、5类数据合规隐患，避免2起潜在监管处罚（预估罚款超500万元）。系统后续被集团推广至所有金融科技业务线，成为供应链金融安全底座。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。