-
题名基于敏感语义关联的代码切片及应用研究
- 1
-
-
作者
帅活力
唐成华
-
机构
桂林电子科技大学广西可信软件重点实验室
-
出处
《科技资讯》
2024年第4期53-57,共5页
-
基金
国家自然科学基金(项目编号:62062028)
广西可信软件重点实验室基金(项目编号:202320)
广西研究生教育创新计划项目(项目编号:YCSW2023295)。
-
文摘
利用程序的可伸缩性对程序进行代码切片,识别出受敏感变量影响的关键语句,消除噪声并挖掘程序内部依赖,用以检测代码的漏洞与缺陷。针对切片对依赖过于敏感的问题,提出一种基于敏感语义关联的代码过程间切片方法,提取表征敏感信息的有效语句,捕获语义依赖关联,将代码漏洞触发点转化为上下文敏感的缺陷依赖流,并基于约束规则提升切片效率,结合缺陷约束获取代码漏洞的异常来源。实验结果表明:该方法在代码切片的效率、质量以及漏洞检测的精度上有较好的表现。
-
关键词
代码切片
敏感语义
控制流
漏洞检测
-
Keywords
Code slicing
Sensitive semantics
Control flow
Vulnerability detection
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于图结构源代码切片的智能化漏洞检测系统
被引量:4
- 2
-
-
作者
邹德清
李响
黄敏桓
宋翔
李浩
李伟明
-
机构
华中科技大学网络空间安全学院
信息系统安全技术重点实验室
华中科技大学软件学院
华中科技大学网络与计算中心
-
出处
《网络与信息安全学报》
2021年第5期113-122,共10页
-
基金
国家自然科学基金(U1936211)。
-
文摘
针对智能化漏洞检测,从源代码程序依赖图中根据漏洞特征提取图结构源代码切片,将图结构切片信息表征后利用图神经网络模型进行漏洞检测工作。实现了切片级的漏洞检测,并在代码行级预测漏洞行位置。为了验证系统的有效性,分别与静态漏洞检测系统、基于序列化文本信息和基于图结构化信息的漏洞检测系统做比较,实验结果表明,所提系统在漏洞检测能力上有较高准确性,并且在漏洞代码行预测工作上有较好表现。
-
关键词
漏洞检测
图结构
代码切片
深度学习
-
Keywords
vulnerability detection
graph structure
code slice
deep learning
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名双粒度轻量级漏洞代码切片方法评估模型
- 3
-
-
作者
张炳
文峥
赵宇轩
王苧
任家东
-
机构
燕山大学信息科学与工程学院
河北省软件工程重点实验室
-
出处
《通信学报》
EI
CSCD
北大核心
2021年第11期233-241,共9页
-
基金
国家自然科学基金资助项目(No.61802332,No.61807028,No.61772449)
燕山大学博士基金资助项目(No.BL18012)。
-
文摘
针对现有漏洞代码切片方法评估过程存在的切片信息抽取不完全、模型复杂度高且泛化能力差、评估过程开环无反馈的问题,提出了一种双粒度轻量级漏洞代码切片方法评估模型(VCSE)。针对代码片段,构建了轻量级的TF-IDF与N-gram融合模型,高效绕过了OOV问题,并基于词、字符双粒度提取了代码切片语义及统计特征,设计了高精确率与泛化性能的异质集成分类器,进行漏洞预测分析。实验结果表明,轻量级VCSE的评估效果明显优于当前应用广泛的深度学习模型。
-
关键词
代码切片
漏洞检测
未登录词
轻量级
评估方法
-
Keywords
code slicing
vulnerability prediction
out of vocabulary
lightweight
assessment method
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名基于小样本学习的源码漏洞检测
- 4
-
-
作者
陈洪森
方勇
郝城凌
杨运涛
张棋
-
机构
四川大学网络空间安全学院
成都市互联网信息中心
-
出处
《信息安全研究》
CSCD
北大核心
2024年第5期440-445,共6页
-
文摘
源码漏洞检测是发现及定位关键系统威胁的重要手段.目前,将深度学习技术应用于源码漏洞检测已经成为研究热点.然而,由于源码漏洞样本缺失,有限的数据条件资源导致现有的源码漏洞检测方法在小样本场景下效果不佳.提出了一种基于小样本学习的源码漏洞检测方法,其目标在于为有限样本量的源码漏洞检测场景提供解决方案.该方法由4个关键部分组成:源码切片和编码、基于元学习的数据集处理、基于动态路由算法的漏洞类向量生成和基于神经张量网络的漏洞类向量匹配.该方法和卷积神经网络、原型网络、关系网络进行了对比,实验结果表明,该方法在准确率方面优于其他的方法,可以有效应对源码漏洞样本稀疏问题.在2-way 5-shot和2-way 10-shot的情况下,该方法分别达到93.92%和95.08%的准确率.
-
关键词
小样本学习
漏洞检测
归纳网络
代码切片
元学习
-
Keywords
few-shot learning
vulnerability detection
induction network
code slicing
meta-learning
-
分类号
TP183
[自动化与计算机技术—控制理论与控制工程]
-
-
题名基于切片的深度学习SDN恶意应用程序的检测方法
- 5
-
-
作者
池亚平
余宇舟
陈颖
-
机构
北京电子科技学院
-
出处
《计算机应用与软件》
北大核心
2020年第1期320-325,共6页
-
基金
国家重点研发计划项目(2018YF1004101)
-
文摘
SDN是一种新型网络架构,其核心技术是通过将网络设备控制面与数据面分离。然而目前针对SDN网络架构的恶意应用程序研究还较少。针对这一问题,在总结分析现有恶意应用检测方法的基础上,采用代码切片技术并基于深度学习框架提出一种面向SDN恶意应用程序的检测方法。它旨在对样本进行模块化分割并提取特征后,将特征向量以矩阵形式重组。在TensorFlow深度学习环境Keras下对SDN恶意样本进行学习和检测,实验数据表明,该方法对恶意应用程序检测率可以达到93.75%,证明了方案的可行性和科学性。
-
关键词
SDN
恶意应用程序
代码切片
深度学习
-
Keywords
SDN
Malicious applications
Code slicing
Deep learning
-
分类号
TP3
[自动化与计算机技术—计算机科学与技术]
-
-
题名上下文感知的安卓应用程序漏洞检测研究
被引量:6
- 6
-
-
作者
秦佳伟
张华
严寒冰
何能强
涂腾飞
-
机构
北京邮电大学网络与交换技术国家重点实验室
国家计算机网络应急技术处理协调中心
-
出处
《通信学报》
EI
CSCD
北大核心
2021年第11期13-27,共15页
-
基金
国家自然科学基金资助项目(No.62072051,No.61976024,No.61972048)
中央高校基本科研业务费专项资金资助项目(No.2019XD-A01)
教育部区块链核心计划基金资助项目(No.2020KJ010802)。
-
文摘
针对基于学习的安卓应用程序的漏洞检测模型对源程序的特征提取结果欠缺语义信息,且提取的特征化结果包含与漏洞信息无关的噪声数据,导致漏洞检测模型的准确率下降的问题,提出了一种基于代码切片(CIS)的程序特征提取方法。该方法和抽象语法树(AST)特征方法相比可以更加精确地提取和漏洞存在直接关系的变量信息,避免引入过多噪声数据,同时可以体现漏洞的语义信息。利用CIS,基于Bi-LSTM和注意力机制提出了一个上下文感知的安卓应用程序漏洞检测模型VulDGArcher;针对安卓漏洞数据集不易获得的问题,构建了一个包含隐式Intent通信漏洞和Pending Intent权限绕过漏洞的41812个代码片段的数据集,其中漏洞代码片段有16218个。在这个数据集上,VulDGArcher检测准确率可以达到96%,高于基于AST特征和未进行处理的APP源码特征的深度学习漏洞检测模型。
-
关键词
安卓漏洞检测
深度学习
代码切片
漏洞语义特征
-
Keywords
Android vulnerability detection
deep learning
CIS
semantic characteristics of vulnerabilities
-
分类号
TP18
[自动化与计算机技术—控制理论与控制工程]
-
-
题名基于深度学习的动静结合的漏洞挖掘方法
被引量:2
- 7
-
-
作者
宁馨
易平
-
机构
上海交通大学
-
出处
《通信技术》
2021年第2期430-436,共7页
-
基金
国家重点研发计划(No.2019YFB1405000,2017YFB0802900)。
-
文摘
随着互联网的发展,暴露的安全漏洞不断增多。随着人工智能的不断发展,用深度学习的方法来进行漏洞检测成为热门研究。但是,这类方法相较于传统的模糊测试等方法误报较多,且由于模型可能会学习到较多的训练集上的特征,泛化性较差。因此,提出一种通过相似性漏洞检测和定向模糊测试相结合的方法,通过切片程序定位敏感点并获得代码切片,用于模型训练和检测,从而用模型检测的结果来指导模糊测试。实验结果表明,提出的方法具有良好的效果。
-
关键词
漏洞检测
深度学习
代码切片
模糊测试
-
Keywords
vulnerability detection
deep learning
code slice
fuzzing
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
