| 项目 | |
| 背景 | 软件漏洞威胁复杂系统,可能导致信息泄露和系统崩溃,对企业、政府和个人带来巨大影响,WannaCry和Heartbleed漏洞带来了数亿美元的损失,漏洞通常源于微小代码错误,如Heartbleed本可用两行代码避免,随着软件规模扩大,软件漏洞不断增加,自动化漏洞检测成为关键研究领域。 |
| 相关研究综述 | 动态程序分析方法需要广泛的代表性测试用例,传统静态分析工具基于规则,容易产生错误,数据驱动的方法使用机器学习技术学习代码的脆弱特征,但存在准确性问题,深度学习方法在精度和召回率方面达到了80%以上的准确率,但许多研究工作在合成代码示例上或仅适用于一小部分项目。 |
| 主要思路及贡献 | VUDENC通过GitHub上的大规模数据集训练,能检测7种常见漏洞类型,它处理代码token及其周围的token,以了解token出现的上下文,并使用word2vec模型嵌入到数值矢量中,然后LSTM网络用于识别易受攻击代码的特征,VUDENC提出了完全自动化的标记方法,可以应用于非常大的真实世界软件语料库,而不需要人工干预。 |
| 关键步骤 | 数据集构建:获取仓库提交时的commit信息,并在此基础上过滤出满足漏洞关键字的仓库,进而获取到这些仓库commit时的差异代码,Word2vec向量化:将源代码转换为数值矢量,以便进行深度学习,LSTM模型:使用长短期记忆网络识别易受攻击代码的特征。 |
代码漏洞检测是一个复杂且重要的领域,涉及多种技术和方法,通过深度学习等先进技术,可以提高漏洞检测的准确性和效率,从而更好地保护软件系统的安全稳定。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/58158.html
