-
题名一种基于程序切片相似度匹配的脆弱性发现方法
被引量:2
- 1
-
-
作者
刘强
况晓辉
陈华
李响
李广轲
-
机构
军事科学院系统工程研究院信息系统安全技术国家级重点实验室
清华大学计算机科学与技术系
北京邮电大学
-
出处
《计算机科学》
CSCD
北大核心
2019年第7期126-132,共7页
-
文摘
基于脆弱性代码的相似度匹配是静态发现脆弱性的有效方法之一,在不降低漏报率的情况下如何降低误报率和提升分析效率是该方法优化的主要目标。针对这一挑战,提出了基于代码切片相似度匹配的脆弱性发现框架。文中研究了基于关键点的代码切片、特征抽取和向量化的方法,主要思想是以脆弱性代码的脆弱性语义上下文切片作为参照物,通过计算被测代码的切片与脆弱性样本切片的相似性来判断存在脆弱性的可能性。文中实现了该方法,并以已知脆弱性的开源项目为分析对象进行了验证。与已有研究的对比实验表明,切片相似度能更准确地刻画脆弱性上下文,通过切片技术优化了基于相似度匹配的脆弱性发现方法,有效降低了脆弱性发现的误报率和漏报率,验证了所提框架和方法的有效性。
-
关键词
脆弱性分析
程序切片
相似度匹配
-
Keywords
Vulnerability analysis
Programing slicing
Similarity matching
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
