漏洞检测是软件系统安全领域的关键技术.近年来,深度学习凭借其代码特征提取的卓越能力,在漏洞检测领域取得了显著进展.然而,当前基于深度学习的方法仅关注于代码实例自身的独立结构特征,而忽视了不同漏洞代码间存在的结构特征相似关联...漏洞检测是软件系统安全领域的关键技术.近年来,深度学习凭借其代码特征提取的卓越能力,在漏洞检测领域取得了显著进展.然而,当前基于深度学习的方法仅关注于代码实例自身的独立结构特征,而忽视了不同漏洞代码间存在的结构特征相似关联,限制了漏洞检测技术的性能.针对这一问题,提出了一种基于函数间结构特征关联的软件漏洞检测方法(vulnerability detection method based on correlation of structural features between functions,CSFF-VD).该方法首先将函数解析为代码属性图,并通过门控图神经网络提取函数内的独立结构特征.在此基础之上,利用特征之间的相似性构建函数间的关联网络并构建基于图注意力网络进一步提取函数间关联信息,以此提升漏洞检测的性能.实验结果显示,CSFF-VD在3个公开的漏洞检测数据集上超过了当前基于深度学习的漏洞检测方法.此外,在函数内各独立特征提取的基础上,通过增加CSFF-VD中函数间关联特征提取方法的实验,证明了集成函数间关联信息的有效性.展开更多
文摘漏洞检测是软件系统安全领域的关键技术.近年来,深度学习凭借其代码特征提取的卓越能力,在漏洞检测领域取得了显著进展.然而,当前基于深度学习的方法仅关注于代码实例自身的独立结构特征,而忽视了不同漏洞代码间存在的结构特征相似关联,限制了漏洞检测技术的性能.针对这一问题,提出了一种基于函数间结构特征关联的软件漏洞检测方法(vulnerability detection method based on correlation of structural features between functions,CSFF-VD).该方法首先将函数解析为代码属性图,并通过门控图神经网络提取函数内的独立结构特征.在此基础之上,利用特征之间的相似性构建函数间的关联网络并构建基于图注意力网络进一步提取函数间关联信息,以此提升漏洞检测的性能.实验结果显示,CSFF-VD在3个公开的漏洞检测数据集上超过了当前基于深度学习的漏洞检测方法.此外,在函数内各独立特征提取的基础上,通过增加CSFF-VD中函数间关联特征提取方法的实验,证明了集成函数间关联信息的有效性.
