面向CPS时空约束的资源建模及其安全性验证方法 被引量：2

1

作者 陈小颖 祝义 +1 位作者 赵宇 王金永 《软件学报》 EI CSCD 北大核心 2022年第8期2815-2838,共24页

信息物理融合系统CPS(cyber physical system)是在环境感知的基础上,集合物理与计算的系统,可以实现与环境的智能交互.CPS信息物理空间的不断变化,对CPS资源安全性造成一定的挑战.因此,如何研究这一类由时空变化而导致的CPS资源安全性... 信息物理融合系统CPS(cyber physical system)是在环境感知的基础上,集合物理与计算的系统,可以实现与环境的智能交互.CPS信息物理空间的不断变化,对CPS资源安全性造成一定的挑战.因此,如何研究这一类由时空变化而导致的CPS资源安全性问题成为关键.针对该问题,提出了面向CPS时空约束的资源建模及其安全性验证方法.首先,在TCSP(timed communicating sequential process)的基础上扩展资源向量,提出了时空资源通信顺序进程DSR-TCSP(duration-space resource TCSP),使其能够描述CPS拓扑环境下的资源;其次,从时空约束的资源安全性需求中获取时间安全需求,通过DSR-TCSP的时间属性验证算法对时间安全需求进行验证;再次,将满足时间安全需求的模型转换为偶图与偶图反应,并输入到偶图检验工具Big MC中,验证其物理拓扑安全需求,对没有通过验证的反例,修改DSR-TCSP模型,直至满足所提出的安全需求;最后,通过一个驾驶场景实例,验证该方法的有效性. 展开更多

关键词 信息物理融合系统 进程代数 形式化验证 时空约束 资源安全性

在线阅读 下载PDF 职称材料

文件信息增强的方法级软件缺陷定位

2

作者 薄莉莉 朱程 +1 位作者 李斌 孙小兵 《电子学报》 EI CAS CSCD 北大核心 2023年第3期613-621,共9页

软件开发与维护中会产生大量缺陷报告,根据缺陷报告准确定位到缺陷代码的位置是极具挑战性的.目前大多数工作在文件粒度定位缺陷,虽然少量工作定位在方法粒度,但定位准确度较低.本文提出一个文件信息增强的方法级软件缺陷定位技术FMBL(a... 软件开发与维护中会产生大量缺陷报告,根据缺陷报告准确定位到缺陷代码的位置是极具挑战性的.目前大多数工作在文件粒度定位缺陷,虽然少量工作定位在方法粒度,但定位准确度较低.本文提出一个文件信息增强的方法级软件缺陷定位技术FMBL(a File information enhanced Method-level Bug Localization technology),考虑方法与文件之间的从属关系以增强缺陷定位准确性.通过综合考虑代码与缺陷报告的词汇相似度、语义相似度和代码长度度量它们之间的相关性.在六个开源软件项目上开展实验以评估FMBL的有效性.结果表明,本文方法在六个项目上的平均Accuracy@10、MAP(Mean Average Precision)和MRR(Mean Reciprocal Rank)值分别达到0.436、0.223、0.296.与现有方法BugLocator、BLIA(Bug Localization using Integrated Analysis)、BugPecker相比,本文方法在MAP指标上分别提升153.1%、209.1%、22.8%. 展开更多

关键词 软件维护 缺陷定位 词汇相似度 语义相似度 文件信息 方法粒度

在线阅读 下载PDF 职称材料

复杂软件系统的不确定性 被引量：5

3

作者 檀超 张静宣 +1 位作者 王铁鑫 岳涛 《软件学报》 EI CSCD 北大核心 2021年第7期1926-1956,共31页

复杂软件系统(如信息物理系统CPS、物联网IoT以及自适应软件系统等)在其开发和运行过程中会遇到各种类型的不确定性问题.针对这些不确定性问题,研究人员开展了大量的研究工作,提出了一系列的方法,取得了诸多成果.然而,由于此类系统本身... 复杂软件系统(如信息物理系统CPS、物联网IoT以及自适应软件系统等)在其开发和运行过程中会遇到各种类型的不确定性问题.针对这些不确定性问题,研究人员开展了大量的研究工作,提出了一系列的方法,取得了诸多成果.然而,由于此类系统本身固有的复杂性和其内在与外在不确定性的共同作用,截止目前研究人员针对该研究领域仍然缺乏系统性和整体性的理解和分析.为了深入探究该领域的研究现状,采用系统研究的方法(systematic mapping study)识别出142篇相关文献,并基于这些文献研究信息物理系统和物联网等系统生命周期中各个阶段和系统开发过程中产生的各种制品的不确定性及其处理方法.通过对相关文献进行分析发现针对复杂系统的不确定性研究主要集中在其生命周期的设计定义、系统分析和运行等阶段.此外,首先将文献划分为3种不确定性类型,包括外部不确定性、内部不确定性和传感器不确定性,并将142篇相关论文关注的不确定性进行了分类.为了深入探究不确定性,将外部不确定性细分为环境不确定性、基础设施不确定性、用户行为不确定性以及经济属性不确定性,将内部不确定性细分为系统结构不确定性、内部交互不确定性、支持系统运行的技术不确定性以及处理系统运行技术的不确定性.针对复杂系统中的开发制品,提出了对应的不确定性类型,包括模型的不确定性、数据的不确定性和参数的不确定性等8类.针对复杂系统的不确定性问题,研究人员主要采用不确定性下的决策、不确定性推理和不确定性规约/建模等方法进行不确定性分析和处理.基于文献分析结果,进一步探讨和展望了该领域未来的研究趋势. 展开更多

关键词 不确定性 系统研究 信息物理系统 物联网

在线阅读 下载PDF 职称材料

采用局部子图嵌入的MOOCs知识概念推荐模型 被引量：2

4

作者 居程程 祝义 《计算机科学与探索》 CSCD 北大核心 2024年第1期189-204,共16页

大规模开放在线课程(MOOCs)在减少用户学习盲区和改善用户体验方面已经有大量的研究,尤其是基于图神经网络的个性化课程资源推荐,但现有工作主要集中在固定或同质图上,容易受到数据稀疏问题的影响且难以扩展。在局部子图上使用图卷积,... 大规模开放在线课程(MOOCs)在减少用户学习盲区和改善用户体验方面已经有大量的研究,尤其是基于图神经网络的个性化课程资源推荐,但现有工作主要集中在固定或同质图上,容易受到数据稀疏问题的影响且难以扩展。在局部子图上使用图卷积,并结合扩展的矩阵分解(MF)模型来解决这一问题。首先,将异构图分解为多个基于元路径的子图,结合随机游走采样方法实现在采样节点富有影响力邻域的同时捕获实体之间复杂的语义关系,并在局部邻域上进行图卷积平滑各节点表示,实现高可扩展性;然后,使用注意力机制适应性地融合不同子图的上下文信息,更全面地构建用户偏好;最后,通过扩展矩阵分解优化模型参数,获得推荐列表。为了验证提出模型的性能,在公开的MOOCs数据集上进行对比实验,相较于最优基线,性能提升了2%,内存计算需求降低了近500%,缓解数据稀疏问题的同时仍具有较强的可扩展性。 展开更多

关键词 大规模开放在线课程(MOOCs) 图神经网络 个性化课程推荐 图卷积 基于元路径的子图 扩展矩阵分解

在线阅读 下载PDF 职称材料

基于路径分析和信息熵的错误定位方法 被引量：7

5

作者 姜淑娟 张旭 +3 位作者 王荣存 黄颖 张艳梅 薛猛 《软件学报》 EI CSCD 北大核心 2021年第7期2166-2182,共17页

软件错误定位是一项耗时又费力的工作,因此如何提高软件错误定位的自动化程度一直以来都是软件工程领域研究的热点.现有的基于频谱的错误定位方法很少利用程序的上下文信息,而程序的上下文信息对错误定位至关重要.针对这一问题,提出了... 软件错误定位是一项耗时又费力的工作,因此如何提高软件错误定位的自动化程度一直以来都是软件工程领域研究的热点.现有的基于频谱的错误定位方法很少利用程序的上下文信息,而程序的上下文信息对错误定位至关重要.针对这一问题,提出了一种基于路径分析和信息熵的错误定位方法FLPI.该方法在基于频谱信息技术的基础上,通过对所有执行路径中的数据依赖关系进行分析来引入执行上下文信息,同时利用信息熵理论将测试事件信息引入到可疑语句的怀疑度计算公式中,以提高错误定位的精度和效率.为了评价该方法的有效性,基于一组基准程序和开源程序进行实验验证.实验结果表明,所提出的方法FLPI能够有效地提高错误定位的精度和效率. 展开更多

关键词 错误定位 上下文信息 信息熵 路径分析

在线阅读 下载PDF 职称材料

位置约束的访问控制模型及验证方法 被引量：5

6

作者 曹彦 黄志球 +2 位作者 阚双龙 彭焕峰 柯昌博 《计算机研究与发展》 EI CSCD 北大核心 2018年第8期1809-1825,共17页

随着物联网和信息物理融合系统等新一代信息技术的发展,位置约束的访问控制系统的安全性需求不仅体现在虚拟的信息空间,还体现在现实的物理空间.如何在这种新需求下制定位置约束的访问控制模型与验证方法成为保证访问控制系统安全的关... 随着物联网和信息物理融合系统等新一代信息技术的发展,位置约束的访问控制系统的安全性需求不仅体现在虚拟的信息空间,还体现在现实的物理空间.如何在这种新需求下制定位置约束的访问控制模型与验证方法成为保证访问控制系统安全的关键所在.首先提出位置约束访问控制模型,包括LCRBAC模型和EM模型,实现对信息空间和物理空间的静态结构以及两空间中实体动态行为的刻画;其次利用偶图和偶图反应系统建模位置约束访问控制模型,生成访问控制策略标注转移边的标号变迁系统;然后根据标号变迁系统验证结果,提出针对死锁状态、违反状态和不可达状态的策略修改方案;最后通过银行访问控制系统实例分析说明所提方法能够对信息空间和物理空间以及两空间交互行为的访问控制策略进行建模和验证. 展开更多

关键词 位置约束访问控制系统 模型检测 偶图 反应规则 验证

在线阅读 下载PDF 职称材料

基于抽象解释的嵌入式软件模块化Cache行为分析框架 被引量：5

7

作者 喻垚慎 黄志球 +2 位作者 沈国华 王飞 崔少轩 《计算机学报》 EI CSCD 北大核心 2019年第10期2251-2266,共16页

程序最坏执行时间(Worst Case Execution Time,WCET)是嵌入式实时系统时间属性验证的基础,在采用静态分析技术的WCET估算中需要分阶段对不同的执行环境约束条件进行分析,并整合所有约束信息、结合程序控制流结构估算全局最坏路径,因此... 程序最坏执行时间(Worst Case Execution Time,WCET)是嵌入式实时系统时间属性验证的基础,在采用静态分析技术的WCET估算中需要分阶段对不同的执行环境约束条件进行分析,并整合所有约束信息、结合程序控制流结构估算全局最坏路径,因此各阶段分析的中间结果对最终的WCET估算性能具有较大影响.在现代嵌入式系统中,硬件平台中的Cache机制成为对执行时间影响较大的硬件体系结构,对其进行精确的行为分析在WCET估算中具有重要的现实意义.采用抽象解释理论对Cache行为进行分析已有较为成熟的技术成果和相关工具,但由于静态分析技术具有较难理解和使用的特点,对于技术没有覆盖、工具没有支持的硬件架构,针对这类硬件架构进行相关研究和验证工具开发都具有较大难度和挑战.该文以抽象解释为理论基础,以复用Cache分析过程为目标,提出了基于抽象解释的模块化Cache行为分析框架,对Cache行为分析过程进行了层次划分,提出了易于复用的Cache行为分析方法设计,能够针对不同架构的Cache机制分析方法进行建模,并以统一的分析框架对分析过程进行复用.案例实验表明,该框架可支持采用抽象解释对使用LRU策略的Cache行为进行建模分析,并能够得到Cache命中情况标记信息以支持后续WCET的估算过程. 展开更多

关键词 嵌入式软件 Cache行为分析 静态代码分析 模块化分析 抽象解释

在线阅读 下载PDF 职称材料

基于定理证明的内存安全性动态检测算法的正确性研究 被引量：1

8

作者 孙小祥 陈哲 《计算机科学》 CSCD 北大核心 2021年第1期268-272,共5页

随着软件运行时验证技术的发展,出现了许多面向C语言的运行时内存安全验证工具。这些工具大多是基于源代码或者中间代码插桩技术来实现内存安全的运行时检测。但是,其中一些没有经过严格证明的验证工具往往存在两方面的问题,一是插桩程... 随着软件运行时验证技术的发展,出现了许多面向C语言的运行时内存安全验证工具。这些工具大多是基于源代码或者中间代码插桩技术来实现内存安全的运行时检测。但是,其中一些没有经过严格证明的验证工具往往存在两方面的问题,一是插桩程序的加入可能会改变源程序的行为及语义,二是插桩程序并不能有效保证内存安全。为了解决这些问题,文中提出了一种使用Coq定理证明器来判定内存安全验证工具算法是否正确的形式化方法,并使用该方法对C语言运行时验证工具Movec的动态检测算法的正确性进行了证明。对安全规范性质的证明结果表明了Movec的内存安全性动态检测算法是正确的。 展开更多

关键词 运行时验证 源代码插桩 内存安全 定理证明 COQ

在线阅读 下载PDF 职称材料

随机混成系统稀有属性的统计模型检测方法

9

作者 房丙午 黄志球 谢健 《软件学报》 EI CSCD 北大核心 2022年第10期3717-3731,共15页

统计模型检测,已成为随机混成系统安全性验证的重要方法.但对安全性要求较高的系统,其不安全事件和系统失效都是稀有事件.在这种情况下,统计模型检测很难采样到满足稀有属性的样本而变得不可行.针对该问题,提出了交叉熵迭代学习的统计... 统计模型检测,已成为随机混成系统安全性验证的重要方法.但对安全性要求较高的系统,其不安全事件和系统失效都是稀有事件.在这种情况下,统计模型检测很难采样到满足稀有属性的样本而变得不可行.针对该问题,提出了交叉熵迭代学习的统计模型检测方法:首先,使用连续时间马尔可夫链表示随机混成系统的路径概率空间,推导出路径空间上的参数化概率分布函数族;然后构造了随机混成系统路径空间上的交叉熵优化模型,提出了在路径空间上迭代学习最优重要性采样分布的算法;最后给出了基于重要性采样的稀有属性验证算法.实验结果表明:该方法能够有效地对随机混成系统的稀有属性进行验证;且在相同样本数量下,与一些启发式重要性采样方法相比,该方法的估计值能够更好地分布在均值附近,标准方差和相对误差减少超过了一个数量级. 展开更多

关键词 随机混成系统 安全性 稀有属性 交叉熵迭代学习 统计模型检测

在线阅读 下载PDF 职称材料

基于多源域适应的缺陷类别预测方法

10

作者 邢颖 赵梦赐 +4 位作者 杨斌 张俞炜 李文瑾 顾佳伟 袁军 《软件学报》 EI CSCD 北大核心 2024年第7期3227-3244,共18页

随着规模和复杂性的迅猛膨胀,软件系统中不可避免地存在缺陷.近年来,基于深度学习的缺陷预测技术成为软件工程领域的研究热点.该类技术可以在不运行代码的情况下发现其中潜藏的缺陷,因而在工业界和学术界受到了广泛的关注.然而,已有方... 随着规模和复杂性的迅猛膨胀,软件系统中不可避免地存在缺陷.近年来,基于深度学习的缺陷预测技术成为软件工程领域的研究热点.该类技术可以在不运行代码的情况下发现其中潜藏的缺陷,因而在工业界和学术界受到了广泛的关注.然而,已有方法大多关注方法级的源代码中是否存在缺陷,无法精确识别具体的缺陷类别,从而降低了开发人员进行缺陷定位及修复工作的效率.此外,在实际软件开发实践中,新项目通常缺乏足够的缺陷数据来训练高精度的深度学习模型,而利用已有项目的历史数据训练好的模型往往在新项目上无法达到良好的泛化性能.因此,首先将传统的二分类缺陷预测任务表述为多标签分类问题,即,使用CWE(common weakness enumeration)中描述的缺陷类别作为细粒度的模型预测标签.为了提高跨项目场景下的模型性能,提出一种融合对抗训练和注意力机制的多源域适应框架.该框架通过对抗训练来减少域(即软件项目)差异,并进一步利用域不变特征来获得每个源域和目标域之间的特征相关性.同时,该框架还利用加权最大均值差异作为注意力机制,以最小化源域和目标域特征之间的表示距离,从而使模型可以学习到更多的域无关特征.在构建的包含8个真实世界开源项目的数据集上的实验表明,所提方法对比最先进的基线方法取得了显著的性能提升. 展开更多

关键词 缺陷类别预测 多源域适应 对抗训练 注意力机制

在线阅读 下载PDF 职称材料

SMTLOC:基于多源频谱的SMT求解器缺陷定位

11

作者 王笑爽 周志德 +2 位作者 李晓晨 江贺 任志磊 《软件学报》 EI CSCD 北大核心 2024年第7期3314-3331,共18页

SMT求解器作为重要的基础软件,其存在的缺陷可能会导致依赖于它的软件功能失效,甚至带来安全事故.然而,修复SMT求解器缺陷是一个十分耗时的任务,因为开发者需要花费大量的时间和精力来理解并找到缺陷的根本原因.虽然已有许多软件缺陷定... SMT求解器作为重要的基础软件,其存在的缺陷可能会导致依赖于它的软件功能失效,甚至带来安全事故.然而,修复SMT求解器缺陷是一个十分耗时的任务,因为开发者需要花费大量的时间和精力来理解并找到缺陷的根本原因.虽然已有许多软件缺陷定位方面的研究,但尚未有系统的工作研究如何自动定位SMT求解器缺陷.因此,提出一种基于多源频谱的SMT求解器缺陷定位方法SMTLOC.首先,对于给定的SMT求解器缺陷,SMTLOC提出一种枚举算法,用以对触发该缺陷的公式进行变异,从而生成一组不触发缺陷,但与触发缺陷的公式具有相似执行路径的证人公式.然后,SMTLOC根据证人公式的执行路径以及SMT求解器的源码信息,提出一种融合覆盖频谱和历史频谱的文件可疑度计算方法,从而定位可能存在缺陷的文件.为了验证SMTLOC的有效性,收集60个SMT求解器缺陷.实验结果表明,SMTLOC的缺陷定位效果明显优于传统的频谱缺陷定位方法,SMTLOC可以将46.67%的缺陷定位在TOP-5的文件内,定位效果提升了133.33%. 展开更多

关键词 SMT求解器 缺陷定位 覆盖频谱 历史频谱

在线阅读 下载PDF 职称材料

一种面向车联网的零日攻击检测方法

12

作者 王博 赵金城 +1 位作者 徐丙凤 何高峰 《计算机科学》 CSCD 北大核心 2024年第12期334-342,共9页

由于缺乏攻击数据,车联网零日攻击检测通常采用基于异常的方法。但车辆实际行驶过程中环境复杂多样、行为模式多变,导致正常的行为模式会出现较大的差异,采用基于异常的方法容易导致高误报率。在车联网环境中零日攻击和已知攻击的攻击... 由于缺乏攻击数据,车联网零日攻击检测通常采用基于异常的方法。但车辆实际行驶过程中环境复杂多样、行为模式多变,导致正常的行为模式会出现较大的差异,采用基于异常的方法容易导致高误报率。在车联网环境中零日攻击和已知攻击的攻击原理相似,受迁移学习的启发,基于条件生成对抗网络提出一种应用少样本学习的车联网零日攻击检测方法。首先,提出一种多生成器和多判别器的条件对抗生成网络模型。其次,设计了一种自适应采样数据增强方法,通过对已知的攻击样本进行数据增强优化该网络模型的输入样本以减少误报。为进一步缓解该网络模型的输入攻击样本过少带来的数据不平衡问题,在判别器中给出了一种协作焦点损失函数重点判别难分类数据。最后,基于F2MD车辆网络仿真平台进行了大量实验,实验结果表明所提方法对于零日攻击的检测效果和检测延迟均优于现有方法,为车联网零日攻击检测提供了一种有效的解决方案。 展开更多

关键词 车联网 零日攻击 条件生成对抗网络 少样本学习 异常检测

在线阅读 下载PDF 职称材料

基于限定自然语言需求模板的AADL模型生成方法 被引量：14

13

作者 王飞 杨志斌 +5 位作者 黄志球 周勇 刘承威 章文炳 薛垒 许金淼 《软件学报》 EI CSCD 北大核心 2018年第8期2350-2370,共21页

随着嵌入式软件系统在汽车、核工业、航空、航天等安全关键领域的广泛应用,其失效将会导致财产的损失、环境的破坏甚至人员的伤亡,使得保障软件安全性成为系统开发过程中的重要部分.传统的安全性分析方法主要应用在软件的需求分析阶段... 随着嵌入式软件系统在汽车、核工业、航空、航天等安全关键领域的广泛应用,其失效将会导致财产的损失、环境的破坏甚至人员的伤亡,使得保障软件安全性成为系统开发过程中的重要部分.传统的安全性分析方法主要应用在软件的需求分析阶段和设计阶段,然而需求与设计之间的鸿沟却一直是软件工程领域的一大难题.正是由于这一鸿沟的存在,使得需求分析阶段的安全性分析结果难以完整而详尽地反映在软件设计中.其根本原因是:当前的软件需求主要通过自然语言描述,存在二义性与模糊性,且难以进行自动化处理.为了解决这一问题,面向构件化嵌入式软件,首先提出了一种半结构化的限定自然语言需求模板用于需求规约,能够有效地降低自然语言需求的二义性与模糊性;然后,为了降低自动化处理的复杂性,采用需求抽象语法图作为中间模型,实现基于限定自然语言需求模板规约的软件需求与AADL模型之间的转换,并在此过程中自动记录两者之间的可追踪关系;最后,基于AADL开源工具OSATE对所提出方法进行了插件实现,并通过航天器导航、制导与控制系统(guidance,navigation and control,简称GNC)进行了实例性验证. 展开更多

关键词 嵌入式软件 软件安全性 需求规约 限定自然语言需求模板 AADL 可追踪性

在线阅读 下载PDF 职称材料

融合知识感知与双重注意力的短文本分类模型 被引量：27

14

作者 李博涵 向宇轩 +4 位作者 封顶 何志超 吴佳骏 戴天伦 李静 《软件学报》 EI CSCD 北大核心 2022年第10期3565-3581,共17页

文本分类任务作为文本挖掘的核心问题,已成为自然语言处理领域的一个重要课题.而短文本分类由于稀疏性、实时性和不规范性等特点,已成为文本分类亟待解决的问题之一.在某些特定场景,短文本存在大量隐含语义,由此给挖掘有限文本内的隐含... 文本分类任务作为文本挖掘的核心问题,已成为自然语言处理领域的一个重要课题.而短文本分类由于稀疏性、实时性和不规范性等特点,已成为文本分类亟待解决的问题之一.在某些特定场景,短文本存在大量隐含语义,由此给挖掘有限文本内的隐含语义特征等任务带来挑战.已有的方法对短文本分类主要采用传统机器学习或深度学习算法,但该类算法的模型构建复杂且工作量大,效率不高.此外,短文本包含有效信息较少且口语化严重,对模型的特征学习能力要求较高.针对以上问题,提出了KAe RCNN模型,该模型在TextRCNN模型的基础上,融合了知识感知与双重注意力机制.知识感知包含了知识图谱实体链接和知识图谱嵌入,可以引入外部知识以获取语义特征,同时,双重注意力机制可以提高模型对短文本中有效信息提取的效率.实验结果表明,KAe RCNN模型在分类准确度、F1值和实际应用效果等方面显著优于传统的机器学习算法.对算法的性能和适应性进行了验证,准确率达到95.54%,F1值达到0.901,对比4种传统机器学习算法,准确率平均提高了约14%,F1值提升了约13%.与TextRCNN相比,KAe RCNN模型在准确性方面提升了约3%.此外,与深度学习算法的对比实验结果也说明,该模型在其他领域的短文本分类中也有较好的表现.理论和实验结果都证明,所提出的KAe RCNN模型对短文本分类效果更优. 展开更多

关键词 短文本分类 知识图谱 注意力机制 TextRCNN 实体消歧

在线阅读 下载PDF 职称材料

代码注释自动生成方法综述 被引量：16

15

作者 陈翔 杨光 +2 位作者 崔展齐 孟国柱 王赞 《软件学报》 EI CSCD 北大核心 2021年第7期2118-2141,共24页

在软件的开发和维护过程中,与代码对应的注释经常存在缺失、不足或者与代码实际内容不匹配等问题,但手工编写代码注释对开发人员来说费时费力,且注释质量难以保证,因此亟需研究人员提出有效的代码注释自动生成方法.代码注释自动生成问... 在软件的开发和维护过程中,与代码对应的注释经常存在缺失、不足或者与代码实际内容不匹配等问题,但手工编写代码注释对开发人员来说费时费力,且注释质量难以保证,因此亟需研究人员提出有效的代码注释自动生成方法.代码注释自动生成问题是当前程序理解研究领域的一个研究热点,对该问题进行了系统综述.主要将已有的自动生成方法细分为3类:基于模板的方法、基于信息检索的方法和基于深度学习的方法.依次对每一类方法的已有研究成果进行了系统的梳理、总结和点评.随后分析了已有的实证研究中经常使用的语料库和主要的注释质量评估方法,以利于针对该问题的后续研究可以进行合理的实验设计.最后进行总结,并对未来值得关注的研究方向进行了展望. 展开更多

关键词 程序理解 代码注释自动生成 模板 信息检索 深度学习 机器翻译

在线阅读 下载PDF 职称材料

C程序中的内存泄漏机制分析与检测方法设计 被引量：5

16

作者 张静 黄志球 +2 位作者 沈国华 喻垚慎 艾磊 《计算机工程与科学》 CSCD 北大核心 2020年第5期776-787,共12页

C语言作为安全关键软件的主要实现语言,其存在的内存泄漏缺陷具有很高的隐蔽性和危害性,如何保证内存泄漏检测的准确性和高效性是一大挑战。静态分析具有直接分析源码、能够较早发现软件错误,从而降低修复代价的优势。基于静态分析技术... C语言作为安全关键软件的主要实现语言,其存在的内存泄漏缺陷具有很高的隐蔽性和危害性,如何保证内存泄漏检测的准确性和高效性是一大挑战。静态分析具有直接分析源码、能够较早发现软件错误,从而降低修复代价的优势。基于静态分析技术,提出了一种基于路径敏感的值流分析的内存泄漏检测方法,首先进行指针分析生成精确指向信息;然后基于指向信息构建值流约束,执行可达性分析以识别程序中的泄漏路径;最后借助指针与内存地址的有效生命周期进行验证。在典型基准C程序上的实验结果分析表明,本文方法与现有技术相比在效率和精度上都具有一定优势。 展开更多

关键词 内存泄漏 静态分析 指针分析 值流分析

在线阅读 下载PDF 职称材料

基于关系图卷积网络的源代码漏洞检测 被引量：17

17

作者 文敏 王荣存 姜淑娟 《计算机应用》 CSCD 北大核心 2022年第6期1814-1821,共8页

软件安全的根源在于软件开发人员开发的源代码,但随着软件规模和复杂性不断提高,仅靠人工检测漏洞代价高昂且难以扩展,而现有的代码分析工具有较高的误报率与漏报率。为此,提出一种基于关系图卷积网络(RGCN)的自动化漏洞检测方法以进一... 软件安全的根源在于软件开发人员开发的源代码,但随着软件规模和复杂性不断提高,仅靠人工检测漏洞代价高昂且难以扩展,而现有的代码分析工具有较高的误报率与漏报率。为此,提出一种基于关系图卷积网络(RGCN)的自动化漏洞检测方法以进一步提高漏洞检测的精度。首先将程序源代码转换为包含语法、语义特征信息的CPG;然后使用RGCN对图结构进行表示学习;最后训练神经网络模型预测程序源代码中的漏洞。为验证所提方法的有效性,在真实的软件漏洞样本上开展了实验验证,结果表明所提方法的漏洞检测结果的召回率和F1值分别达到了80.27%和63.78%。与Flawfinder、VulDeepecker和基于图卷积网络(GCN)的同类方法相比,所提方法的F1值分别提高了182%、12%和55%,可见所提方法能有效提高漏洞检测能力。 展开更多

关键词 漏洞检测 代码属性图 关系图卷积网络 深度学习 预测模型

在线阅读 下载PDF 职称材料

基于决策树算法的API误用检测 被引量：5

18

作者 李康乐 任志磊 +1 位作者 周志德 江贺 《计算机科学》 CSCD 北大核心 2022年第11期30-38,共9页

通过应用程序编程接口(Application Programming Interface,API)复用已有的软件框架或类库,可有效地提高软件开发效率。然而,正确使用API须遵守很多规约,如调用顺序、异常处理等。若违反了这些规约就会造成API误用,进而可能导致软件崩... 通过应用程序编程接口(Application Programming Interface,API)复用已有的软件框架或类库,可有效地提高软件开发效率。然而,正确使用API须遵守很多规约,如调用顺序、异常处理等。若违反了这些规约就会造成API误用,进而可能导致软件崩溃、产生错误或漏洞。尽管很多API误用检测技术已经被提出,但是这些技术仍面临两个方面的挑战:1)难以获取API使用规约;2)难以同时检测多种不同类型的API误用。为了应对上述挑战,提出了一种基于决策树算法的API误用检测方法。首先,将API使用源代码转换为API使用图,从图中挖掘API使用规约,有效地应对了第一个挑战。其次,在获取的API规约信息的基础上构建API使用决策树,并通过融入剪枝策略来提高API使用决策树的泛化能力。最后,在检测阶段提出了粗粒度和细粒度相结合的检测方式,来提高API使用决策树的检测能力,有效地应对了第二个挑战。实验结果表明,该方法能够在一定程度上发现API误用缺陷。 展开更多

关键词 API误用 决策树 规约挖掘 缺陷检测

在线阅读 下载PDF 职称材料

线性时序逻辑公式的可监控性量化算法 被引量：1

19

作者 陈云云 陈哲 《小型微型计算机系统》 CSCD 北大核心 2020年第11期2413-2419,共7页

在运行时验证中,对于给定的线性时序逻辑公式,常用其可监控性和弱可监控性来衡量其是否适合用于运行时验证.而实际上,可监控性的要求过于严格,弱可监控性解决的又仅仅是一个“存在”问题.为了量化公式的可监控性和弱可监控性,本文提出... 在运行时验证中,对于给定的线性时序逻辑公式,常用其可监控性和弱可监控性来衡量其是否适合用于运行时验证.而实际上,可监控性的要求过于严格,弱可监控性解决的又仅仅是一个“存在”问题.为了量化公式的可监控性和弱可监控性,本文提出了概率可监控性,并给出了根据其定义进行求解的方法.此外,本文还提出了基于马尔可夫链的概率可监控性求解算法,并将该算法分别基于概率模型检测器PRISM和SMT求解器进行了代码实现.实验结果表明,基于马尔可夫链的概率可监控性求解算法是正确的,且基于SMT求解器实现的算法效率明显高于基于PRISM实现的算法效率. 展开更多

关键词 线性时序逻辑 运行时验证 可监控性 概率可监控性 马尔可夫链

在线阅读 下载PDF 职称材料

知识驱动的企业间协作参与者动态推荐方法

20

作者 王铁鑫 李文心 +3 位作者 曹静雯 杨志斌 黄志球 王飞 《计算机科学》 CSCD 北大核心 2020年第6期210-218,共9页

信息技术的飞速发展有力地推动了市场全球化的进程。全球化的经济趋势给中小型企业带来了前所未有的机遇与挑战,孤岛式的企业发展模式已失去了生存空间。为了快速响应多变的市场需求,中小型企业在聚焦核心业务的同时,须与其他企业建立... 信息技术的飞速发展有力地推动了市场全球化的进程。全球化的经济趋势给中小型企业带来了前所未有的机遇与挑战,孤岛式的企业发展模式已失去了生存空间。为了快速响应多变的市场需求,中小型企业在聚焦核心业务的同时,须与其他企业建立动态的协同合作关系。面向如何高效构建动态协作企业联盟的问题,通过构建相关领域本体并结合使用语义检测技术,提出了一种知识驱动的企业间协作过程中动态推荐最佳参与者的方法。该方法致力于弥补传统企业协作中“合作参与者固定”“合作模式单一”等缺陷,针对特定协作目标与协作偏好,通过多维度的匹配计算,来快速高效地推荐能力、属性相匹配的参与者企业。在理论层面,针对企业建模及企业协同合作管理,归纳总结模型驱动的企业管理相关方向的研究现状;在此基础上,结合企业间协同合作目标的动态变化特点,定义了描述企业间协作上下文的元模型并构建了企业间协作领域本体及结合该领域本体使用的语义检测方法,以提高动态推荐参与者企业的效率。通过可拆卸连接机械制造案例论证了所提推荐方法的有效性,并对其性能进行了评估。 展开更多

关键词 企业间协作 领域本体 知识驱动 语义检测 元模型

在线阅读 下载PDF 职称材料