網(wǎng)絡(luò)空間安全與計算機學(xué)院青年教師李珍的論文“SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities”被IEEE Transactions on Dependable and Secure Computing(TDSC)期刊錄用。該期刊主要關(guān)注計算機及網(wǎng)絡(luò)安全、可信計算等領(lǐng)域的前沿研究,是該領(lǐng)域的權(quán)威期刊之一,屬于中國計算機學(xué)會CCF A類期刊。每年出版4期,每年錄用論文約80篇左右,2019-2020年該期刊的影響因子為6.864。
該論文是與華中科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院和美國得克薩斯大學(xué)圣安東尼奧分校計算機系合作的研究成果。將深度學(xué)習(xí)技術(shù)引入到程序切片級源代碼漏洞檢測,有效地排除漏洞無關(guān)語句,提出了基于深度學(xué)習(xí)的漏洞檢測框架SySeVR。通過獲取三個代碼表征,即基于語法的候選漏洞代碼、基于語義的候選漏洞代碼和候選漏洞代碼的向量表征,在不需要人類專家定義特征或?qū)傩缘那疤嵯拢詣訉W(xué)習(xí)各種類型漏洞的特征,來檢測目標程序中的漏洞。實驗結(jié)果表明,SySeVR可以采用多種深度神經(jīng)網(wǎng)絡(luò)檢測各類型漏洞,雙向門控循環(huán)單元(BGRU)的有效性優(yōu)于其他神經(jīng)網(wǎng)絡(luò);在漏報誤報原因解釋上, BGRU的有效性在很大程度上受訓(xùn)練數(shù)據(jù)的影響,如果某些語法元素經(jīng)常出現(xiàn)在漏洞(無漏洞)代碼中,則這些語法元素可能會導(dǎo)致較高的誤報(漏報);用于深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的語義信息越多,神經(jīng)網(wǎng)絡(luò)的漏洞檢測能力越高;SySeVR框架下的漏洞檢測系統(tǒng)在4個目標軟件中檢測到15個在美國國家漏洞庫NVD中未公布的漏洞,其中8個漏洞在相應(yīng)軟件的后續(xù)版本中默默地進行了修補。
(網(wǎng)絡(luò)空間安全與計算機學(xué)院、科學(xué)技術(shù)處供稿)
TOP