近日,由西北大學(xué)信息學(xué)院房鼎益、陳曉江教授領(lǐng)銜的物聯(lián)網(wǎng)團(tuán)隊(duì)與螞蟻安全實(shí)驗(yàn)室、南方科技大學(xué)���、北京大學(xué)和英國(guó)利茲大學(xué)等機(jī)構(gòu)聯(lián)合研究����,在軟件安全領(lǐng)域取得重要研究進(jìn)展�����。團(tuán)隊(duì)利用圖深度神經(jīng)網(wǎng)絡(luò)結(jié)合開源代碼倉(cāng)庫(kù)�,開發(fā)出了具有自主知識(shí)產(chǎn)權(quán)的源代碼漏洞檢測(cè)系統(tǒng)FUNDED�����,大幅度提升了源代碼漏洞的檢準(zhǔn)率�����。
什么是源代碼漏洞檢測(cè)?開發(fā)網(wǎng)站�、編寫程序,或引用互聯(lián)網(wǎng)上的代碼�,確定代碼是否含有漏洞�,這個(gè)過(guò)程就是源代碼漏洞檢測(cè)����,是軟件安全保障的基礎(chǔ)。針對(duì)源代碼漏洞檢測(cè),較為通用的做法一是通過(guò)尋求經(jīng)驗(yàn)更豐富的程序員進(jìn)行人工代碼審計(jì)��,盡早發(fā)現(xiàn)漏洞�����;另一類是利用已有的先驗(yàn)性專家規(guī)則進(jìn)行匹配性漏洞檢測(cè)��,但是由于受到人員水平、漏洞更新速度、規(guī)則適應(yīng)性等諸多條件限制,目前這些方法普遍誤報(bào)率較高�。
研究團(tuán)隊(duì)開發(fā)的FUNDED系統(tǒng)能從大型代碼開源倉(cāng)庫(kù)中自動(dòng)快速獲取全世界優(yōu)秀程序員對(duì)軟件漏洞的最新貢獻(xiàn)���。該系統(tǒng)類似”機(jī)器人”�,可持續(xù)��、自動(dòng)地從互聯(lián)網(wǎng)開源代碼庫(kù)中爬取最新的漏洞相關(guān)知識(shí)��,然后構(gòu)建基于圖網(wǎng)絡(luò)的高精度漏洞檢測(cè)模型,從而提升漏洞識(shí)別的準(zhǔn)確率。在該技術(shù)公開前��,盡管有深度學(xué)習(xí)的方法能夠在公開數(shù)據(jù)集上進(jìn)行漏洞檢測(cè)識(shí)別�����,但在實(shí)際應(yīng)用場(chǎng)景的高精度漏洞檢測(cè)并未取得突破�����。
目前��,F(xiàn)UNDED系統(tǒng)在實(shí)際應(yīng)用場(chǎng)景下對(duì)30種漏洞進(jìn)行測(cè)試,其檢測(cè)準(zhǔn)確率平均在92%以上�����,最高可達(dá)99%�����,未來(lái)隨著數(shù)據(jù)集的擴(kuò)充,其準(zhǔn)確率還將不斷提高。此外�����,該模型還能夠在不同程序語(yǔ)言代碼之間進(jìn)行遷移��,簡(jiǎn)單來(lái)講��,模型在已有的程序開發(fā)語(yǔ)言A上的漏洞檢測(cè)能力,能夠快速的應(yīng)用到另一種新的開發(fā)語(yǔ)言B上。
目前����,該研究成果論文被網(wǎng)絡(luò)與信息安全領(lǐng)域國(guó)際頂級(jí)期刊IEEE TIFS全文接收����。論文第一作者王煥廷為西北大學(xué)信息學(xué)院研三學(xué)生��,通訊作者為物聯(lián)網(wǎng)團(tuán)隊(duì)湯戰(zhàn)勇教授���。(西安報(bào)業(yè)全媒體記者 張瀟)
原文鏈接:http://news.xiancn.com/content/2020-12/22/content_3663025.htm
