期刊导航
期刊开放获取
河南省图书馆
退出
期刊文献
+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
检索
高级检索
期刊导航
共找到
21
篇文章
<
1
2
>
每页显示
20
50
100
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
显示方式:
文摘
详细
列表
相关度排序
被引量排序
时效性排序
基于学习的源代码漏洞检测研究与进展
1
作者
苏小红
郑伟宁
+3 位作者
蒋远
魏宏巍
万佳元
魏子越
《计算机学报》
EI
CSCD
北大核心
2024年第2期337-374,共38页
源代码漏洞自动检测是源代码漏洞修复的前提和基础,对于保障软件安全具有重要意义.传统的方法通常是基于安全专家人工制定的规则检测漏洞,但是人工制定规则的难度较大,且可检测的漏洞类型依赖于安全专家预定义的规则.近年来,人工智能技...
源代码漏洞自动检测是源代码漏洞修复的前提和基础,对于保障软件安全具有重要意义.传统的方法通常是基于安全专家人工制定的规则检测漏洞,但是人工制定规则的难度较大,且可检测的漏洞类型依赖于安全专家预定义的规则.近年来,人工智能技术的快速发展为实现基于学习的源代码漏洞自动检测提供了机遇.基于学习的漏洞检测方法是指使用基于机器学习或深度学习技术来进行漏洞检测的方法,其中基于深度学习的漏洞检测方法由于能够自动提取代码中漏洞相关的语法和语义特征,避免特征工程,在漏洞检测领域表现出了巨大的潜力,并成为近年来的研究热点.本文主要回顾和总结了现有的基于学习的源代码漏洞检测技术,对其研究和进展进行了系统的分析和综述,重点对漏洞数据挖掘与数据集构建、面向漏洞检测任务的程序表示方法、基于机器学习和深度学习的源代码漏洞检测方法、源代码漏洞检测的可解释方法、细粒度的源代码漏洞检测方法等五个方面的研究工作进行了系统的分析和总结.在此基础上,给出了一种结合层次化语义感知、多粒度漏洞分类和辅助漏洞理解的漏洞检测参考框架.最后对基于学习的源代码漏洞检测技术的未来研究方向进行了展望.
展开更多
关键词
软件安全
源
代码漏洞
检测
漏洞
数据挖掘
漏洞
特征提取
代码
表示学习
深度学习
模型可解释性
漏洞
检测
下载PDF
职称材料
电力信息系统软件代码漏洞检测系统的设计与实现
被引量:
1
2
作者
王国峰
唐云善
徐立飞
《微型电脑应用》
2023年第11期118-121,共4页
电力信息系统软件代码的自身安全对整个电力信息系统的安全性、稳定性以及可靠性有着举足轻重的影响。为了提高电力信息系统软件代码的安全水平,设计并实现了一套代码漏洞静态检测系统。该系统以代码静态分析技术为基础,支持漏洞检测规...
电力信息系统软件代码的自身安全对整个电力信息系统的安全性、稳定性以及可靠性有着举足轻重的影响。为了提高电力信息系统软件代码的安全水平,设计并实现了一套代码漏洞静态检测系统。该系统以代码静态分析技术为基础,支持漏洞检测规则定制、漏洞检测算法与检测引擎扩展以及多线程技术,并通过Java语言编程实现。系统测试结果表明,该系统能够准确、有效地检测出测试程序中的安全漏洞,验证了系统的有效性。
展开更多
关键词
电力信息系统
软件
代码漏洞
代码
静态检测
下载PDF
职称材料
网页代码漏洞剖析
被引量:
1
3
作者
苏伟斌
周惠民
顾大权
《计算机时代》
2003年第2期12-14,共3页
由于网页制作人员考虑不够周全形成的网页代码漏洞是防火墙、防毒软件、入侵检测系统等难以维护的安全漏洞,是网络安全故障的原因之一。本文分析了各类网页代码漏洞,并给出堵塞各类漏洞的解决办法,供网页制作人员参考。
关键词
网页
代码漏洞
网络安全
WEB数据库
WWW
计算机网络
下载PDF
职称材料
融合滑动窗口和哈希函数的代码漏洞检测模型
被引量:
6
4
作者
许健
陈平华
熊建斌
《计算机应用研究》
CSCD
北大核心
2021年第8期2394-2400,共7页
针对传统漏洞检测分类需要定义人工特征以及相似度匹配算法不能检测非克隆漏洞、现有深度学习漏洞检测的方法特征维度过大以及只针对函数调用的问题,提出一种融合滑动窗口和哈希函数的深度学习方法,对源代码进行静态漏洞检测分类。首先...
针对传统漏洞检测分类需要定义人工特征以及相似度匹配算法不能检测非克隆漏洞、现有深度学习漏洞检测的方法特征维度过大以及只针对函数调用的问题,提出一种融合滑动窗口和哈希函数的深度学习方法,对源代码进行静态漏洞检测分类。首先抽取源代码的方法体,形成正负样本集,对样本集中的每个样本构建抽象语法树,根据语法树中的节点类型替换程序员自定义的变量名以及方法名,并以先序遍历的方式序列化抽象语法树;然后对抽象语法树节点中的节点信息进行分词,为每个词分配一个独立的节点编号;其次对树节点进行进一步的拆分,形成词序列,基于滑动窗口与哈希函数训练出相应的漏洞检测分类模型。最后,在SARD数据集中选取CWE190整数上溢和CWE191整数下溢两类漏洞进行实验,该模型在CWE190、CWE191中的分类准确率和召回率分别达到97.4%、94.2%和97.6%、95.1%。实验结果表明,提出方法能够检测到代码中的安全漏洞类型,并且在分类准确率和召回率上优于现有的方法。
展开更多
关键词
静态
代码漏洞
检测
深度学习
滑动窗口
哈希函数
分类模型
下载PDF
职称材料
源代码漏洞静态分析技术
被引量:
3
5
作者
刘嘉勇
韩家璇
黄诚
《信息安全学报》
CSCD
2022年第4期100-113,共14页
漏洞这一名词伴随着计算机软件领域的发展已经走过了数十载。自世界上第一个软件漏洞被公开以来,软件安全研究者和工程师们就一直在探索漏洞的挖掘与分析方法。源代码漏洞静态分析是一种能够贯穿整个软件开发生命周期的、帮助软件开发...
漏洞这一名词伴随着计算机软件领域的发展已经走过了数十载。自世界上第一个软件漏洞被公开以来,软件安全研究者和工程师们就一直在探索漏洞的挖掘与分析方法。源代码漏洞静态分析是一种能够贯穿整个软件开发生命周期的、帮助软件开发人员及早发现漏洞的技术,在业界有着广泛的使用。然而,随着软件的体量越来越大,软件的功能越来越复杂,如何表示和建模软件源代码是当前面临的一个难题;此外,近年来的研究倾向于将源代码漏洞静态分析和机器学习相结合,试图通过引入机器学习模型提升漏洞挖掘的精度,但如何选择和构建合适的机器学习模型是该研究方向的一个核心问题。本文将目光聚焦于源代码漏洞静态分析技术(以下简称:静态分析技术),通过对该领域相关工作的回顾,将静态分析技术的研究分为两个方向:传统静态分析和基于学习的静态分析。传统静态分析主要是利用数据流分析、污点分析等一系列软件分析技术对软件的源代码进行建模分析;基于学习的静态分析则是将源代码以数值的形式表示并提交给学习模型,利用学习模型挖掘源代码的深层次表征特征和关联性。本文首先阐述了软件漏洞分析技术的基本概念,对比了静态分析技术和动态分析技术的优劣;然后对源代码的表示方法进行了说明。接着,本文对传统静态分析和基于学习的静态分析的一般步骤进行了总结,同时对这两个研究方向典型的研究成果进行了系统地梳理,归纳了它们的技术特点和工作流程,提出了当前静态分析技术中存在的问题,并对该方向上未来的研究工作进行了展望。
展开更多
关键词
源
代码漏洞
静态分析
数据流分析
污点分析
机器学习
下载PDF
职称材料
基于上下文特征融合的代码漏洞检测方法
被引量:
2
6
作者
徐泽鑫
段立娟
+1 位作者
王文健
恩擎
《浙江大学学报(工学版)》
EI
CAS
CSCD
北大核心
2022年第11期2260-2270,共11页
针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法.该方法将代码特征解耦分为代码块局部特征和上下文全局特征.代码块局部特征关注代码块中关键词的语义及其短距离依赖关系.将局部特征融合...
针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法.该方法将代码特征解耦分为代码块局部特征和上下文全局特征.代码块局部特征关注代码块中关键词的语义及其短距离依赖关系.将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系.该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力.模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分.实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.
展开更多
关键词
代码漏洞
检测
代码
块局部特征提取
上下文全局特征融合
短距离依赖
长距离依赖
下载PDF
职称材料
基于卷积神经网络的源代码漏洞检测模型
7
作者
梁树彬
郑力
+1 位作者
钟杰
胡勇
《通信技术》
2022年第4期493-499,共7页
深度学习被应用于源代码漏洞检测,以解决传统的源代码漏洞检测方法高误报率、高漏报率等问题,但常见的基于循环神经网络的方法面临训练速度慢、可解释性差等问题。针对这些问题,提出了一种结合卷积神经网络和高速神经网络的源代码漏洞...
深度学习被应用于源代码漏洞检测,以解决传统的源代码漏洞检测方法高误报率、高漏报率等问题,但常见的基于循环神经网络的方法面临训练速度慢、可解释性差等问题。针对这些问题,提出了一种结合卷积神经网络和高速神经网络的源代码漏洞检测模型。该模型使用代码切片作为代码表征,通过卷积神经网络提取特征,结合高速神经网络学习代码的高级特征,并使用显著图对模型检测结果进行解释。实验结果表明,与现有方法相比,该模型可大幅降低漏报率,有效提升准确率、F1分数、马修斯相关系数等指标,还能够提升训练与预测速度。
展开更多
关键词
源
代码漏洞
检测
深度学习
卷积神经网络
高速神经网络
下载PDF
职称材料
异质环境下第三方库漏洞触发代码重构研究
8
作者
宋文凯
游伟
+2 位作者
梁彬
黄建军
石文昌
《计算机科学》
CSCD
北大核心
2023年第4期277-287,共11页
第三方库中的漏洞被大量传播到宿主应用(即引用了第三方库的软件)中去,而宿主应用的开发者通常不能及时地修复这些漏洞,容易引发安全问题。为了深度探究第三方库漏洞对宿主应用的影响,如何有效地验证传播到宿主应用中的漏洞是否仍可触...
第三方库中的漏洞被大量传播到宿主应用(即引用了第三方库的软件)中去,而宿主应用的开发者通常不能及时地修复这些漏洞,容易引发安全问题。为了深度探究第三方库漏洞对宿主应用的影响,如何有效地验证传播到宿主应用中的漏洞是否仍可触发显得尤为重要。最新的研究工作应用污点分析技术和符号执行技术重构第三方库的漏洞触发代码,使其适用于宿主应用并验证漏洞的可触发性。然而第三方库测试环境与宿主应用的真实环境通常存在差异(即互为异质环境),使得通过上述方法重构的漏洞触发代码仍难以适用于宿主应用。为解决上述问题,提出了一种在异质环境下进行漏洞触发代码重构的方法,具体可以分为4个步骤:首先分别提取以原始漏洞触发代码为输入时第三方库测试环境和宿主应用环境中的代码执行轨迹;随后对执行轨迹进行分析对比,识别出路径差异点;然后,对路径差异点处的代码进行分析测试,识别出导致差异的关键变量;最后,定位漏洞触发代码中能够影响到关键变量状态的关键输入域,通过对关键输入域进行变异,尝试修改关键变量的状态并对齐差异路径,最终引导宿主应用的执行流到达漏洞代码处,验证漏洞的可触发性。在11个真实世界的漏洞触发代码上进行实验,结果表明,所提方法能够在异质环境下成功验证传播后的漏洞在宿主应用中的可触发性。
展开更多
关键词
漏洞
触发
代码
第三方库
异质环境
重构
下载PDF
职称材料
面向源代码的软件漏洞静态检测综述
被引量:
20
9
作者
李珍
邹德清
+1 位作者
王泽丽
金海
《网络与信息安全学报》
2019年第1期1-14,共14页
软件静态漏洞检测依据分析对象主要分为二进制漏洞检测和源代码漏洞检测。由于源代码含有更为丰富的语义信息而备受代码审查人员的青睐。针对现有的源代码漏洞检测研究工作,从基于代码相似性的漏洞检测、基于符号执行的漏洞检测、基于...
软件静态漏洞检测依据分析对象主要分为二进制漏洞检测和源代码漏洞检测。由于源代码含有更为丰富的语义信息而备受代码审查人员的青睐。针对现有的源代码漏洞检测研究工作,从基于代码相似性的漏洞检测、基于符号执行的漏洞检测、基于规则的漏洞检测以及基于机器学习的漏洞检测4个方面进行了总结,并以基于源代码相似性的漏洞检测系统和面向源代码的软件漏洞智能检测系统两个具体方案为例详细介绍了漏洞检测过程。
展开更多
关键词
软件
漏洞
源
代码漏洞
检测
代码
相似性
深度学习
下载PDF
职称材料
基于代码变异的漏洞集技术研究
10
作者
陈树骏
《信息技术与信息化》
2023年第11期49-53,共5页
目前,关于使用普通代码数据集自动生成或变异的研究有很多,但专门针对漏洞代码数据集自动化产生的研究还很少受到公众关注。由于漏洞代码的特殊性,现有漏洞代码的产生主要以手工编写为主,为了产生出更多的漏洞代码,采取相反的思路,不修...
目前,关于使用普通代码数据集自动生成或变异的研究有很多,但专门针对漏洞代码数据集自动化产生的研究还很少受到公众关注。由于漏洞代码的特殊性,现有漏洞代码的产生主要以手工编写为主,为了产生出更多的漏洞代码,采取相反的思路,不修改普通代码为漏洞代码,而是直接对现有的漏洞代码进行变异。使用代码切片表示污点数据的控制流和数据流信息,并结合Sequence-to-Sequence深度神经网络随机生成新的代码片段。对变异后的漏洞代码进行实验。结果显示,变异后代码语法正确率在71%左右,基于语法正确的变异代码的漏洞真阳性率在93%左右。将变异后的漏洞代码应用在漏洞检测技术中发现,这些漏洞代码可用于区分和测试静态漏洞检测工具,还可作为深度学习漏洞检测技术的训练样本,模型的训练结果显示添加变异的漏洞代码后所有指标均优于基线方法。
展开更多
关键词
漏洞
代码
变异
深度学习
漏洞
检测
下载PDF
职称材料
基于CNN-GAP可解释性模型的软件源码漏洞检测方法
被引量:
17
11
作者
王剑
匡洪宇
+1 位作者
李瑞林
苏云飞
《电子与信息学报》
EI
CSCD
北大核心
2022年第7期2568-2575,共8页
源代码漏洞检测是保证软件系统安全的重要手段。近年来,多种深度学习模型应用于源代码漏洞检测,极大提高了漏洞检测的效率,但还存在自定义标识符导致库外词过多、嵌入词向量的语义不够准确、神经网络模型缺乏可解释性等问题。基于此,该...
源代码漏洞检测是保证软件系统安全的重要手段。近年来,多种深度学习模型应用于源代码漏洞检测,极大提高了漏洞检测的效率,但还存在自定义标识符导致库外词过多、嵌入词向量的语义不够准确、神经网络模型缺乏可解释性等问题。基于此,该文提出了一种基于卷积神经网络(CNN)和全局平均池化(GAP)可解释性模型的源代码漏洞检测方法。首先在源代码预处理中对部分自定义标识符进行归一化,并采用One-hot编码进行词嵌入以缓解库外词过多的问题;然后构建CNN-GAP神经网络模型,识别出包含CWE-119缓冲区溢出类型漏洞的函数;最后通过类激活映射(CAM)可解释方法对结果进行可视化输出,标识出可能与漏洞相关的代码。通过与Russell等人提出的模型以及Li等人提出的VulDeePecker模型进行对比分析,表明CNN-GAP模型能达到相当甚至更好的性能,且具有一定的可解释性,便于研究人员对漏洞进行更深入的分析。
展开更多
关键词
源
代码漏洞
检测
深度学习
神经网络可解释性
下载PDF
职称材料
基于图神经网络的源码漏洞检测方法研究
被引量:
1
12
作者
宋子韬
胡勇
《通信技术》
2022年第5期640-645,共6页
针对现有的静态代码分析工具有较高的误报率与漏报率,提出一种基于切片依赖图(Slice Dependency Graph,SDG)的自动化漏洞检测方法,将程序源代码解析为包含数据依赖和控制依赖信息的切片依赖图,然后使用图神经网络对切片依赖图的结构进...
针对现有的静态代码分析工具有较高的误报率与漏报率,提出一种基于切片依赖图(Slice Dependency Graph,SDG)的自动化漏洞检测方法,将程序源代码解析为包含数据依赖和控制依赖信息的切片依赖图,然后使用图神经网络对切片依赖图的结构进行表征学习,最后使用训练的神经网络模型预测待测程序源代码中的漏洞。在5类常见缺陷分类(Common Weakness Enumeration,CWE)样本构成的数据集上开展了实验,结果表明误报率和漏报率均低于作为对比的其他方法,准确率和F1得分两个指标均有提高,因此所提方法能有效提高漏洞检测能力。
展开更多
关键词
源
代码漏洞
检测
程序依赖图
程序切片
图神经网络
下载PDF
职称材料
源代码安全和质量缺陷静态检测技术研究
被引量:
3
13
作者
李炯彬
《质量与认证》
2021年第8期66-68,共3页
网络空间安全是国家安全的一个重要领域,软件安全由于历史原因,自主可控的国产化软件面临许多安全威胁,尤其是引用的第三方软件程序中存在着更多安全问题,源代码的安全直接决定了软件和信息系统的安全,因此构建一套高效率、高可靠性的...
网络空间安全是国家安全的一个重要领域,软件安全由于历史原因,自主可控的国产化软件面临许多安全威胁,尤其是引用的第三方软件程序中存在着更多安全问题,源代码的安全直接决定了软件和信息系统的安全,因此构建一套高效率、高可靠性的源代码安全和质量缺陷检测技术显得尤为重要。本文从源代码安全现状入手,详述了源代码所面临的安全威胁,漏洞现状,着重介绍了源代码漏洞自动化检测的模型和内容,最后介绍了某银行通过部署源代码安全和质量缺陷静态检测工具,全面提高软件代码质量的案例。
展开更多
关键词
源
代码漏洞
质量缺陷
静态检测
下载PDF
职称材料
代码安全
14
作者
本刊编辑部
《程序员》
2004年第8期68-68,共1页
我们生活在网络互联的时代。作为互联网时代的程序员,我们所写的每一行程序,都可能被更多的用户使用,所遭受攻击的可能性,也远远比以往增大了。编写安全的程序,已经成为对每个程序员切切实实的要求。
关键词
《Secure
Coding》
程序
代码
代码
安全
代码漏洞
《程序员》
下载PDF
职称材料
漏洞放大镜
15
《网络与信息》
2004年第3期104-104,共1页
关键词
MICROSOFT
Word/Excel远程任意
代码
可执行
漏洞
恶意文档
文件数据
MICROSOFT
FrontPage扩展服务缓冲区溢出
漏洞
下载PDF
职称材料
缓冲区溢出攻击的原理与防范
16
作者
陈硕
《程序员》
2004年第8期72-76,共5页
攻击代码漏洞的常用手段就是利用缓冲区溢出。strcpy的那个漏洞至今仍是许多黑客掌中利器,作者将介绍如何防止缓冲区的溢出。
关键词
代码漏洞
缓冲区溢出
strcpy
堆溢出
栈溢出
防御措施
《构建安全的软件》
下载PDF
职称材料
补丁升级——Windows
17
《网管员世界》
2004年第10期94-94,共1页
关键词
补丁升级
WINDOWS
MS04-027
WordPerfect转换器
代码漏洞
MS04-028
JPEG
缓冲区溢出
下载PDF
职称材料
微软发布7个安全更新公告
18
《网管员世界》
2004年第8期86-86,共1页
MS04-022严重任务计划程序远程执行代码漏洞。任务计划程序由于有未经检查的缓冲区而存在远程执行代码漏洞.如果用户使用管理权限登录.成功利用此漏洞的攻击者可以完全控制受影响的系统.不过要利用该漏洞需要进行用户交互.那些被配...
MS04-022严重任务计划程序远程执行代码漏洞。任务计划程序由于有未经检查的缓冲区而存在远程执行代码漏洞.如果用户使用管理权限登录.成功利用此漏洞的攻击者可以完全控制受影响的系统.不过要利用该漏洞需要进行用户交互.那些被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小.
展开更多
关键词
微软公司
MS04-022
MS04-023
代码漏洞
权限提升
漏洞
缓冲区溢出
漏洞
OUTLOOK
Express拒绝服务
漏洞
下载PDF
职称材料
静态代码安全检测技术发展研究与前沿技术实践
19
作者
林茂新
王太愚
王晶
《保密科学技术》
2023年第5期43-50,共8页
本文简要介绍了代码安全检测技术历史发展阶段,分析了不同代码安全检测技术之间的差别,并利用前沿的代码安全检测思路进行技术实践,根据现有技术的分析和实践提出了代码安全未来的发展方向和应用场景。
关键词
代码
安全
代码漏洞
检测
数据库查询分析
图数据库
原文传递
其他
20
《网管员世界》
2004年第11期96-96,共1页
关键词
防病毒软件
设备名处理
漏洞
远程拒绝服务
漏洞
本地权限提升
漏洞
跨站脚本
代码
执行
漏洞
下载PDF
职称材料
题名
基于学习的源代码漏洞检测研究与进展
1
作者
苏小红
郑伟宁
蒋远
魏宏巍
万佳元
魏子越
机构
哈尔滨工业大学计算学部
出处
《计算机学报》
EI
CSCD
北大核心
2024年第2期337-374,共38页
基金
国家自然科学基金项目(62272132)资助。
文摘
源代码漏洞自动检测是源代码漏洞修复的前提和基础,对于保障软件安全具有重要意义.传统的方法通常是基于安全专家人工制定的规则检测漏洞,但是人工制定规则的难度较大,且可检测的漏洞类型依赖于安全专家预定义的规则.近年来,人工智能技术的快速发展为实现基于学习的源代码漏洞自动检测提供了机遇.基于学习的漏洞检测方法是指使用基于机器学习或深度学习技术来进行漏洞检测的方法,其中基于深度学习的漏洞检测方法由于能够自动提取代码中漏洞相关的语法和语义特征,避免特征工程,在漏洞检测领域表现出了巨大的潜力,并成为近年来的研究热点.本文主要回顾和总结了现有的基于学习的源代码漏洞检测技术,对其研究和进展进行了系统的分析和综述,重点对漏洞数据挖掘与数据集构建、面向漏洞检测任务的程序表示方法、基于机器学习和深度学习的源代码漏洞检测方法、源代码漏洞检测的可解释方法、细粒度的源代码漏洞检测方法等五个方面的研究工作进行了系统的分析和总结.在此基础上,给出了一种结合层次化语义感知、多粒度漏洞分类和辅助漏洞理解的漏洞检测参考框架.最后对基于学习的源代码漏洞检测技术的未来研究方向进行了展望.
关键词
软件安全
源
代码漏洞
检测
漏洞
数据挖掘
漏洞
特征提取
代码
表示学习
深度学习
模型可解释性
漏洞
检测
Keywords
software security
source code vulnerability detection
vulnerability data mining
vulnerability feature extraction
code representation learning
deep learning
model interpretability
vulnerability detection
分类号
TP311 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
电力信息系统软件代码漏洞检测系统的设计与实现
被引量:
1
2
作者
王国峰
唐云善
徐立飞
机构
南瑞集团有限公司(国网电力科学研究院有限公司)
南京南瑞信息通信科技有限公司
出处
《微型电脑应用》
2023年第11期118-121,共4页
文摘
电力信息系统软件代码的自身安全对整个电力信息系统的安全性、稳定性以及可靠性有着举足轻重的影响。为了提高电力信息系统软件代码的安全水平,设计并实现了一套代码漏洞静态检测系统。该系统以代码静态分析技术为基础,支持漏洞检测规则定制、漏洞检测算法与检测引擎扩展以及多线程技术,并通过Java语言编程实现。系统测试结果表明,该系统能够准确、有效地检测出测试程序中的安全漏洞,验证了系统的有效性。
关键词
电力信息系统
软件
代码漏洞
代码
静态检测
Keywords
electric power information system
software code vulnerability
code static detection
分类号
TP309 [自动化与计算机技术—计算机系统结构]
下载PDF
职称材料
题名
网页代码漏洞剖析
被引量:
1
3
作者
苏伟斌
周惠民
顾大权
机构
解放军理工大学气象学院
出处
《计算机时代》
2003年第2期12-14,共3页
文摘
由于网页制作人员考虑不够周全形成的网页代码漏洞是防火墙、防毒软件、入侵检测系统等难以维护的安全漏洞,是网络安全故障的原因之一。本文分析了各类网页代码漏洞,并给出堵塞各类漏洞的解决办法,供网页制作人员参考。
关键词
网页
代码漏洞
网络安全
WEB数据库
WWW
计算机网络
分类号
TP393.092 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
融合滑动窗口和哈希函数的代码漏洞检测模型
被引量:
6
4
作者
许健
陈平华
熊建斌
机构
广东工业大学计算机学院
广东技术师范大学自动化学院
出处
《计算机应用研究》
CSCD
北大核心
2021年第8期2394-2400,共7页
基金
广东省科技计划资助项目(2020B1010010010,2019B101001021)
广东省自然科学基金资助项目(2019A1515010700)。
文摘
针对传统漏洞检测分类需要定义人工特征以及相似度匹配算法不能检测非克隆漏洞、现有深度学习漏洞检测的方法特征维度过大以及只针对函数调用的问题,提出一种融合滑动窗口和哈希函数的深度学习方法,对源代码进行静态漏洞检测分类。首先抽取源代码的方法体,形成正负样本集,对样本集中的每个样本构建抽象语法树,根据语法树中的节点类型替换程序员自定义的变量名以及方法名,并以先序遍历的方式序列化抽象语法树;然后对抽象语法树节点中的节点信息进行分词,为每个词分配一个独立的节点编号;其次对树节点进行进一步的拆分,形成词序列,基于滑动窗口与哈希函数训练出相应的漏洞检测分类模型。最后,在SARD数据集中选取CWE190整数上溢和CWE191整数下溢两类漏洞进行实验,该模型在CWE190、CWE191中的分类准确率和召回率分别达到97.4%、94.2%和97.6%、95.1%。实验结果表明,提出方法能够检测到代码中的安全漏洞类型,并且在分类准确率和召回率上优于现有的方法。
关键词
静态
代码漏洞
检测
深度学习
滑动窗口
哈希函数
分类模型
Keywords
static code vulnerability detection
deep learning
sliding window
hash function
classification model
分类号
TP391.41 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
源代码漏洞静态分析技术
被引量:
3
5
作者
刘嘉勇
韩家璇
黄诚
机构
四川大学网络空间安全学院
出处
《信息安全学报》
CSCD
2022年第4期100-113,共14页
基金
国家自然科学基金资助项目(No.61902265)
四川省科技厅重点研发资助项目(No.2020YFG0047,No.2020YFG0076)资助.
文摘
漏洞这一名词伴随着计算机软件领域的发展已经走过了数十载。自世界上第一个软件漏洞被公开以来,软件安全研究者和工程师们就一直在探索漏洞的挖掘与分析方法。源代码漏洞静态分析是一种能够贯穿整个软件开发生命周期的、帮助软件开发人员及早发现漏洞的技术,在业界有着广泛的使用。然而,随着软件的体量越来越大,软件的功能越来越复杂,如何表示和建模软件源代码是当前面临的一个难题;此外,近年来的研究倾向于将源代码漏洞静态分析和机器学习相结合,试图通过引入机器学习模型提升漏洞挖掘的精度,但如何选择和构建合适的机器学习模型是该研究方向的一个核心问题。本文将目光聚焦于源代码漏洞静态分析技术(以下简称:静态分析技术),通过对该领域相关工作的回顾,将静态分析技术的研究分为两个方向:传统静态分析和基于学习的静态分析。传统静态分析主要是利用数据流分析、污点分析等一系列软件分析技术对软件的源代码进行建模分析;基于学习的静态分析则是将源代码以数值的形式表示并提交给学习模型,利用学习模型挖掘源代码的深层次表征特征和关联性。本文首先阐述了软件漏洞分析技术的基本概念,对比了静态分析技术和动态分析技术的优劣;然后对源代码的表示方法进行了说明。接着,本文对传统静态分析和基于学习的静态分析的一般步骤进行了总结,同时对这两个研究方向典型的研究成果进行了系统地梳理,归纳了它们的技术特点和工作流程,提出了当前静态分析技术中存在的问题,并对该方向上未来的研究工作进行了展望。
关键词
源
代码漏洞
静态分析
数据流分析
污点分析
机器学习
Keywords
source code vulnerability
static analysis
dataflow analysis
taint analysis
machine learning
分类号
TP312 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
基于上下文特征融合的代码漏洞检测方法
被引量:
2
6
作者
徐泽鑫
段立娟
王文健
恩擎
机构
北京工业大学信息学部
可信计算北京市重点实验室
信息安全等级保护关键技术国家工程实验室
卡尔顿大学计算机学院
出处
《浙江大学学报(工学版)》
EI
CAS
CSCD
北大核心
2022年第11期2260-2270,共11页
基金
国家自然科学基金资助项目(62176009,62106065)
北京市教委重点项目(KZ201910005008).
文摘
针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法.该方法将代码特征解耦分为代码块局部特征和上下文全局特征.代码块局部特征关注代码块中关键词的语义及其短距离依赖关系.将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系.该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力.模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分.实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.
关键词
代码漏洞
检测
代码
块局部特征提取
上下文全局特征融合
短距离依赖
长距离依赖
Keywords
code vulnerability detection
code block local feature extraction
contextual global feature fusion
short-distance dependence
long-distance dependence
分类号
TP391 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
基于卷积神经网络的源代码漏洞检测模型
7
作者
梁树彬
郑力
钟杰
胡勇
机构
四川大学网络空间安全学院
中物院成都科学技术发展中心
出处
《通信技术》
2022年第4期493-499,共7页
文摘
深度学习被应用于源代码漏洞检测,以解决传统的源代码漏洞检测方法高误报率、高漏报率等问题,但常见的基于循环神经网络的方法面临训练速度慢、可解释性差等问题。针对这些问题,提出了一种结合卷积神经网络和高速神经网络的源代码漏洞检测模型。该模型使用代码切片作为代码表征,通过卷积神经网络提取特征,结合高速神经网络学习代码的高级特征,并使用显著图对模型检测结果进行解释。实验结果表明,与现有方法相比,该模型可大幅降低漏报率,有效提升准确率、F1分数、马修斯相关系数等指标,还能够提升训练与预测速度。
关键词
源
代码漏洞
检测
深度学习
卷积神经网络
高速神经网络
Keywords
source code vulnerability detection
deep learning
convolutional neural network
highway network
分类号
TP311 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
异质环境下第三方库漏洞触发代码重构研究
8
作者
宋文凯
游伟
梁彬
黄建军
石文昌
机构
中国人民大学信息学院
出处
《计算机科学》
CSCD
北大核心
2023年第4期277-287,共11页
基金
国家自然科学基金(62002361,U1836209)。
文摘
第三方库中的漏洞被大量传播到宿主应用(即引用了第三方库的软件)中去,而宿主应用的开发者通常不能及时地修复这些漏洞,容易引发安全问题。为了深度探究第三方库漏洞对宿主应用的影响,如何有效地验证传播到宿主应用中的漏洞是否仍可触发显得尤为重要。最新的研究工作应用污点分析技术和符号执行技术重构第三方库的漏洞触发代码,使其适用于宿主应用并验证漏洞的可触发性。然而第三方库测试环境与宿主应用的真实环境通常存在差异(即互为异质环境),使得通过上述方法重构的漏洞触发代码仍难以适用于宿主应用。为解决上述问题,提出了一种在异质环境下进行漏洞触发代码重构的方法,具体可以分为4个步骤:首先分别提取以原始漏洞触发代码为输入时第三方库测试环境和宿主应用环境中的代码执行轨迹;随后对执行轨迹进行分析对比,识别出路径差异点;然后,对路径差异点处的代码进行分析测试,识别出导致差异的关键变量;最后,定位漏洞触发代码中能够影响到关键变量状态的关键输入域,通过对关键输入域进行变异,尝试修改关键变量的状态并对齐差异路径,最终引导宿主应用的执行流到达漏洞代码处,验证漏洞的可触发性。在11个真实世界的漏洞触发代码上进行实验,结果表明,所提方法能够在异质环境下成功验证传播后的漏洞在宿主应用中的可触发性。
关键词
漏洞
触发
代码
第三方库
异质环境
重构
Keywords
PoC
Third-party library
Heterogeneous environments
Refactoring
分类号
TP311 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
面向源代码的软件漏洞静态检测综述
被引量:
20
9
作者
李珍
邹德清
王泽丽
金海
机构
华中科技大学计算机科学与技术学院
华中科技大学服务计算技术与系统教育部重点实验室
华中科技大学集群与网格计算湖北省重点实验室
华中科技大学湖北省大数据安全工程研究中心
深圳华中科技大学研究院
出处
《网络与信息安全学报》
2019年第1期1-14,共14页
基金
科技部"网络空间安全"重点专项基金资助项目(No.2017YFB0802205)
国家自然科学基金资助项目(No.61672249)
深圳市基础研究(学科布局)基金资助项目(No.JCYJ20170413114215614)~~
文摘
软件静态漏洞检测依据分析对象主要分为二进制漏洞检测和源代码漏洞检测。由于源代码含有更为丰富的语义信息而备受代码审查人员的青睐。针对现有的源代码漏洞检测研究工作,从基于代码相似性的漏洞检测、基于符号执行的漏洞检测、基于规则的漏洞检测以及基于机器学习的漏洞检测4个方面进行了总结,并以基于源代码相似性的漏洞检测系统和面向源代码的软件漏洞智能检测系统两个具体方案为例详细介绍了漏洞检测过程。
关键词
软件
漏洞
源
代码漏洞
检测
代码
相似性
深度学习
Keywords
software vulnerability
vulnerability detection for source code
code similarity
deep learning
分类号
TP393 [自动化与计算机技术—计算机应用技术]
下载PDF
职称材料
题名
基于代码变异的漏洞集技术研究
10
作者
陈树骏
机构
通号通信信息集团有限公司
出处
《信息技术与信息化》
2023年第11期49-53,共5页
文摘
目前,关于使用普通代码数据集自动生成或变异的研究有很多,但专门针对漏洞代码数据集自动化产生的研究还很少受到公众关注。由于漏洞代码的特殊性,现有漏洞代码的产生主要以手工编写为主,为了产生出更多的漏洞代码,采取相反的思路,不修改普通代码为漏洞代码,而是直接对现有的漏洞代码进行变异。使用代码切片表示污点数据的控制流和数据流信息,并结合Sequence-to-Sequence深度神经网络随机生成新的代码片段。对变异后的漏洞代码进行实验。结果显示,变异后代码语法正确率在71%左右,基于语法正确的变异代码的漏洞真阳性率在93%左右。将变异后的漏洞代码应用在漏洞检测技术中发现,这些漏洞代码可用于区分和测试静态漏洞检测工具,还可作为深度学习漏洞检测技术的训练样本,模型的训练结果显示添加变异的漏洞代码后所有指标均优于基线方法。
关键词
漏洞
代码
变异
深度学习
漏洞
检测
分类号
TP311.52 [自动化与计算机技术—计算机软件与理论]
TP309 [自动化与计算机技术—计算机系统结构]
下载PDF
职称材料
题名
基于CNN-GAP可解释性模型的软件源码漏洞检测方法
被引量:
17
11
作者
王剑
匡洪宇
李瑞林
苏云飞
机构
国防科技大学电子科学学院
出处
《电子与信息学报》
EI
CSCD
北大核心
2022年第7期2568-2575,共8页
基金
国家自然科学基金(61702540)
湖南省自然科学基金(2018JJ3615)。
文摘
源代码漏洞检测是保证软件系统安全的重要手段。近年来,多种深度学习模型应用于源代码漏洞检测,极大提高了漏洞检测的效率,但还存在自定义标识符导致库外词过多、嵌入词向量的语义不够准确、神经网络模型缺乏可解释性等问题。基于此,该文提出了一种基于卷积神经网络(CNN)和全局平均池化(GAP)可解释性模型的源代码漏洞检测方法。首先在源代码预处理中对部分自定义标识符进行归一化,并采用One-hot编码进行词嵌入以缓解库外词过多的问题;然后构建CNN-GAP神经网络模型,识别出包含CWE-119缓冲区溢出类型漏洞的函数;最后通过类激活映射(CAM)可解释方法对结果进行可视化输出,标识出可能与漏洞相关的代码。通过与Russell等人提出的模型以及Li等人提出的VulDeePecker模型进行对比分析,表明CNN-GAP模型能达到相当甚至更好的性能,且具有一定的可解释性,便于研究人员对漏洞进行更深入的分析。
关键词
源
代码漏洞
检测
深度学习
神经网络可解释性
Keywords
Source code vulnerability detection
Deep learning
Interpretability of neural network
分类号
TN919.31 [电子电信—通信与信息系统]
TN915.08 [电子电信—通信与信息系统]
下载PDF
职称材料
题名
基于图神经网络的源码漏洞检测方法研究
被引量:
1
12
作者
宋子韬
胡勇
机构
四川大学网络空间安全学院
出处
《通信技术》
2022年第5期640-645,共6页
文摘
针对现有的静态代码分析工具有较高的误报率与漏报率,提出一种基于切片依赖图(Slice Dependency Graph,SDG)的自动化漏洞检测方法,将程序源代码解析为包含数据依赖和控制依赖信息的切片依赖图,然后使用图神经网络对切片依赖图的结构进行表征学习,最后使用训练的神经网络模型预测待测程序源代码中的漏洞。在5类常见缺陷分类(Common Weakness Enumeration,CWE)样本构成的数据集上开展了实验,结果表明误报率和漏报率均低于作为对比的其他方法,准确率和F1得分两个指标均有提高,因此所提方法能有效提高漏洞检测能力。
关键词
源
代码漏洞
检测
程序依赖图
程序切片
图神经网络
Keywords
source code vulnerability detection
program dependency graph
program slice
graph neural network
分类号
TP309.5 [自动化与计算机技术—计算机系统结构]
下载PDF
职称材料
题名
源代码安全和质量缺陷静态检测技术研究
被引量:
3
13
作者
李炯彬
机构
深圳市计量质量检测研究院
出处
《质量与认证》
2021年第8期66-68,共3页
文摘
网络空间安全是国家安全的一个重要领域,软件安全由于历史原因,自主可控的国产化软件面临许多安全威胁,尤其是引用的第三方软件程序中存在着更多安全问题,源代码的安全直接决定了软件和信息系统的安全,因此构建一套高效率、高可靠性的源代码安全和质量缺陷检测技术显得尤为重要。本文从源代码安全现状入手,详述了源代码所面临的安全威胁,漏洞现状,着重介绍了源代码漏洞自动化检测的模型和内容,最后介绍了某银行通过部署源代码安全和质量缺陷静态检测工具,全面提高软件代码质量的案例。
关键词
源
代码漏洞
质量缺陷
静态检测
分类号
TP3 [自动化与计算机技术—计算机科学与技术]
下载PDF
职称材料
题名
代码安全
14
作者
本刊编辑部
出处
《程序员》
2004年第8期68-68,共1页
文摘
我们生活在网络互联的时代。作为互联网时代的程序员,我们所写的每一行程序,都可能被更多的用户使用,所遭受攻击的可能性,也远远比以往增大了。编写安全的程序,已经成为对每个程序员切切实实的要求。
关键词
《Secure
Coding》
程序
代码
代码
安全
代码漏洞
《程序员》
分类号
TP311.52 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
漏洞放大镜
15
出处
《网络与信息》
2004年第3期104-104,共1页
关键词
MICROSOFT
Word/Excel远程任意
代码
可执行
漏洞
恶意文档
文件数据
MICROSOFT
FrontPage扩展服务缓冲区溢出
漏洞
分类号
TP317.1 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
缓冲区溢出攻击的原理与防范
16
作者
陈硕
出处
《程序员》
2004年第8期72-76,共5页
文摘
攻击代码漏洞的常用手段就是利用缓冲区溢出。strcpy的那个漏洞至今仍是许多黑客掌中利器,作者将介绍如何防止缓冲区的溢出。
关键词
代码漏洞
缓冲区溢出
strcpy
堆溢出
栈溢出
防御措施
《构建安全的软件》
分类号
TP311.52 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
补丁升级——Windows
17
出处
《网管员世界》
2004年第10期94-94,共1页
关键词
补丁升级
WINDOWS
MS04-027
WordPerfect转换器
代码漏洞
MS04-028
JPEG
缓冲区溢出
分类号
TP316.7 [自动化与计算机技术—计算机软件与理论]
下载PDF
职称材料
题名
微软发布7个安全更新公告
18
出处
《网管员世界》
2004年第8期86-86,共1页
文摘
MS04-022严重任务计划程序远程执行代码漏洞。任务计划程序由于有未经检查的缓冲区而存在远程执行代码漏洞.如果用户使用管理权限登录.成功利用此漏洞的攻击者可以完全控制受影响的系统.不过要利用该漏洞需要进行用户交互.那些被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小.
关键词
微软公司
MS04-022
MS04-023
代码漏洞
权限提升
漏洞
缓冲区溢出
漏洞
OUTLOOK
Express拒绝服务
漏洞
分类号
TP309 [自动化与计算机技术—计算机系统结构]
下载PDF
职称材料
题名
静态代码安全检测技术发展研究与前沿技术实践
19
作者
林茂新
王太愚
王晶
机构
中孚信息股份有限公司
出处
《保密科学技术》
2023年第5期43-50,共8页
文摘
本文简要介绍了代码安全检测技术历史发展阶段,分析了不同代码安全检测技术之间的差别,并利用前沿的代码安全检测思路进行技术实践,根据现有技术的分析和实践提出了代码安全未来的发展方向和应用场景。
关键词
代码
安全
代码漏洞
检测
数据库查询分析
图数据库
分类号
TP309 [自动化与计算机技术—计算机系统结构]
TP316 [自动化与计算机技术—计算机软件与理论]
原文传递
题名
其他
20
出处
《网管员世界》
2004年第11期96-96,共1页
关键词
防病毒软件
设备名处理
漏洞
远程拒绝服务
漏洞
本地权限提升
漏洞
跨站脚本
代码
执行
漏洞
分类号
TP309 [自动化与计算机技术—计算机系统结构]
下载PDF
职称材料
题名
作者
出处
发文年
被引量
操作
1
基于学习的源代码漏洞检测研究与进展
苏小红
郑伟宁
蒋远
魏宏巍
万佳元
魏子越
《计算机学报》
EI
CSCD
北大核心
2024
0
下载PDF
职称材料
2
电力信息系统软件代码漏洞检测系统的设计与实现
王国峰
唐云善
徐立飞
《微型电脑应用》
2023
1
下载PDF
职称材料
3
网页代码漏洞剖析
苏伟斌
周惠民
顾大权
《计算机时代》
2003
1
下载PDF
职称材料
4
融合滑动窗口和哈希函数的代码漏洞检测模型
许健
陈平华
熊建斌
《计算机应用研究》
CSCD
北大核心
2021
6
下载PDF
职称材料
5
源代码漏洞静态分析技术
刘嘉勇
韩家璇
黄诚
《信息安全学报》
CSCD
2022
3
下载PDF
职称材料
6
基于上下文特征融合的代码漏洞检测方法
徐泽鑫
段立娟
王文健
恩擎
《浙江大学学报(工学版)》
EI
CAS
CSCD
北大核心
2022
2
下载PDF
职称材料
7
基于卷积神经网络的源代码漏洞检测模型
梁树彬
郑力
钟杰
胡勇
《通信技术》
2022
0
下载PDF
职称材料
8
异质环境下第三方库漏洞触发代码重构研究
宋文凯
游伟
梁彬
黄建军
石文昌
《计算机科学》
CSCD
北大核心
2023
0
下载PDF
职称材料
9
面向源代码的软件漏洞静态检测综述
李珍
邹德清
王泽丽
金海
《网络与信息安全学报》
2019
20
下载PDF
职称材料
10
基于代码变异的漏洞集技术研究
陈树骏
《信息技术与信息化》
2023
0
下载PDF
职称材料
11
基于CNN-GAP可解释性模型的软件源码漏洞检测方法
王剑
匡洪宇
李瑞林
苏云飞
《电子与信息学报》
EI
CSCD
北大核心
2022
17
下载PDF
职称材料
12
基于图神经网络的源码漏洞检测方法研究
宋子韬
胡勇
《通信技术》
2022
1
下载PDF
职称材料
13
源代码安全和质量缺陷静态检测技术研究
李炯彬
《质量与认证》
2021
3
下载PDF
职称材料
14
代码安全
本刊编辑部
《程序员》
2004
0
下载PDF
职称材料
15
漏洞放大镜
《网络与信息》
2004
0
下载PDF
职称材料
16
缓冲区溢出攻击的原理与防范
陈硕
《程序员》
2004
0
下载PDF
职称材料
17
补丁升级——Windows
《网管员世界》
2004
0
下载PDF
职称材料
18
微软发布7个安全更新公告
《网管员世界》
2004
0
下载PDF
职称材料
19
静态代码安全检测技术发展研究与前沿技术实践
林茂新
王太愚
王晶
《保密科学技术》
2023
0
原文传递
20
其他
《网管员世界》
2004
0
下载PDF
职称材料
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
上一页
1
2
下一页
到第
页
确定
用户登录
登录
IP登录
使用帮助
返回顶部