基于代码变异的漏洞集技术研究

目前,关于使用普通代码数据集自动生成或变异的研究有很多,但专门针对漏洞代码数据集自动化产生的研究还很少受到公众关注。由于漏洞代码的特殊性,现有漏洞代码的产生主要以手工编写为主,为了产生出更多的漏洞代码,采取相反的思路,不修改普通代码为漏洞代码,而是直接对现有的漏洞代码进行变异。使用代码切片表示污点数据的控制流和数据流信息,并结合Sequence-to-Sequence深度神经网络随机生成新的代码片段。对变异后的漏洞代码进行实验。结果显示,变异后代码语法正确率在71%左右,基于语法正确的变异代码的漏洞真阳性率在93%左右。将变异后的漏洞代码应用在漏洞检测技术中发现,这些漏洞代码可用于区分和测试静态漏洞检测工具,还可作为深度学习漏洞检测技术的训练样本,模型的训练结果显示添加变异的漏洞代码后所有指标均优于基线方法。