-
题名基于抽象语法树的智能化漏洞检测系统
被引量:9
- 1
-
-
作者
陈肇炫
邹德清
李珍
金海
-
机构
大数据技术与系统国家工程研究中心服务计算技术与系统教育部重点实验室集群与网格计算湖北省重点实验室大数据安全湖北省工程研究中心
华中科技大学计算机科学与技术学院
华中科技大学网络空间安全学院
深圳华中科技大学研究院
-
出处
《信息安全学报》
CSCD
2020年第4期1-13,共13页
-
基金
国家自然科学基金项目(No.U1936211)
深圳市基础研究(学科布局)(No.JCYJ20170413114215614)
+1 种基金
广东省省级科技计划项目(No.2017B010124001)
广东省重点领域研发计划项目(No.2019B010139001)的资助。
-
文摘
源代码漏洞的自动检测是一个重要的研究课题。目前现有的解决方案大多是基于线性模型,依赖于源代码的文本信息而忽略了语法结构信息,从而造成了源代码语法和语义信息的丢失,同时也遗漏了许多漏洞特征。提出了一种基于结构表征的智能化漏洞检测系统Astor,致力于使用源代码的结构信息进行智能化漏洞检测,所考虑的结构信息是抽象语法树(Abstract Syntax Tree,AST)。首先,构建了一个从源代码转化而来且包含源码语法结构信息的数据集,提出使用深度优先遍历的机制获取AST的语法表征。最后,使用神经网络模型学习AST的语法表征。为了评估Astor的性能,对多个基于结构化数据和基于线性数据的漏洞检测系统进行比较,实验结果表明Astor能有效提升漏洞检测能力,降低漏报率和误报率。此外,还进一步总结出结构化模型更适用于长度大,信息量丰富的数据。
-
关键词
漏洞检测
结构表征
抽象语法树
神经网络
-
Keywords
vulnerability detection
structured representation
abstract syntax tree
neural network
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-