-
题名一种基于特征矩阵的软件脆弱性代码克隆检测方法
被引量:13
- 1
-
-
作者
甘水滔
秦晓军
陈左宁
王林章
-
机构
数学工程与先进计算国家重点实验室(无锡江南计算技术研究所)
计算机软件新技术国家重点实验室(南京大学)
-
出处
《软件学报》
EI
CSCD
北大核心
2015年第2期348-363,共16页
-
基金
国家自然科学基金(91318301
61170066
6147179)
-
文摘
提出了一种基于特征矩阵的软件代码克隆检测方法.在此基础上,实现了针对多类脆弱性的检测模型.基于对脆弱代码的语法和语义特征分析,从语法分析树抽取特定的关键节点类型描述不同的脆弱性类型,将4种基本克隆类型细化拓展到更多类,通过遍历代码片段对应的语法分析树中关键节点的数量,构造对应的特征矩阵.从公开漏洞数据库中抽取部分实例作为基本知识库,通过对代码进行基于多种克隆类型的聚类计算,达到了从被测软件代码中检测脆弱代码的目的.与基于单一特征向量的检测方法相比,对脆弱性特征的描述更加精确,更具有针对性,并且弥补了形式化检测方法在脆弱性类型覆盖能力上的不足.在对android-kernel代码的测试中发现了9个脆弱性.对不同规模软件代码的测试结果表明,该方法的时间开销和被测代码规模成线性关系.
-
关键词
脆弱性检测
代码克隆
语法分析树
特征矩阵
-
Keywords
vulnerabilitydetection
codeclone
syntax parser tree
metrics of characteristics
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-