期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到496篇文章
< 1 2 25 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
信息安全风险评估关键技术研究与实现 被引量:62
1
作者 文伟平 郭荣华 +1 位作者 孟正 柏皛 《信息网络安全》 2015年第2期7-14,共8页
信息安全问题是全球信息化发展最关注的问题,随着各机构逐渐进入信息化办公时代,机构的信息资产几乎全部保存在信息系统中,一旦面临威胁和遭遇攻击,造成的危害和损失将难以想象。信息安全风险评估理论最早由国外提出,目前广泛应用于信... 信息安全问题是全球信息化发展最关注的问题,随着各机构逐渐进入信息化办公时代,机构的信息资产几乎全部保存在信息系统中,一旦面临威胁和遭遇攻击,造成的危害和损失将难以想象。信息安全风险评估理论最早由国外提出,目前广泛应用于信息安全领域。文章首先研究风险评估的基础理论和流程,对风险评估的定义、风险评估要素之间的关联关系、安全风险模型和常见的风险评估方法进行介绍。然后对风险评估与控制软件进行架构设计和功能模块设计,该软件涉及资产识别、威胁分析、脆弱性分析、现有安全策略的确认与评估、综合风险评估、评估报告输出等多个环节。接下来结合SQL Server数据库和Tomcat中间件技术完成系统的实现,并在测试平台上对其进行测试。文章在评估软件的设计过程中加入了漏洞检测功能,为评估工作的准确性提供了进一步的保障。系统模块结构简洁清晰,评估功能完善强大,效果突出。 展开更多
关键词 风险评估 资产识别 脆弱性分析 威胁分析 漏洞检测
下载PDF
计算机安全漏洞检测技术综述 被引量:28
2
作者 宋超臣 黄俊强 +1 位作者 王大萌 段志鸣 《信息网络安全》 2012年第1期77-79,共3页
由于信息系统已被广泛应用到国家的各个领域,信息系统的安全显得尤为重要。计算机安全漏洞已经成为信息系统的最主要的威胁之一,因此发现信息系统的漏洞检测技术也成为了目前的研究热点。文章对目前漏洞检测技术中的静态检测技术、动态... 由于信息系统已被广泛应用到国家的各个领域,信息系统的安全显得尤为重要。计算机安全漏洞已经成为信息系统的最主要的威胁之一,因此发现信息系统的漏洞检测技术也成为了目前的研究热点。文章对目前漏洞检测技术中的静态检测技术、动态检测技术和混合检测技术进行了概述,并对各种技术的优缺点进行了比较分析。 展开更多
关键词 漏洞检测 静态检测 动态检测 混合检测
下载PDF
Web应用常见注入式安全漏洞检测关键技术综述 被引量:22
3
作者 王丹 赵文兵 丁治明 《北京工业大学学报》 CAS CSCD 北大核心 2016年第12期1822-1832,共11页
针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展.介绍了Web应用常见的注入式安全漏洞的分类,总结了... 针对各种动态Web技术的应用和发展加剧了Web应用注入式恶意攻击防范难度的问题,围绕Web应用典型的SQL注入和XSS注入漏洞,综述了近年来提出的、适用于Web应用注入式漏洞检测的研究进展.介绍了Web应用常见的注入式安全漏洞的分类,总结了这类漏洞的成因,梳理了安全漏洞检测的复杂性;阐述了注入式安全漏洞检测的关键技术,包括漏洞注入点的分析和识别、符号执行和污点分析以及基于软件分析和测试模型的漏洞检测方法;最后给出了研究展望. 展开更多
关键词 WEB应用 注入式 漏洞检测
下载PDF
智能合约安全漏洞检测技术研究综述 被引量:21
4
作者 钱鹏 刘振广 +3 位作者 何钦铭 黄步添 田端正 王勋 《软件学报》 EI CSCD 北大核心 2022年第8期3059-3085,共27页
智能合约是区块链技术最成功的应用之一,为实现各式各样的区块链现实应用提供了基础,在区块链生态系统中处于至关重要的地位.然而,频发的智能合约安全事件不仅造成了巨大的经济损失,而且破坏了基于区块链的信用体系,智能合约的安全性和... 智能合约是区块链技术最成功的应用之一,为实现各式各样的区块链现实应用提供了基础,在区块链生态系统中处于至关重要的地位.然而,频发的智能合约安全事件不仅造成了巨大的经济损失,而且破坏了基于区块链的信用体系,智能合约的安全性和可靠性成为国内外研究的新关注点.首先从Solidity代码层、EVM执行层、区块链系统层这3个层面介绍了智能合约常见的漏洞类型和典型案例;继而,从形式化验证法、符号执行法、模糊测试法、中间表示法、深度学习法这5类方法综述了智能合约漏洞检测技术的研究进展,针对现有漏洞检测方法的可检测漏洞类型、准确率、时间消耗等方面进行了详细的对比分析,并讨论了它们的局限性和改进思路;最后,根据对现有研究工作的总结,探讨了智能合约漏洞检测领域面临的挑战,并结合深度学习技术展望了未来的研究方向. 展开更多
关键词 区块链 智能合约 以太坊 漏洞检测 自动化工具
下载PDF
面向软件漏洞检测的Fuzzing样本优化方法 被引量:22
5
作者 张晶 陈诚 郑焕科 《山东大学学报(理学版)》 CAS CSCD 北大核心 2019年第9期1-8,35,共9页
软件漏洞检测在信息物理融合系统中通常使用模糊测试(Fuzzing)技术。针对Fuzzing技术中存在大量冗余的测试样本,且样本探测异常的有效性较低的情况,提出一种面向软件漏洞检测的Fuzzing样本优化的方法。首先筛除随机样本中软件不接受的样... 软件漏洞检测在信息物理融合系统中通常使用模糊测试(Fuzzing)技术。针对Fuzzing技术中存在大量冗余的测试样本,且样本探测异常的有效性较低的情况,提出一种面向软件漏洞检测的Fuzzing样本优化的方法。首先筛除随机样本中软件不接受的样本,并通过改进的动态规划算法获得初始样本的精简集,以减小初始样本的数量;然后在测试过程中跟踪污点传播路径,利用Simhash和海明距离的改进算法求解样本传播路径相似度,通过删除相似度较高的样本进一步降低样本冗余;最后对触发异常的样本进行遗传变异构建新的测试样本,以增加样本的有效性。通过实验结果可以看出,相较于利用基于贪心算法和基于异常分布导向的方法,这里提出的方法有效减小了测试样本冗余,并且提升了测试样本的有效性。 展开更多
关键词 漏洞检测 模糊测试 样本优化 样本精简集 有效性
原文传递
Android安全漏洞挖掘技术综述 被引量:22
6
作者 张玉清 方喆君 +6 位作者 王凯 王志强 乐洪舟 刘奇旭 何远 李晓琦 杨刚 《计算机研究与发展》 EI CSCD 北大核心 2015年第10期2167-2177,共11页
安全漏洞在Android系统的安全性中处于核心地位,因此如何有效挖掘Android系统安全漏洞,已成为增强移动终端安全性、保护用户安全和隐私的重要技术手段,具有重要的理论和现实意义.首先对Android领域2008—2015年间漏洞数量趋势和种类进... 安全漏洞在Android系统的安全性中处于核心地位,因此如何有效挖掘Android系统安全漏洞,已成为增强移动终端安全性、保护用户安全和隐私的重要技术手段,具有重要的理论和现实意义.首先对Android领域2008—2015年间漏洞数量趋势和种类进行了汇总,然后分类分析了Android安全领域顶级会议上2012—2014年间的学术研究进展.在此基础上,给出了Android漏洞挖掘技术的总体概览,并针对漏洞挖掘领域中使用较多的污染流传播分析、可达路径分析、符号执行、Fuzzing测试等技术进行详细阐述,还对混合符号执行和定向Fuzzing等动静态结合的技术进行了介绍.最后对Android漏洞挖掘领域的开源工具进行了总结,并讨论了值得进一步深入研究的安全问题. 展开更多
关键词 Android安全 综述 漏洞挖掘 静态分析 动态分析
下载PDF
SQL注入漏洞多等级检测方法研究 被引量:18
7
作者 练坤梅 许静 +1 位作者 田伟 张莹 《计算机科学与探索》 CSCD 2011年第5期474-480,共7页
在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模... 在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模拟黑客攻击的方式主动地、有针对性地进行检测。SQL注入参数的等价类划分保证了模糊测试过程的完备性和无冗余性。 展开更多
关键词 漏洞检测 结构化查询语言(SQL) SQL注入 分级 模糊测试 等价类划分
下载PDF
基于渗透测试的网络安全漏洞实时侦测技术 被引量:19
8
作者 张志华 《科学技术与工程》 北大核心 2018年第20期297-302,共6页
传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图... 传统网络安全漏洞侦测技术无法准确得到攻击注入点,和服务器交互频繁,导致侦测结果不可靠、效率低下。为此,提出一种新的基于渗透测试的网络安全漏洞实时侦测技术。设计了渗透测试下网络安全漏洞实时侦测系统,构建系统架构,在生成攻击图时,将网络当前节点漏洞看作单位编码,利用进化计算对不同漏洞属性权重进行调整,获取攻击图库。在设计攻击注入点分析模块时,利用广度优先爬取法,依据网页目录层次实现网络页面爬取;通过爬取过程获取网络全部页面攻击注入点,根据Bloom Filter对重复的URL进行去重处理。利用渗透测试实现攻击和分析模块设计,以此生成攻击图对注入点注入攻击;对攻击反馈进行研究,判断注入点是否存在网络安全漏洞。渗透测试时为了降低交互频率,通过探子请求技术完成探测,对是否进行进一步侦测进行判断。实验结果表明,所提技术侦测结果可靠,效率高。 展开更多
关键词 渗透测试 网络安全 漏洞 实时 侦测
下载PDF
漏洞扫描与入侵检测联动系统的研究 被引量:9
9
作者 段丹青 陈松乔 杨卫平 《计算机应用研究》 CSCD 北大核心 2007年第7期128-130,共3页
提出漏洞扫描与入侵检测系统联动工作模型。通过定期对系统进行漏洞扫描,及时修补系统安全漏洞,同时IDS根据漏洞扫描结果,对模式库进行动态更新,删除和得到与修补的漏洞有关的攻击模式,缩减模式库的规模,从而可以有效地提高IDS检测效率... 提出漏洞扫描与入侵检测系统联动工作模型。通过定期对系统进行漏洞扫描,及时修补系统安全漏洞,同时IDS根据漏洞扫描结果,对模式库进行动态更新,删除和得到与修补的漏洞有关的攻击模式,缩减模式库的规模,从而可以有效地提高IDS检测效率。根据该模型,系统采用开放接口方式实现双方联动,使用基于插件的开放式模块化方法编程,以提高系统的可扩展性。 展开更多
关键词 漏洞扫描 入侵检测 联动 开放接口
下载PDF
基于RASP技术的Java Web框架漏洞通用检测与定位方案 被引量:19
10
作者 邱若男 胡岸琪 +1 位作者 彭国军 张焕国 《武汉大学学报(理学版)》 CAS CSCD 北大核心 2020年第3期285-296,共12页
针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)... 针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88.2%,且该方案性能消耗小。 展开更多
关键词 运行时应用自我保护 漏洞定位 攻击检测 Java Web
原文传递
一种基于fuzzing技术的漏洞发掘新思路 被引量:17
11
作者 邵林 张小松 苏恩标 《计算机应用研究》 CSCD 北大核心 2009年第3期1086-1088,共3页
目前检测软件缓冲区溢出漏洞仅局限于手工分析、二进制补丁比较及fuzzing技术等,这些技术要么对人工分析依赖程度高,要么盲目性太大,致使漏洞发掘效率极为低下。结合fuzzing技术、数据流动态分析技术以及异常自动分析技术等,提出一种新... 目前检测软件缓冲区溢出漏洞仅局限于手工分析、二进制补丁比较及fuzzing技术等,这些技术要么对人工分析依赖程度高,要么盲目性太大,致使漏洞发掘效率极为低下。结合fuzzing技术、数据流动态分析技术以及异常自动分析技术等,提出一种新的缓冲区溢出漏洞发掘思路。新思路克服了已有缓冲区溢出漏洞发掘技术的缺点,能有效发掘网络服务器软件中潜在的未知安全漏洞(0day),提高了缓冲区溢出漏洞发掘效率和自动化程度。 展开更多
关键词 自动化 缓冲区溢出 黑盒测试 安全漏洞 漏洞发掘
下载PDF
基于深度聚类的开源软件漏洞检测方法 被引量:18
12
作者 李元诚 黄戎 +2 位作者 来风刚 毛一凡 蔡力军 《计算机应用研究》 CSCD 北大核心 2020年第4期1107-1110,1114,共5页
针对开源软件漏洞,提出一种基于深度聚类算法的软件源代码漏洞检测方法。该方法利用代码图模型构造开源软件代码属性图,遍历得到关键代码节点并提取出应用程序编程接口(API)序列,将其嵌入向量空间,以关键代码为中心进行聚类,根据聚类结... 针对开源软件漏洞,提出一种基于深度聚类算法的软件源代码漏洞检测方法。该方法利用代码图模型构造开源软件代码属性图,遍历得到关键代码节点并提取出应用程序编程接口(API)序列,将其嵌入向量空间,以关键代码为中心进行聚类,根据聚类结果计算每个函数的异常值,生成检测报告并匹配漏洞库,从而检测出源代码中的漏洞。实验结果表明,该方法能够定位开源软件中漏洞所在的关键代码段并检测出相应漏洞。 展开更多
关键词 开源软件 漏洞检测 源代码分析 深度学习 聚类
下载PDF
智能化网络安全威胁感知融合模型研究 被引量:18
13
作者 赵志岩 纪小默 《信息网络安全》 CSCD 北大核心 2020年第4期87-93,共7页
文章针对当前网络安全态势感知模型数据分析的深度和广度的局限性,以及协作联动能力不足等问题,提出了一种智能化网络安全威胁感知融合模型。模型采用模块化、组件化进行结构组织,包括网络安全漏洞隐患检测模块、网络安全数据预处理模... 文章针对当前网络安全态势感知模型数据分析的深度和广度的局限性,以及协作联动能力不足等问题,提出了一种智能化网络安全威胁感知融合模型。模型采用模块化、组件化进行结构组织,包括网络安全漏洞隐患检测模块、网络安全数据预处理模块、网络安全数据要素提取模块、网络安全态势评估模块、网络安全态势预测模块及网络安全态势可视化模块,并明确了每个模块使用的技术方法。这些方法包括K-means聚类、PCA特征提取、贝叶斯网络、人工神经网络等。分析发现,模型具有持续监控、威胁预警、多重角度的可视化数据呈现、模块化与可插拔的中间件等功能,可根据不同组合的模型应用实现数据安全服务与信任评估服务,有效提升网络安全态势感知系统的监测预警能力。 展开更多
关键词 网络安全态势感知 漏洞隐患检测 数据预处理 安全态势评估 安全态势预测
下载PDF
工业控制系统脆弱性分析及漏洞挖掘技术研究综述 被引量:15
14
作者 赖英旭 刘静 +1 位作者 刘增辉 张靖雯 《北京工业大学学报》 CAS CSCD 北大核心 2020年第6期571-582,共12页
针对工业控制系统信息安全问题的来源进行总结,对工业控制安全领域现有的脆弱性分析技术进行归纳、梳理.根据所检测漏洞是否为已知漏洞,讨论工业控制系统漏洞检测技术和工业控制系统漏洞挖掘技术的发展现状和成果,分析当前研究存在的不... 针对工业控制系统信息安全问题的来源进行总结,对工业控制安全领域现有的脆弱性分析技术进行归纳、梳理.根据所检测漏洞是否为已知漏洞,讨论工业控制系统漏洞检测技术和工业控制系统漏洞挖掘技术的发展现状和成果,分析当前研究存在的不足之处.根据当前趋势进行展望,提出工业控制系统脆弱性分析和漏洞技术的未来发展方向. 展开更多
关键词 工业控制系统 脆弱性分析 漏洞挖掘 漏洞检测 协议分析 模糊测试
下载PDF
漏洞检测与主动防御系统模型的研究与实现 被引量:6
15
作者 郎良 张玉清 +1 位作者 高有行 钱秀槟 《计算机工程》 CAS CSCD 北大核心 2004年第13期38-40,94,共4页
在分析传统安全产品缺陷的基础上,提出并实现了漏洞检测与主动防御系统模型,结合新型安全防范平台介绍了它的功能和结构,说明了模型各组成部分的设计和实现方法,分析了模型的改进方向,最后强调了这一模型的优点和先进性。
关键词 网络安全 漏洞检测 主动防御 网络攻击
下载PDF
计算机BIOS安全风险分析与检测系统研究 被引量:13
16
作者 周振柳 刘宝旭 +1 位作者 池亚平 许榕生 《计算机工程》 CAS CSCD 北大核心 2007年第16期114-116,共3页
介绍了计算机BIOS安全风险的形成及特点,总结了BIOS安全风险的分类,提出了BIOS安全威胁模型和基于BIOS安全隐患扫描和代码完整性度量的BIOS安全检测模型。实现了一个基于BIOS安全隐患库与BIOS标准代码样本库的BIOS安全检测系统。指出BIO... 介绍了计算机BIOS安全风险的形成及特点,总结了BIOS安全风险的分类,提出了BIOS安全威胁模型和基于BIOS安全隐患扫描和代码完整性度量的BIOS安全检测模型。实现了一个基于BIOS安全隐患库与BIOS标准代码样本库的BIOS安全检测系统。指出BIOS在信息安全基础解决方案中的进一步安全增强和安全扩展的研究方向。 展开更多
关键词 BIOS 安全风险 安全隐患 安全检测
下载PDF
基于区块链技术的网络安全漏洞检测系统设计 被引量:14
17
作者 熊琭 《计算机测量与控制》 2021年第5期59-63,共5页
为解决传统网络安全漏洞扫描受限,导致网络应用环境的安全性承载能力较差的问题,设计基于区块链技术的网络安全漏洞检测系统;利用网络爬虫模块抓取任务管理模块所需的待检测信息参量,按照漏洞数据所属的具体类别,将其分别反馈至XSS检测... 为解决传统网络安全漏洞扫描受限,导致网络应用环境的安全性承载能力较差的问题,设计基于区块链技术的网络安全漏洞检测系统;利用网络爬虫模块抓取任务管理模块所需的待检测信息参量,按照漏洞数据所属的具体类别,将其分别反馈至XSS检测模块、SQL检测模块与CSRF检测模块之中;在此基础上,定义区块信息的实际交易格式,联合各项智能化合约,实现对系统功能需求的定向化分析,并完成相关用例图的构建;通过上述软、硬件设备基础,完成基于区块链技术的网络安全漏洞检测系统设计;对比实验结果显示,与C/S型网络漏洞检测系统相比,基于区块链技术检测系统的安全性等级划分条件更加细致,扫描web漏洞覆盖范围也更为广泛,有助于网络应用环境安全性承载能力的稳定提升。 展开更多
关键词 区块链技术 网络安全 漏洞检测 网络爬虫 注入漏洞 交易格式 智能合约 功能需求
下载PDF
基于被动分簇算法的即时通信网络协议漏洞检测 被引量:13
18
作者 张杰 景雯 陈富 《吉林大学学报(工学版)》 EI CAS CSCD 北大核心 2021年第6期2253-2258,共6页
为有效挖掘出网络协议漏洞,防止恶意攻击者泄露协议机密信息,维护协议运行环境安全,提出了一种基于被动分簇算法的即时通信网络协议漏洞检测方法。该方法使用被动分簇算法中先声明者优先机制挑选簇首,按照网络健壮性和能源有效性间的均... 为有效挖掘出网络协议漏洞,防止恶意攻击者泄露协议机密信息,维护协议运行环境安全,提出了一种基于被动分簇算法的即时通信网络协议漏洞检测方法。该方法使用被动分簇算法中先声明者优先机制挑选簇首,按照网络健壮性和能源有效性间的均衡原则明确网关节点;对待检测协议实施形式化定义,获得协议工作详细流程;采用AFL模糊检测工具对协议的正、负样本过采样,得到完整样本集合;将前向反馈网络和支持向量机分别当作生成对抗式网络中的生成模型与判别模型,利用拉格朗日算法得到检测用例数据,将其代入协议系统内完成漏洞检测。仿真结果证明,所提方法具有极高的漏洞检测精度与效率,能有效确保网络协议运行安全性。 展开更多
关键词 被动分簇 即时通信网络 协议漏洞 漏洞检测 深度学习
原文传递
开源软件漏洞检测的混合深度学习方法 被引量:13
19
作者 李元诚 崔亚奇 +2 位作者 吕俊峰 来风刚 张攀 《计算机工程与应用》 CSCD 北大核心 2019年第11期52-59,共8页
针对开源软件代码质量参差不齐和存在安全隐患的问题,提出一种基于混合深度学习模型(DCnnGRU)的开源软件漏洞检测方法。以漏洞库中的关键点为切入点构建控制流图,从静态代码中提取出与关键点存在调用和传递关系的代码片段,将代码片段数... 针对开源软件代码质量参差不齐和存在安全隐患的问题,提出一种基于混合深度学习模型(DCnnGRU)的开源软件漏洞检测方法。以漏洞库中的关键点为切入点构建控制流图,从静态代码中提取出与关键点存在调用和传递关系的代码片段,将代码片段数字化为固定长度的特征向量,并作为DCnnGRU模型的输入。该模型用卷积神经网络(Convolutional Neural Network,CNN)作为与特征向量交互的接口,门控循环单元(Gated Recurrent Unit,GRU)嵌入到CNN中间,作为捕获代码调用关系的门控机制。首先进行卷积和池化处理,卷积核和池化窗口对特征向量进行降维。其次,GRU作为中间层嵌入到池化层和全连接层之间,能够保留代码数据之间的调用和传递关系。最后利用全连接层来完成归一化处理,将处理后的特征向量送入softmax分类器进行漏洞检测。实验结果验证了DCnnGRU模型比单独的CNN和RNN模型有更高的漏洞检测能力,准确率比RNN高出7%,比CNN高出3%。 展开更多
关键词 开源软件 漏洞检测 深度学习 卷积神经网络 门控循环单元
下载PDF
基于图神经网络的切片级漏洞检测及解释方法 被引量:8
20
作者 胡雨涛 王溯远 +3 位作者 吴月明 邹德清 李文科 金海 《软件学报》 EI CSCD 北大核心 2023年第6期2543-2561,共19页
随着软件的复杂程度越来越高,对漏洞检测的研究需求也日益增大.软件漏洞的迅速发现和修补,可以将漏洞带来的损失降到最低.基于深度学习的漏洞检测方法作为目前新兴的检测手段,可以从漏洞代码中自动学习其隐含的漏洞模式,节省了大量人力... 随着软件的复杂程度越来越高,对漏洞检测的研究需求也日益增大.软件漏洞的迅速发现和修补,可以将漏洞带来的损失降到最低.基于深度学习的漏洞检测方法作为目前新兴的检测手段,可以从漏洞代码中自动学习其隐含的漏洞模式,节省了大量人力投入.但基于深度学习的漏洞检测方法尚未完善,其中,函数级别的检测方法存在检测粒度较粗且检测准确率较低的问题,切片级别的检测方法虽然能够有效减少样本噪声,但仍存在以下两方面的问题:一方面,现有方法大多采用人工漏洞数据集进行实验,因此其在真实环境中的漏洞检测能力仍然存疑;另一方面,相关工作仅致力于检测出切片样本是否存在漏洞,而缺乏对检测结果可解释性的考虑.针对上述问题,提出基于图神经网络的切片级漏洞检测及解释方法.该方法首先对C/C++源代码进行规范化并提取切片,以减少样本冗余信息干扰;之后,采用图神经网络模型进行切片嵌入得到其向量表征,以保留源代码的结构信息和漏洞特征;然后,将切片的向量表征输入漏洞检测模型进行训练和预测;最后,将训练完成的漏洞检测模型和待解释的漏洞切片输入漏洞解释器,得到具体的漏洞代码行.实验结果显示:在漏洞检测方面,该方法对于真实漏洞数据的检测F1分数达到75.1%,相较于对比方法提升了41.2%-110.4%;在漏洞解释方面,该方法在限定前10%的关键节点时,准确率可达73.6%,相较于两种对比解释器分别提升了8.9%和24.9%,且时间开销分别缩短了42.5%和15.4%.最后,该方法正确检测并解释了4个开源软件中59个真实漏洞,证明了其在现实世界漏洞发掘方面的实用性. 展开更多
关键词 漏洞检测 深度学习 图神经网络 人工智能可解释性
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 2 25 下一页 到第
使用帮助 返回顶部