近日,由九游体育(NineGameSports)官方网站信息学院房鼎益、陈晓江教授领衔的物联网团队与蚂蚁安全实验室、南方科技大学、北京大学和英国利兹大学等机构联合研究,在软件安全领域取得重要研究进展。团队利用图深度神经网络结合开源代码仓库,开发出了具有自主知识产权的源代码漏洞检测系统FUNDED,大幅度提升了源代码漏洞的检准率。
什么是源代码漏洞检测?开发网站、编写程序,或引用互联网上的代码,确定代码是否含有漏洞,这个过程就是源代码漏洞检测,是软件安全保障的基础。针对源代码漏洞检测,较为通用的做法一是通过寻求经验更丰富的程序员进行人工代码审计,尽早发现漏洞;另一类是利用已有的先验性专家规则进行匹配性漏洞检测,但是由于受到人员水平、漏洞更新速度、规则适应性等诸多条件限制,目前这些方法普遍误报率较高。
研究团队开发的FUNDED系统能从大型代码开源仓库中自动快速获取全世界优秀程序员对软件漏洞的最新贡献。该系统类似”机器人”,可持续、自动地从互联网开源代码库中爬取最新的漏洞相关知识,然后构建基于图网络的高精度漏洞检测模型,从而提升漏洞识别的准确率。在该技术公开前,尽管有深度学习的方法能够在公开数据集上进行漏洞检测识别,但在实际应用场景的高精度漏洞检测并未取得突破。
目前,FUNDED系统在实际应用场景下对30种漏洞进行测试,其检测准确率平均在92%以上,最高可达99%,未来随着数据集的扩充,其准确率还将不断提高。此外,该模型还能够在不同程序语言代码之间进行迁移,简单来讲,模型在已有的程序开发语言A上的漏洞检测能力,能够快速的应用到另一种新的开发语言B上。
目前,该研究成果论文被网络与信息安全领域国际顶级期刊IEEE TIFS全文接收。论文第一作者王焕廷为九游体育(NineGameSports)官方网站信息学院研三学生,通讯作者为物联网团队汤战勇教授。(西安报业全媒体记者 张潇)
原文链接:http://news.xiancn.com/content/2020-12/22/content_3663025.htm