西北大学研发FUNDED系统极大提升源代码漏洞检准

中国青年报客户端讯(中青报·中青网记者 孙海华)记者从西北大学获悉:近日,由该校信息学院房鼎益、陈晓江教授领衔的物联网团队与多家机构联合研究,在软件安全领域取得重要研究进展——利用图深度神经网络结合开源代码仓库,开发出了具有自主知识产权的源代码漏洞检测系统FUNDED,大幅度提升了源代码漏洞的检准率。

FUNDED系统利用图神经网络检测源代码漏洞示意图。西北大学供图

什么是源代码漏洞检测?据介绍,开发网站、编写程序,或引用互联网上的代码,确定代码是否含有漏洞,这个过程就是源代码漏洞检测,是软件安全保障的基础。

针对源代码漏洞检测,较为通用的做法:一类是通过寻求经验更丰富的程序员进行人工代码审计,尽早发现漏洞;另一类是利用已有的先验性专家规则进行匹配性漏洞检测。但是,由于受到人员水平、漏洞更新速度、规则适应性等诸多条件限制,目前这些方法普遍误报率较高。

此次研究团队开发出的FUNDED系统,能从大型代码开源仓库中自动快速获取全世界优秀程序员对软件漏洞的最新贡献。该系统类似”机器人”,可持续、自动地从互联网开源代码库中取得最新的漏洞相关知识,然后构建高精度漏洞检测模型,从而提升漏洞识别的准确率。

FUNDED系统利用迁移学习进行跨语言漏洞检测 。西北大学供图

目前,FUNDED系统在实际应用场景下对30种漏洞进行测试,检测准确率平均在92%以上,最高可达99%。未来,随着数据集的扩充,其准确率还将不断提高。

不仅如此,该模型还能够在不同程序语言代码之间进行迁移。简单说,即模型在已有的程序开发语言上的漏洞检测能力,能够快速的应用到另一种新的开发语言上。

在该技术公开前,尽管有方法能够在公开数据集上进行漏洞检测识别,但在实际应用场景的高精度漏洞检测并未取得突破。

这一与蚂蚁安全实验室、南方科技大学、北京大学和英国利兹大学等机构联合开展的研究,得到了国家自然科学基金、蚂蚁集团科研项目的联合资助。目前,该研究成果论文被网络与信息安全领域国际顶级期刊IEEE TIFS全文接收,成果正在蚂蚁集团内部进行落地和应用评测,并被该实验室官方推介。

  

联系方式

13544009511

粤公网安备 44030502004801号