近日,低空科学与工程学院宋礼鹏教授团队在软件漏洞检测与智能化分析方向取得重要进展。研究成果《Contrastive Analysis: Extracting Discriminative Features from highly similar Vulnerable-Patched Codes for Vulnerability Detection》(基于对比分析的软件漏洞检测:从高度相似的漏洞-补丁代码中提取判别特征)被网络与信息安全领域国际顶级学术期刊《IEEE Transactions on Information Forensics and Security》(IEEE TIFS)录用并发表。
该论文第一作者为ray电竞官网宋礼鹏教授,宋礼鹏教授和公安部第三研究所吴松洋研究员为共同通讯作者。论文针对当前深度学习类漏洞检测方法在实际应用场景中易出现性能退化的问题,提出了一种基于对比分析的创新检测框架CA-SVD(如图1所示)。
图1 CA-SVD框架
在真实的网络安全防御中,现有检测模型主要面临两项挑战:(1)公开漏洞数据集中存在大量标签噪声,影响模型的训练质量;(2)漏洞代码与其对应的补丁代码具有极高的结构相似性(代码重叠率通常超过90%),使模型难以捕获细微的代码差异,从而导致误报或漏报。
针对上述问题,宋礼鹏教授团队提出了CA-SVD方法,该方法引入对比学习思想,并基于图神经网络建模漏洞代码与补丁代码的结构特征,从高度相似的“漏洞–补丁”代码对中有效抽取判别性差异特征。实验结果表明,CA-SVD在多项评测中显著提升了检测准确率与召回率,降低了误报率,有效增强了软件供应链的安全。
宋礼鹏教授团队长期致力于网络空间安全、软件漏洞检测、人工智能安全等领域的研究。此次在IEEE TIFS发表高水平论文,是团队在源代码细粒度漏洞检测与智能化分析方向取得的又一重要研究进展。
IEEE TIFS是网络与信息系统安全领域最具影响力的学术期刊,是该领域唯一的中国科学院一区TOP期刊和中国计算机学会(CCF)推荐的A类国际期刊,代表了该领域在学术理论与工程应用方面的国际先进水平。
作者/李程 编辑/孙秀影 审核/李冶
