近日,，由西北大學信息學院房鼎益、陳曉江教授領(lǐng)銜的物聯(lián)網(wǎng)團隊與螞蟻安全實驗室,、南方科技大學,、北京大學和英國利茲大學等機構(gòu)聯(lián)合研究，在軟件安全領(lǐng)域取得重要研究進展,。團隊利用圖深度神經(jīng)網(wǎng)絡(luò)結(jié)合開源代碼倉庫,，開發(fā)出了具有自主知識產(chǎn)權(quán)的源代碼漏洞檢測系統(tǒng)FUNDED，大幅度提升了源代碼漏洞的檢準率,。

什么是源代碼漏洞檢測,？開發(fā)網(wǎng)站、編寫程序,，或引用互聯(lián)網(wǎng)上的代碼,，確定代碼是否含有漏洞，這個過程就是源代碼漏洞檢測,，是軟件安全保障的基礎(chǔ)。針對源代碼漏洞檢測,，較為通用的做法一是通過尋求經(jīng)驗更豐富的程序員進行人工代碼審計,，盡早發(fā)現(xiàn)漏洞；另一類是利用已有的先驗性專家規(guī)則進行匹配性漏洞檢測,，但是由于受到人員水平,、漏洞更新速度,、規(guī)則適應(yīng)性等諸多條件限制，目前這些方法普遍誤報率較高,。

研究團隊開發(fā)的FUNDED系統(tǒng)能從大型代碼開源倉庫中自動快速獲取全世界優(yōu)秀程序員對軟件漏洞的最新貢獻,。該系統(tǒng)類似”機器人”，可持續(xù),、自動地從互聯(lián)網(wǎng)開源代碼庫中爬取最新的漏洞相關(guān)知識,，然后構(gòu)建基于圖網(wǎng)絡(luò)的高精度漏洞檢測模型，從而提升漏洞識別的準確率,。在該技術(shù)公開前,，盡管有深度學習的方法能夠在公開數(shù)據(jù)集上進行漏洞檢測識別，但在實際應(yīng)用場景的高精度漏洞檢測并未取得突破,。

目前,，F(xiàn)UNDED系統(tǒng)在實際應(yīng)用場景下對30種漏洞進行測試，其檢測準確率平均在92%以上,，最高可達99%,，未來隨著數(shù)據(jù)集的擴充，其準確率還將不斷提高,。此外,，該模型還能夠在不同程序語言代碼之間進行遷移，簡單來講,，模型在已有的程序開發(fā)語言A上的漏洞檢測能力,，能夠快速的應(yīng)用到另一種新的開發(fā)語言B上。

目前,，該研究成果論文被網(wǎng)絡(luò)與信息安全領(lǐng)域國際頂級期刊IEEE TIFS全文接收,。論文第一作者王煥廷為西北大學信息學院研三學生，通訊作者為物聯(lián)網(wǎng)團隊湯戰(zhàn)勇教授,。（西安報業(yè)全媒體記者 張瀟）

原文鏈接：http://news.xiancn.com/content/2020-12/22/content_3663025.htm