中國青年報客戶端訊(中青報·中青網記者孫海華)記者從西北大學獲悉:近日,由該校信息學院房鼎益、陳曉江教授領銜的物聯網團隊與多家機構聯合研究,在軟體安全領域取得重要研究進展——利用圖深度神經網絡結合開原始碼倉庫,開發出了具有自主智慧財產權的原始碼漏洞檢測系統FUNDED,大幅度提升了原始碼漏洞的檢准率。
FUNDED系統利用圖神經網絡檢測原始碼漏洞示意圖。西北大學供圖
什麼是原始碼漏洞檢測?據介紹,開發網站、編寫程序,或引用網際網路上的代碼,確定代碼是否含有漏洞,這個過程就是原始碼漏洞檢測,是軟體安全保障的基礎。
針對原始碼漏洞檢測,較為通用的做法:一類是通過尋求經驗更豐富的程式設計師進行人工代碼審計,儘早發現漏洞;另一類是利用已有的先驗性專家規則進行匹配性漏洞檢測。但是,由於受到人員水平、漏洞更新速度、規則適應性等諸多條件限制,目前這些方法普遍誤報率較高。
此次研究團隊開發出的FUNDED系統,能從大型代碼開源倉庫中自動快速獲取全世界優秀程式設計師對軟體漏洞的最新貢獻。該系統類似」機器人」,可持續、自動地從網際網路開原始碼庫中取得最新的漏洞相關知識,然後構建高精度漏洞檢測模型,從而提升漏洞識別的準確率。
FUNDED系統利用遷移學習進行跨語言漏洞檢測。西北大學供圖
目前,FUNDED系統在實際應用場景下對30種漏洞進行測試,檢測準確率平均在92%以上,最高可達99%。未來,隨著數據集的擴充,其準確率還將不斷提高。
不僅如此,該模型還能夠在不同程序語言代碼之間進行遷移。簡單說,即模型在已有的程序開發語言上的漏洞檢測能力,能夠快速的應用到另一種新的開發語言上。
在該技術公開前,儘管有方法能夠在公開數據集上進行漏洞檢測識別,但在實際應用場景的高精度漏洞檢測並未取得突破。
這一與螞蟻安全實驗室、南方科技大學、北京大學和英國利茲大學等機構聯合開展的研究,得到了國家自然科學基金、螞蟻集團科研項目的聯合資助。目前,該研究成果論文被網絡與信息安全領域國際頂級期刊IEEETIFS全文接收,成果正在螞蟻集團內部進行落地和應用評測,並被該實驗室官方推介。
來源:中國青年報客戶端