网络空间安全与计算机学院青年教师李珍的论文“SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities”被IEEE Transactions on Dependable and Secure Computing(TDSC)期刊录用。该期刊主要关注计算机及网络安全、可信计算等领域的前沿研究,是该领域的权威期刊之一,属于中国计算机学会CCF A类期刊。每年出版4期,每年录用论文约80篇左右,2019-2020年该期刊的影响因子为6.864。
该论文是与华中科技大学网络空间安全学院和美国得克萨斯大学圣安东尼奥分校计算机系合作的研究成果。将深度学习技术引入到程序切片级源代码漏洞检测,有效地排除漏洞无关语句,提出了基于深度学习的漏洞检测框架SySeVR。通过获取三个代码表征,即基于语法的候选漏洞代码、基于语义的候选漏洞代码和候选漏洞代码的向量表征,在不需要人类专家定义特征或属性的前提下,自动学习各种类型漏洞的特征,来检测目标程序中的漏洞。实验结果表明,SySeVR可以采用多种深度神经网络检测各类型漏洞,双向门控循环单元(BGRU)的有效性优于其他神经网络;在漏报误报原因解释上, BGRU的有效性在很大程度上受训练数据的影响,如果某些语法元素经常出现在漏洞(无漏洞)代码中,则这些语法元素可能会导致较高的误报(漏报);用于深度神经网络学习的语义信息越多,神经网络的漏洞检测能力越高;SySeVR框架下的漏洞检测系统在4个目标软件中检测到15个在美国国家漏洞库NVD中未公布的漏洞,其中8个漏洞在相应软件的后续版本中默默地进行了修补。
(网络空间安全与计算机学院、科学技术处供稿)