1、项目简介
在网络日益发展的今天,软件安全成为了从业人员必须要注意的一块。在国际上,软件漏洞静态检测是一种有效的方式去检测程序中静态存在的错误。在检测方法中,相较于二进制漏洞检测法,源代码漏洞检测法更简便更快速。
本项目核心思想是源代码漏洞检测法中基于深度学习的检测方法。由于CNN+ATTENTION机制的优秀表现,所以我们使用这个核心神经网络结构来训练模型,从而达到源代码静态错误的检测效果。
具体流程:
- 平台从用户本地读入文件
- 一系列模型处理操作
- 将结果写入本地
2、项目特色
总结:采用CNN+Attention模型进行工作我们可以得到学习效率的模型,相对于RNN+LSTM更加的准确、快速。在漏洞检测这块,二进制漏洞检测由于其缺乏上层的代码结构信息和类型信息,分析难度大;源代码漏洞检测中的基于中间表示的漏洞检测,对大规模的程序进行形式化表示很困难。综合以上考虑,我们使用的基于逻辑推理的漏洞检测再结合计算机强大的算力会更加准确。
3、项目成果展示
3.1 成果简介
项目实现一种基于CNN+ATTENTION 这两种神经网络以及已公布漏洞库中的代码数据所训练出来的具有能够检测到程序漏洞能力的模型。在服务器上配置好所需要的环境后,我们将所要检测的项目文件放入指定目录,然后通过执行脚本文件来进行载入模型,从而检测。最终检测结果将写入指定目录。这些目录参数均在本项目文件的特定类中。
3.2 技术及功能
项目中应用的关键技术:
CNN神经网络结构、
ATTENTION神经网络结构、
alter3工具进行词法语法语义解析、
LSTM神经网络。
主要功能:
对所给项目文件代码进行可能存在漏洞的检测。
3.3 界面
3.4 数据分析
4、项目意义与收获
项目研究意义:这个项目的完成,以及模型评估后,CNN+ATTENTION机制的确比LSTM+RNN在“语言比对”方面要优秀。而且试验的准确度以及Bleu算法的得分曲线,我们是可以确定基于深度学习的漏洞检测是相对高效和准确的方式去检测源代码的漏洞。
项目收获:我们学会了很多实用的知识,如熟练LINUX系统使用,学会使用深度学习框架,数据搜集和分析等,同时培养了我们团队合作解决难题的能力与意识,学会与人交流合作,发挥彼此的长处。每一步的前进,让我们逐渐体会其中的辛苦和意义,学到科学与人文知识,获得属于我们大学生的成长。
