【技术实现步骤摘要】
一种基于人机协同的代码漏洞智能检测方法
[0001]本专利技术属于软件工程领域,尤其是安全领域在软件工程领域的应用,用于误报代码漏洞识别和代码漏洞定位。
技术介绍
[0002]随着安全检测技术的迅速发展,代码漏洞静态检测技术也取得了巨大的进展。由于代码漏洞静态检测方法难以在有限时间内判定抽象路径的可达性,使得现有的代码漏洞检测方法存在很高的误报率。误报的漏洞会降低开发人员审核代码漏洞或修复代码漏洞的效率,进而增加代码漏洞检测的人力和物力成本,因此,如何有效地减少代码漏洞的误报成为了代码漏洞安全检测领域的关注点。
[0003]现有的代码漏洞检测方法大都是基于静态分析的,这些方法的原理也各不相同。根据代码漏洞检测模型中使用的特征,这些检测模型大致可分为四类。第一类方法是基于文本的检测模型,其主要原理是将有漏洞的代码看作文本,并利用词嵌入等自然语言处理技术对其进行特征向量表示,再结合机器学习模型对误报和正报的代码漏洞进行识别。第二类方法是基于语法特征的检测模型,此模型主要通过提取正报和误报代码漏洞中的抽象语法树等信息来达到...
【技术保护点】
【技术特征摘要】
1.一种基于人机协同的代码漏洞智能检测方法,其特征是:在已有的代码漏洞检测工具的基础上构建代码漏洞误报检测模型,然后再利用采样策略和程序切片将此模型的检测结果分配给众包安全专家审核,最后结合此模型的检测结果和众包安全专家的评审结果,基于人机协同的思想将这两部分内容有机结合起来,形成有效的持续反馈,改进现有的代码误报检测模型,不断地提高代码漏洞智能检测的准确性和可靠性。2.根据权利要求1所描述的一种人机协同的代码漏洞智能检测方法,其特征是:(1)基于机器学习的代码漏洞误报检测模型;(2)基于程序切片的代码漏洞评审任务生成;(3)基于持续反馈的人机协同代码漏洞智能检测。3.根据权利要求1、2所描述的一种人机协同的代码漏洞智能检测方法,其特征是实现对误报的代码漏洞进行检测,主要通过以下几个步骤进行划分:1...
【专利技术属性】
技术研发人员:房春荣,葛修婷,刘子夕,葛宇,李林昱,
申请(专利权)人:南京大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。