【技术实现步骤摘要】
本公开涉及计算机领域,更具体地讲,涉及一种基于大模型感知动态程序状态的自动漏洞修复方法。
技术介绍
1、软件漏洞是一种普遍存在的程序缺陷,攻击者可以利用漏洞对程序进行未授权的访问或触发预期外的程序行为,从而导致经济损失、重要信息泄露等后果。根据cvedetails的统计数据,近年来漏洞数量持续攀升,2024年新增漏洞达40,296个,预计2025年这一数字还将进一步增长。这一趋势表明,软件漏洞已成为安全威胁的重要来源。然而,人工修复漏洞是一项具有挑战性的任务,需要时间与专业知识。edgescan报告统计显示,严重等级漏洞的平均修复周期长达65天,在此期间程序始终暴露于潜在攻击风险之下。因此,亟需自动化漏洞修复技术来增强软件安全性。
2、以往由于漏洞类型多样、触发条件复杂、验证困难及代码生成能力有限,自动化漏洞修复曾是极具挑战的课题。近年来,随着基于transformer的预训练模型在代码理解与生成领域展现出优异性能,研究者们相继提出了vrepair、vulrepair等基于人工智能的自动化漏洞修复方法。这些方法利用漏洞数据集...
【技术保护点】
1.一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,
2.如权利要求1所述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述通过运行验证漏洞的存在的具体方法为:构造一个能够触发目标漏洞的输入,并将其提交给待分析的程序;通过监控程序的运行时行为,观察程序的异常反应。
3.如权利要求2所述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述获取崩溃处的期望状态使用所述步骤一中的无崩溃约束表示崩溃处的期望状态。
4.如权利要求3述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于...
【技术特征摘要】
1.一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,
2.如权利要求1所述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述通过运行验证漏洞的存在的具体方法为:构造一个能够触发目标漏洞的输入,并将其提交给待分析的程序;通过监控程序的运行时行为,观察程序的异常反应。
3.如权利要求2所述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述获取崩溃处的期望状态使用所述步骤一中的无崩溃约束表示崩溃处的期望状态。
4.如权利要求3述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述获取潜在修复位置的期望状态基于一种基于提示工程的轻量级引导方法实现,利用llm的逻辑推理能力替代部分符号执行计算,对于给定的一个断点行,首先给llm提供代码行到崩溃处的源代码,然后使用提示语“think of the constraint and expectedstate of the program here based on the crash-free constraint.compare it withthe real state of the program to deepen the understanding of the bug”引导llm推理断点处的期望状态,llm以特定格式输出断点处的约束,并在调试过程中与真实状态进行比较。
5.如权利要求4所述的一种基于大模型感知动态程序状态的自动漏洞修复方法,其特征在于,所述接口集包括:获取静态信息的静态信息接口,使llm能够深入理解代码结构,辅助其进行逻辑推理和断点决策;获取动态信息的动态接口...
【专利技术属性】
技术研发人员:高祥,孙海龙,马云龙,柳政尧,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。