DeepWUkong

最新推荐文章于 2025-02-07 13:52:09 发布
原创 最新推荐文章于 2025-02-07 13:52:09 发布 · 1.4k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#神经网络

       最近在研究图算法在漏洞检测中的应用,于是看到了这篇文章,就顺手总结了一下!

DeepWukong: Statically Detecting Software Vulnerabilities using Deep Graph Neural Network

        这篇论文介绍了一种新的静态检测软件漏洞的方法——DeepWukong。传统的静态分析方法只能检测一些已知的内存错误,而现代软件系统中存在各种复杂的漏洞。因此,开发精确且高效的静态分析解决方案是非常困难和费力的。DeepWukong利用先进的图神经网络技术将代码片段嵌入到紧凑、低维的表示中,并产生一种新的代码表示方式,保留了高级编程逻辑(如控制流和数据流)以及程序的自然语言信息。作者在实验中使用了105,428个真实世界的程序,与四种传统静态漏洞探测器和三种最先进的基于深度学习的方法进行了比较。结果表明,DeepWukong比其他方法更有效,为结合程序分析和深度学习技术解决静态代码分析挑战提供了有希望的方向。

  •   方法概述:该论文提出了一种基于程序依赖关系图和代码符号化嵌入的漏洞预测方法。首先通过程序依赖关系图(Program Dependence Graph)获取控制和数据依赖信息,并利用割集算法提取子程序;然后将每个节点视为一个程序点,使用系统API调用、算术运算等作为程序点的候选集合;接着通过深度学习模型对这些候选集合进行分类,以识别潜在的漏洞。 具体来说,该方法分为三个步骤:程序片断选取、代码符号化与嵌入以及漏洞预测。在第一步中,通过对程序依赖关系图进行割集算法处理,得到程序中的所有可能子程序,然后将每个子程序看作一个节点,并将其加入到程序片断选取阶段的候选集合中。在第二步中,对于每个节点,先对其进行符号化,即将其变量名和函数名替换为统一的标识符,再通过Doc2Vec模型将其转换为向量表示。最后,在第三步中,将每个节点的向量表示输入到深度学习模型中,用于漏洞预测。
最低0.47元/天 解锁文章
2024年7月4日Arxiv人工智能相关论文
数智笔记
07-04 1215
将人工智能(AI)集成到自动化系统中有潜力提高效率并解决目前尚未解决的技术挑战。然而,AI的行业范围应用受到标准化文档的缺乏阻碍,这些文档涉及自动化系统、AI软件、生产硬件及它们之间的相互依赖关系的复杂组成。本文提出了使用标准和本体论的形式模型,以清晰和结构化的方式记录自动化系统中AI应用。提出的人工智能在自动化系统中的信息模型(AIAS)利用本体设计模式来映射和链接自动化系统和AI软件的各个方面。通过实际示例验证,该模型展示了其改进文档实践并帮助在工业环境中可持续实施AI的有效性。
动手复现DeepWalk代码并实现可视化分析
D_Ddd0701的博客
06-11 1302
【代码】动手复现DeepWalk代码并实现可视化分析。
DeepWukong: 使用深度图神经网络进行静态检测C/C++程序漏洞的研究与应用
10-17
内容概要:本文提出了一个新的基于深度图神经网络的方法——DeepWukong,旨在通过嵌入代码片段来静态检测C/C++程序中的复杂安全漏洞。方法不仅保持了高阶编程逻辑,还保留了程序中的自然语言信息。研究评估了十年间最常见的前十种C/C++漏洞,并将其实验结果与其他四种传统静态检测工具及三种先进深度学习方法进行了对比。实验数据来源于大量真实世界程序,展示了其在漏洞识别方面的有效性。 适合人群:对于C/C++软件开发者以及安全研究人员而言尤其有价值。 使用场景及目标:适用于寻找和防止复杂的安全威胁,在软件开发生命周期早期就介入到漏洞管理环节,减少因不恰当编程实践造成的安全隐患。 其他说明:除了技术层面的内容,作者团队还特别强调了该方法对未来静态代码分析挑战解决路径的意义,指出了将程序分析同深度学习技术相结合的可能性和前景。
软件工程顶会——ICSE '24 论文清单、摘要
漏洞战争
03-03 5843
1、A Comprehensive Study of Learning-based Android Malware Detectors under Challenging Environments近年来,学习型Android恶意软件检测器不断增多。这些检测器可以分为三种类型:基于字符串、基于图像和基于图形。它们大多在理想情况下取得了良好的检测性能。然而,在现实中,检测器常常面临不在分布范围之内的样...
软件测试学术顶会——ISSTA 2023 论文(网络安全方向)清单、摘要与总结
漏洞战争
08-16 5905
总结本次会议涵盖的安全研究主题广泛,包括源代码分析、二进制代码分析、恶意软件检测、漏洞检测、模糊测试、程序验证等。一些热门的研究方向包括:基于机器学习的漏洞检测、大型语言模型在软件安全中的应用、区块链智能合约安全分析。这些方向都在最近几年持续发展。一些较冷门的研究方向包括:嵌入式固件安全、自动驾驶系统安全测试、多媒体内容审核软件验证。这些方向研究的系统及应用场景较为专业。一些值得深入研究的方向包括...
VulDetector:一种基于图比较的CC分析漏洞检测静态分析工具
05-20
VulDetector 描述 VulDetector是一种静态分析工具,用于基于函数粒度的图比较来检测C / C ++漏洞。 VulDetector的关键是加权特征图(WFG)模型,该模型使用小的但语义丰富的图来表征功能。 它首先精确定位对漏洞敏感的关键字,以对函数的控制流图进行切片,从而在不影响安全性相关语义的情况下减小图的大小。 然后,使用WFG对每个切片的子图进行特征化,它以不同的安全级别提供语法和语义特征。 在这里,我们提供了有关WFG生成和比较的关键模块。 请参阅我们的以获取更多详细信息。 关键模块 DataPrepare:从程序中提取功能代码和CFG。 SenLocate:找到敏感线。 WFGParse:从CFG生成WFG。 SimCompare:计算两个WFG的相似性 环境 在Linux-3.10.0(Red hat 7.3)和Linux-4.15.0(Ubuntu
deepin20beta安装wukong-robot
houyawei的博客
04-27 983
记录一下自己安装wukong-robot遇到的坑官网链接:https://wukong.hahack.com/ wukong-robot 是一个简单、灵活、优雅的中文语音对话机器人/智能音箱项目,目的是让中国的 Maker 和 Hacker 们也能快速打造个性化的智能音箱。 官网安装教程:https://wukong.hahack.com/#/install?id=%e6%96%b9%e...
Deepwukong项目joern安装使用教程
wangyifan4576的博客
09-03 888
在将joern的源码下载后,复制到wukong项目的根目录下。该项目使用老版本的joern,用来解析c和c++语言,构建程序的程序依赖图PDG。该工具生成的是nodes.csv和edges.csv 文件。至此,如果一切顺利的话,那么你将成功解析项目中data下面的c和cpp文件。edges.csv是这样的:主要包含边的类型以及起始和结束位置。joern 是直接在 README.md 中给出的地址下载的源码。其中nodes.csv是这样的:主要包含节点的一些属性。
deepwukong复现
最新发布
03-19
### 关于 DeepWukong 的复现教程及常见报错解决方案 #### 一、DeepWukong 简介 DeepWukong 是一种利用深度图神经网络 (Deep Graph Neural Network, DGNN) 进行静态检测软件漏洞的方法[^1]。它通过构建程序依赖图并...
Deep learning--论文阅读笔记
weixin_44096459的博客
02-12 579
摘要 深度学习:多个处理层组成的计算模型学习具有多层抽象级别的数据表示。 深度学习在语音识别、视觉对象识别、对象检测等领域已经发挥了重要作用。 通过反向传播算法指导深度学习模型内部的参数调优。 卷积神经网络在图像处理上取得突破,递归神经网络则更适合处理文本、语音之类的顺序数据。 正文 传统的机器学习受限于处理自然的原始数据的能力。需要专家精心设计特征提取器对数据进行处理。 深度学习的一层层处理越来...
基于深度学习的源代码缺陷检测研究综述
小白学视觉
11-13 2557
点击上方“小白学视觉”,选择加"星标"或“置顶” 重磅干货,第一时间送达源自:软件学报 作者:邓枭 叶蔚 谢睿 张世琨摘要源代码缺陷检测是判别程序代码中是否存在非预期行为的过程, 广泛应用于软件测试、软件维护等软件工程任务, 对软件的功能保障与应用安全方面具有至关重要的作用. 传统的缺陷检测研究以程序分析为基础, 通常需要很强的领域知识与复杂的计算规则, 面临状态爆炸问题, 导致检测性...
DeepLung代码复现(一)-------------数据预处理
CHENxiaoni_的博客
11-25 1794
DeepLung项目中对LUNA16的图像预处理
论文中文翻译——VulCNN An Image-inspired Scalable Vulnerability Detection System
IronmanJay
05-18 1593
此博客为VulCNN An Image-inspired Scalable Vulnerability Detection System论文的中文翻译,本篇论文将漏洞检测与图分类联系到一起,并结合神经网络进行漏洞检测,思路比较新奇,效果看来也还不错,是一篇值得一读的论文!由于深度学习(DL)可以自动从源代码中学习特征,因此它已被广泛用于检测源代码漏洞。为了实现可扩展的漏洞扫描,一些先前的研究打算将源代码直接处理为文本。为了实现准确的漏洞检测,其他方法考虑将程序语义提取为图表示,并使用它们来检测漏洞。
静态代码检测工具Wukong对log4J中的漏洞检测、分析及漏洞修复
Karka_的博客
12-30 1436
最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被Apache定义为高危级别。Log4j在log字符串”jndi:xxx”时,“{jndi:xxx}”时,“jndi:xxx”时,“{“这一特殊字符会指定Log4J通过JNDI来根据字符串”xxx”获得对应名称。
探索 Wukong:一款强大的自动化数据处理工具
gitblog_00008的博客
03-07 709
探索 Wukong:一款强大的自动化数据处理工具 Wukong 是一个开源的自动化数据处理工具,由 InfoChimps Labs 开发。它提供了一种简单易用的方式来处理大规模数据集,让非技术人员也能快速上手。 一、项目简介 Wukong 是基于 Python 的数据处理框架,主要目标是简化大数据处理过程中的繁琐任务。它支持多种数据源(如 HDFS、Cassandra、MongoDB 等),可以轻...
静态代码安全测试工具WuKong有哪些功能
OKCRoss的博客
02-07 382
在安全漏洞及缺陷等问题上,不但可以检测缓冲区溢出、及内存泄漏等错误在内的运行时缺陷,也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞,支持跨文件跨函数的线程间共享变量数据竞争问题的检测。当前,软件供应链安全问题突出,在开发流程中集成静态代码测试工具不但可以降低软件中的安全隐患,还能提高代码规范性和安全性,便于后期维护。规范性检查: 静态代码检测工具能够根据事先设定的编码规范或最佳实践,检查代码是否符合规范,有助于保持团队的统一代码风格,提高代码的可读性和可维护性。等,提高整体代码质量。
网络安全通识全解|第4期 SAST静态代码检测工具发展研究及工具探析
Tianqi_Wukong的博客
09-29 531
01 软件代码安全发展历程 2005年 •美国信息技术咨询委员会关于信息安全的年度报告提出政府和军队的软件产品需要代码安全检测。 2006年 •CWE(Common Weakness Enumeration)成立。 2008年 •美国加州大选软件由于未通过代码安全审查而被取消。 •美国食品药品管理局器械和辐射健康中心开始使用代码检测工具对发生问题和事故的医疗设备进行检测。 2012年 •Gartner提出DevSecOps(安全开发周期)概念。 2017年 •GB/T 34943和34944 C/C++/J
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值