基于动态切片与预训练模型的代码漏洞检测

最新推荐文章于 2025-11-25 11:29:48 发布
原创 最新推荐文章于 2025-11-25 11:29:48 发布 · 886 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#语言模型 #安全 #深度学习

全文摘要

该论文提出了一种基于动态切片与预训练模型的代码漏洞检测方法,旨在解决传统基于深度学习的漏洞检测模型存在的问题,如准确性低、可扩展性差等。该方法通过动态切片获取包含路径特征的语句块,并利用预训练模型的语义提取能力将其表示为二维张量。然后,将代码结构和语义特征编码成灰度图像中的像素值,并借助Swin Transformer的特征提取能力,实现更准确的漏洞检测。实验结果表明,该方法能够有效降低误报率和漏报率,提高漏洞检测的准确性和可靠性。

论文实验

作者进行了三个对比实验来评估基于动态切片与预训练模型的代码漏洞检测方法的有效性:

  1. 实验一:该实验研究了基于动态切片与预训练模型的代码漏洞检测方法是否适用于多种漏洞类型。作者选取了4种漏洞类型和一个混合数据集进行实验,并选定了5个常用维度进行实验。实验结果表明,本文漏洞检测方法在代码嵌入时选取适当的高度能够提高检测的准确率,选取合适的张量高度,对不同的漏洞类型,本文检测方法都具有较好的适应性,准确率都可达94%以上。

  2. 实验二:该实验比较了Swin Transformer模型和其他3个分类模型(ResNet、MobileNet、ViT)的分类性能。实验结果表明,Swin Transformer在准确率、查准率和F1分数等指标上优于其他3个模型,其F1分数达到了93%以上,而另外3个分类模型的F1得分都不足90%,这表明Swin Transformer在各项性能指标上相对于其他模型都有显著的优势。

  3. 实验三:该实验将本文方法DyNSliceVuln与目前较为先进的漏洞检测方法进行对比(SySeVR、VulDeepEcker、VulCNN)。实验结果表明,本文方法DyNSliceVuln在F1得分和准确率上皆比VulDeepEcker、SySeVR和Vul

最低0.47元/天 解锁文章
[论文翻译]使用 BERT 检测安卓恶意软件
my991201的博客
08-19 1604
在本文中,我们提出了两项实证研究,以(1)检测安卓恶意软件和(2)将安卓恶意软件分为多个家族。我们首先(1)重现了 MalBERT 的结果,使用 BERT 模型学习 AndroZoo 数据集中 265k 个应用程序( MalBERT 的 22k 个应用程序相比)的安卓应用程序清单来检测恶意软件。MalBERT 论文的结果非常出色,但很难让人相信,因为清单只能大致代表一个应用程序,因此我们试图在本文中回答以下问题。MalBERT 的实验是否具有可重复性?权限对于恶意软件检测有多重要?
【论文笔记】Pre-training by Predicting Program Dependencies forVulnerability Analysis Tasks
u010128010的专栏
06-18 1666
通过预测程序依赖性对漏洞分析任务进行预训练 ICSE '24 浙江大学和华为合作
运行谷歌开源BERT程序时遇到的bug修改记录
敷衍zgf的博客
10-20 1006
记录在运行谷歌开源Bert程序时遇到的一些问题以及解决方案
【论文精读】BERT+漏洞可利用性
weixin_51491521的博客
05-25 590
今天我分享的论文是将迁移学习应用于网络安全:通过描述预测漏洞的可利用性abstract:如题目所示,本文所探讨针对的问题是 利用漏洞描述信息,构建 语言模型,实现 对漏洞可利用性的预测:如何理解:"漏洞描述信息:是早期阶段可访问的功能"意味着在软件漏洞被公开披露之初,其相关的描述信息是可以被获取和阅读的。这些描述信息通常由漏洞披露者或安全专家提供,包含漏洞类型、漏洞的性质、潜在影响、受影响的产品和厂商名称、受影响的版本摘要、影响、攻击者利用漏洞需要的访问权限以及涉及的重要代码组件或输入等丰富的细节。
分析代码生成人工智能引入的常见漏洞
技术超强的网络安全平台
08-28 623
在当前的 AI 代码生成器工具市场上,有许多参者,包括等。这篇博文概述了开发人员在使用此类工具时面临的常见安全陷阱的示例。这篇文章的目的是提高人们的认识,并强调。一些供应商表示他们的自动完成工具可能包含不安全代码片段。许多文章已经强调自动完成工具会产生已知漏洞,例如、SQL 注入和 XSS。这篇文章将重点介绍其他更依赖于代码上下文的漏洞类型,在这些漏洞中,AI 自动完成很有可能将错误插入您的代码中。
BVDetector: 基于程序切片的二进制代码漏洞智能检测系统
阿航的博客
09-18 2155
提出了BVDetector和二进制程序的细粒度表示,并引入深度学习技术来智能检测漏洞
AI驱动的代码审计变革:基于大语言模型漏洞模式识别架构解析
2501_91980039的博客
06-04 849
​:基于LLM的代码审计不是对传统SAST的替代,而是通过神经符号系统(Neural-Symbolic System)实现语义理解能力的维度跃迁。该架构已在Github开源项目CodeAuditX中实现核心模块。
基于图神经网络的切片漏洞检测及解释方法
renhongxia1的博客
06-19 853
源自:软件学报作者:胡雨涛 王溯远 吴月明 邹德清 李文科 金海随着软件的复杂程度越来越高, 对漏洞检测的研究需求也日益增大. 软件漏洞的迅速发现和修补, 可以将漏洞带来的损失降到最低. 基于深度学习漏洞检测方法作为目前新兴的检测手段, 可以从漏洞代码中自动学习其隐含的漏洞模式, 节省了大量人力投入. 但基于深度学习漏洞检测方法尚未完善, 其中, 函数级别的检测方法存在检测粒度较粗且检测准确率较低的问题, 切片级别的检测方法虽然能够有效减少样本噪声, 但仍存在以下两方面的问题: 一方面, 现有
论文笔记:预训练模型综述(NLP相关部分)
sfgsdfg2516的博客
08-04 1698
预训练基础模型(PFMS)是具有不同数据模式的各种下游任务的基础。PFM(例如BERT、ChatGPT和GPT-4)在大规模数据上进行训练,为广泛的下游应用提供合理的参数初始化。BERTGPT传统方法相比具有各自的特点,具体而言:BERT从Transformer中学习双向编码器表示,GPT使用Transformer作为特征提取器,并在大型数据集上训练最近,ChatGPT表现出来卓越的性能,PFM也为人工智能领域带来重大突破许多研究提出了不同的方法、数据集和评估指标,提高了对更新调查的需求。
如何进行漏洞检测的,漏洞检测模型代码生成模型的怎样的存在关系
08-26
此外,使用 SwinTransformer 等预训练模型作为特征提取器,可以更好地保留程序的语义信息,结合动态切片中的关键路径信息,实现更精准的漏洞检测。 ### 漏洞检测模型代码生成模型的关系 漏洞检测模型代码生成...
平台政策频变,跨境卖家如何筑牢安全防线?
最新发布
2501_93135886的博客
11-25 300
跨境电商正在进入精细化运营的新阶段,卖家需要在把握平台政策导向的同时,建立完善的风险防御体系,通过合规经营、供应链优化和安全管理,构建可持续的竞争壁垒,在这个快速变化的环境中,只有适应变革、主动求变的卖家,才能赢得长期发展的机会。针对这类风险,卖家需要建立更严谨的证据管理机制,从产品出厂到发货的每个环节都应保留完整的影像资料,形成可追溯的证据链,在处理客户投诉时,要求提供多角度证据或视频资料,能够有效识别AI生成的虚假内容。
人工智能时代:以备案制度筑牢安全防线
qq_58995858的博客
11-24 322
人工智能技术快速发展带来安全隐患,如自动驾驶事故、算法歧视等问题凸显。国家出台备案制度,要求AI产品提交技术资料和数据样本,增强透明度。该制度通过算法可解释性、公平性评估等机制,有效降低技术风险,提升用户信任。备案不仅是合规要求,更是构建数字时代信任基石的关键举措,将推动AI行业健康有序发展。
云原生安全
2509_93947362的博客
11-24 354
先聊聊容器安全这块硬骨头。另外,容器运行时也得盯紧,像Falco这种开源工具能实时监测异常操作,比如突然冒出的特权容器或者敏感目录访问,一有风吹草动就告警。云平台的原生安全工具也得用起来,比如AWS的Security Group和Azure的NSG,规则要最小权限原则,只开放必要端口。说实话,刚开始推行时总有人抱怨流程繁琐,等真防住几次零日漏洞攻击后,全员才意识到:云原生安全就是个持续博弈的过程,今天偷懒省一步,明天就可能全线崩盘。总之,云原生安全没有银弹,它得像编织渔网一样,把技术、流程、文化三层织密。
【2025-11-23】软件供应链安全日报:最新漏洞预警投毒预警情报汇总
jenchoi413的博客
11-24 423
2025年11月23日共发布14条漏洞预警,包括11条CVE漏洞和3条供应链投毒预警。CVE漏洞涉及Ashraf Kabir旅行社系统(5.3-5.1中危)、D-Link路由器(7.4高危)和Campcodes管理系统(6.9中危),主要风险为SQL注入和缓冲区溢出。供应链投毒预警包括PyPI的nspacercesolve组件窃取敏感信息、NPM的ddos-hunter组件勒索行为以及session-keeper等组件内嵌后门,影响多个版本。建议用户及时排查相关组件,高危漏洞需优先修复。
【2025-11-19】软件供应链安全日报:最新漏洞预警投毒预警情报汇总
jenchoi413的博客
11-21 565
2025年11月19日新增91条漏洞预警,其中商业软件漏洞63条,供应链投毒28条。重点漏洞包括:Eclipse Jersey竞争条件漏洞(9.4分高危),可能导致SSL配置失效;Fortinet系列产品多漏洞,其中FortiVoice存在SQL注入(8.8分高危),FortiWeb存在命令注入(7.2分高危);Checkmk监控平台存在权限验证不足问题(5.3分中危)。建议优先修复Eclipse Jersey和Fortinet产品的高危漏洞,其他中低危漏洞可根据实际情况选择修复。
智能治理,安全升级——ANSNP中线电流综合治理方案
安科瑞袁媛的博客
11-25 602
随着电力电子类设备在社会中的使用范围越来越大,在各种工业,商业和民用应用领域中非线性负载的大量使用以及三相不平衡等问题的存在会导致中性线电流过大,容易引起中性线绝缘层老化起火从而引发火灾,存在较大的安全隐患。据2021年1-10月份全国火灾形势报告显示,在1-10月份火灾事故中,电气火灾占据了火灾总数的50.4%, 其中电气线路是电气火灾中最主要的起火源,所占的比例高达60%以上是防范的重点,其中由于中性线导致的起火数量占有不小比例,所以治理中性线电流过大问题是非常有必要的。
文件格式转换工具:浏览器沙箱内的数据解析、结构化安全转换
2501_94011970的博客
11-21 462
通过利用 JavaScript 库在浏览器沙箱中直接解析 XLSX 等复杂的二进制格式,并进行安全的结构化编码,我们能够实现高效、高隐私性的文件转换服务。这种“计算向客户端转移”的模式,是未来所有处理敏感数据的 Web 应用的工程趋势。文件格式转换,尤其是 Excel 到 CSV 这种涉及复杂二进制结构到纯文本结构的转换,是对 Web 前端数据解析能力的一次深度考验。,其核心价值在于其对**“完全在浏览器中运行”**的安全承诺。实现 Excel 到 CSV 的前端转换,需要经历一个复杂的。
24H-无人共享KTV:如何实现安全的自助服务?
11-24 940
在传统KTV行业面临迭代升级的今天,一种名为"无人共享KTV"的新消费形态正以破竹之势席卷全国。凭借24小时营业、智能交互系统和极致私密体验,这种新模式尤其受到Z世代消费者的追捧。那么,在完全无人值守的环境下,这些KTV是如何保障用户安全并提供流畅自助服务的呢?本文将深入探讨其背后的技术原理实现方案。
腾讯云-(4)-安全组和系统防火墙
weixin_45828554的博客
11-21 721
摘要:腾讯云服务器宝塔面板端口修改后无法访问?问题在于腾讯云安全组未放行新端口。 解决方案: 登录腾讯云控制台 → 轻量应用服务器 → 防火墙 → 添加新端口规则(TCP协议) 通过SSH检查: bt status 查看服务状态 netstat -tunlp | grep python 确认监听端口 紧急恢复:通过SSH执行 bt 菜单修改端口或直接编辑配置文件 验证:等待2分钟后访问 http://IP:新端口/安全入口 关键提示: 修改端口前先加规则再改配置 需同时放行80/443等常用端口 若仍失败,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值