公开(公告)号：CN117150495A

公开(公告)日：2023-12-01

申请号：CN202310585322.6

申请日：2023-05-22

申请人： 东南大学 ,  国网浙江省电力有限公司电力科学研究院 ,  国网浙江省电力有限公司

发明人： 秦中元 ,  薛锦涛 ,  余仔涵 ,  孙歆 ,  王文 ,  汪自翔 ,  王译锋 ,  孙昌华

IPC分类号： G06F21/57 ,  G06N3/0455 ,  G06N3/0499 ,  G06N3/08

摘要： 本发明公开一种基于SAT的函数级源代码漏洞检测方法，包括：源代码预处理；PDG图生成；包含中心性信息的PDG向量图构建；使用GNN结构提取节点k跳范围结构信息；基于Transformer的源代码漏洞检测模型构建与训练；进行漏洞检测。本发明在代码的图结构表示中加入了节点的中心性信息，在神经网络中使用k_subtree提取代码的结构信息，使用RWPE保留代码行的顺序信息，使用结构感知Transformer预测源代码中是否包含漏洞，能够在函数级漏洞检测中获得相比传统漏洞检测方法和现有的基于神经网络的漏洞检测方法更好的误报率和漏报率。

公开(公告)号：CN115455423A

公开(公告)日：2022-12-09

申请号：CN202211005472.7

申请日：2022-08-22

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 汪自翔 ,  刘煦健 ,  王文 ,  秦中元 ,  孙歆 ,  李泽儒 ,  范家荣 ,  韩嘉佳 ,  孙昌华 ,  戴桦

IPC分类号： G06F21/57 ,  G06N3/04 ,  G06N3/08

摘要： 本发明公开了一种模糊测试用例生成方法，涉及深度生成网络技术领域，用于解决现有不能控制输入向量特征，无法生成特定测试用例的问题，该方法包括以下步骤：根据原始测试用例，得到训练数据集；构建差分自编码器的生成对抗网络模型；将所述训练数据集输入所述生成对抗网络模型进行训练，得到训练好的生成对抗网络模型；将所述训练数据集输入训练好的所述生成对抗网络模型生成测试用例。本发明通过构建差分自编码器生成对抗网络模型，进而使生成对抗网络更易收敛、所生成的测试用例更多样化，能够提高模糊测试的代码覆盖率和异常发现数。

公开(公告)号：CN115238276A

公开(公告)日：2022-10-25

申请号：CN202210821072.7

申请日：2022-07-13

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 秦中元 ,  余仔涵 ,  薛锦涛 ,  王文 ,  孙歆 ,  汪自翔 ,  孙昌华

IPC分类号： G06F21/57 ,  G06K9/62 ,  G06Q50/06

摘要： 本发明公开了一种溢出型漏洞检测方法，涉及软件脆弱性检测技术领域，用于解决现有检测效果较差的问题，该方法包括以下步骤：生成基于图节点表示结构的CFG图表；将已赋权重的漏洞关键词与CFG图表中包含源代码关键词的节点相匹配，并对节点进行加权处理；计算每个加权处理后包含漏洞关键词节点的K跳范围权重和；筛选出权重和最大的N个深度为K的子图；比较子图与各类型溢出型漏洞源代码形成的图表示结构的相似度，子图中节点存在的漏洞类型为：相似度大于阈值threshold的图表示结构所对应的漏洞类型。本发明还公开了一种溢出型漏洞检测装置、电子设备和计算机存储介质。本发明通过对图结构进行比较，进而准确判断代码中的漏洞。

公开(公告)号：CN117171010A

公开(公告)日：2023-12-05

申请号：CN202310955244.4

申请日：2023-07-31

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 王文 ,  李泽儒 ,  李沁园 ,  刘煦健 ,  孙歆 ,  汪自翔 ,  秦中元 ,  王译锋 ,  侯虎成

IPC分类号： G06F11/36 ,  G06F18/214 ,  G06F18/23

摘要： 本发明公开了一种模糊测试用例生成方法，涉及深度学习技术领域，用于解决现有训练样本数量少，长短不一，存在着较多低质量、内容重复的问题，该方法包括以下步骤：通过模糊测试工具实时生成初始模糊测试用例；通过聚类对所述测试用例进行数据筛选；将筛选后的所述测试用例读取为二进制流，并进行归一化处理得到测试用例向量；对所述测试用例向量进行线性插值处理，得到合成向量；将所述测试用例向量及所述合成向量输入生成对抗网络进行模型训练并生成多样化模糊测试用例。本发明还公开了一种模糊测试用例生成装置、电子设备和计算机存储介质。本发明通过对对测试用例向量化，并进行线性插值处理，进而提高了训练样本的质量和数量。

公开(公告)号：CN115130110B

公开(公告)日：2024-03-19

申请号：CN202210797374.5

申请日：2022-07-08

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 孙歆 ,  周稳 ,  汪自翔 ,  王文 ,  曾国强 ,  秦中元 ,  戴桦 ,  李沁园 ,  王译锋

IPC分类号： G06F21/57 ,  G06F18/214 ,  G06F18/2411 ,  G06F18/243 ,  G06F40/289

摘要： 本发明公开了一种基于并行集成学习的漏洞挖掘方法，涉及计算机网络安全技术领域，用于解决现有高漏报率和误报率较高的问题，该方法包括以下步骤：接收混合均匀的漏洞代码训练集；对所述训练集进行随机采样；对每个随机采样的样本进行分词，并对分词后的句子进行向量化，得到特征向量；将所述特征向量输入至增量式并行集成学习的多个基模型中进行训练；对各个基模型输出的分类结果进行投票，得到漏洞分类结果。本发明还公开了一种基于并行集成学习的漏洞挖掘装置、电子设备和计算机存储介质。本发明通过对提取的特征向量进行并行集成学习分类，进而获取准确的漏洞分类结果，避免了样本分布不均和重复挖掘的问题，且准确率高。

公开(公告)号：CN117194219A

公开(公告)日：2023-12-08

申请号：CN202310953300.0

申请日：2023-07-31

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 汪自翔 ,  范家荣 ,  孙歆 ,  李沁园 ,  刘煦健 ,  王文 ,  秦中元 ,  侯虎成

IPC分类号： G06F11/36 ,  G06N3/047 ,  G06N3/08 ,  G06N3/006

摘要： 本发明公开了一种模糊测试用例生成与选择方法，涉及模糊测试技术领域，用于解决生成的测试用例单一的问题，该方法包括以下步骤：接收测试用例集，并获取测试用例集的测试用例分支信息；将分支信息转换为分支向量；对所述测试用例集进行预处理，将所述测试用例集转换为测试用例向量；将分支向量及测试用例向量输入预设网络模型进行训练，利用训练好的模型根据分支信息生成对应的测试用例；通过蚁群算法对生成的测试用例进行筛选；将筛选保留的测试用例输入模糊测试工具进行模糊测试。本发明还公开了一种模糊测试用例生成与选择装置、电子设备和计算机存储介质。本发明通过对测试用例分支信息进行分析学习，进而获取丰富多样的测试用例。

公开(公告)号：CN117633804A

公开(公告)日：2024-03-01

申请号：CN202311292381.0

申请日：2023-10-08

申请人： 东南大学 ,  国网浙江省电力有限公司电力科学研究院

发明人： 左雪颖 ,  林建东 ,  汤苛艺 ,  汤子锋 ,  宋宇波 ,  秦中元 ,  孙歆 ,  王文 ,  汪自翔

IPC分类号： G06F21/57 ,  G06F11/36 ,  G06N3/006

摘要： 本发明提供了基于污点动态能量调控分析的电力物联终端漏洞挖掘方法，包括：构建函数调用图和控制流图，精准计算函数距离，插桩基本块距离，提高目标程序执行效率；对输入数据进行污点标记，分类为导向目标相关、覆盖率相关和无用数据；执行、跟踪、反馈输入数据，并记录触发的异常情况；利用模糊测试输入反馈和基本块权值，生成多样性测试用例，优化漏洞测试过程。本发明提高了模糊测试的准确性、智能性和效率，从而更有效地发现目标代码中的潜在漏洞和问题。

公开(公告)号：CN115130110A

公开(公告)日：2022-09-30

申请号：CN202210797374.5

申请日：2022-07-08

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 孙歆 ,  周稳 ,  汪自翔 ,  王文 ,  曾国强 ,  秦中元 ,  戴桦 ,  李沁园 ,  王译锋

IPC分类号： G06F21/57 ,  G06K9/62 ,  G06F40/289

摘要： 本发明公开了一种基于并行集成学习的漏洞挖掘方法，涉及计算机网络安全技术领域，用于解决现有高漏报率和误报率较高的问题，该方法包括以下步骤：接收混合均匀的漏洞代码训练集；对所述训练集进行随机采样；对每个随机采样的样本进行分词，并对分词后的句子进行向量化，得到特征向量；将所述特征向量输入至增量式并行集成学习的多个基模型中进行训练；对各个基模型输出的分类结果进行投票，得到漏洞分类结果。本发明还公开了一种基于并行集成学习的漏洞挖掘装置、电子设备和计算机存储介质。本发明通过对提取的特征向量进行并行集成学习分类，进而获取准确的漏洞分类结果，避免了样本分布不均和重复挖掘的问题，且准确率高。

公开(公告)号：CN115455423B

公开(公告)日：2023-07-07

申请号：CN202211005472.7

申请日：2022-08-22

申请人： 国网浙江省电力有限公司电力科学研究院 ,  东南大学

发明人： 汪自翔 ,  刘煦健 ,  王文 ,  秦中元 ,  孙歆 ,  李泽儒 ,  范家荣 ,  韩嘉佳 ,  孙昌华 ,  戴桦

IPC分类号： G06F21/57 ,  G06N3/0455 ,  G06N3/047 ,  G06N3/0475 ,  G06N3/048 ,  G06N3/094

摘要： 本发明公开了一种模糊测试用例生成方法，涉及深度生成网络技术领域，用于解决现有不能控制输入向量特征，无法生成特定测试用例的问题，该方法包括以下步骤：根据原始测试用例，得到训练数据集；构建差分自编码器的生成对抗网络模型；将所述训练数据集输入所述生成对抗网络模型进行训练，得到训练好的生成对抗网络模型；将所述训练数据集输入训练好的所述生成对抗网络模型生成测试用例。本发明通过构建差分自编码器生成对抗网络模型，进而使生成对抗网络更易收敛、所生成的测试用例更多样化，能够提高模糊测试的代码覆盖率和异常发现数。

公开(公告)号：CN115510455A

公开(公告)日：2022-12-23

申请号：CN202211251160.4

申请日：2022-10-13

申请人： 东南大学 ,  国网浙江省电力有限公司电力科学研究院

发明人： 秦中元 ,  周稳 ,  曾国强 ,  张群芳 ,  陈玉清 ,  孙歆 ,  舒鹏 ,  韩嘉佳 ,  汪自翔

IPC分类号： G06F21/57 ,  G06K9/62 ,  G06N5/00 ,  G06N20/00

摘要： 本发明公开了一种基于串行集成学习的定向漏洞挖掘方法及系统，对代码训练集进行标签化后形成带有标签的训练集，抽取其中漏洞代码训练集做数据预处理，对预处理后的漏洞代码做敏感函数定位，得到包含敏感函数的语句；利用程序控制流图CFG获取与该语句相关的程序切片，基于漏洞训练集代码的数量，利用无敏感语句的代码训练集与其混合形成均匀的训练集模块；将赋予初始权重的训练集样本送入到CART决策树的弱分类器中进行训练，通过计算得到分类误差率和迭代次数是否满足要求来调整权重系数并重新学习，按照加权集成的方式形成最终强分类器，实现测试样本分类，完成漏洞挖掘。本方法考虑了代码的上下文依赖关系,降低了传统漏洞挖掘的误报率和漏报率。