-
公开(公告)号:CN114722392A
公开(公告)日:2022-07-08
申请号:CN202210414650.5
申请日:2022-04-20
申请人: 扬州大学 , 蚂蚁金服(杭州)网络技术有限公司
摘要: 本发明公开了一中反射引导的Java反序列化调用链挖掘方法,通过静态分析挖掘待检测项目中的调用关系,并依此构造反序列化感知的方法属性图,避免由于Java动态特性导致的调用链搜索时的遗漏,同时提出基于Java反射机制,生成可执行的利用对象对识别出的可疑调用链进行验证,提高测试效率与准确性,本发明同时提供对应反射引导的Java反序列化调用链挖掘系统。
-
公开(公告)号:CN114462043A
公开(公告)日:2022-05-10
申请号:CN202111629096.4
申请日:2021-12-28
申请人: 扬州大学 , 蚂蚁金服(杭州)网络技术有限公司
摘要: 本发明公开了一种基于强化学习的Java反序列化漏洞检测系统及方法,包括:漏洞数据采集;构建序列化感知的代码属性图SCPG,挖掘潜在漏洞调用链;利用强化学习对模糊测试的种子调度过程进行建模,训练模糊决策模型;对待检测的JAVA文件进行静态分析,构建序列化感知的代码属性图SCPG并识别潜在漏洞调用链,使用模糊决策模型对潜在漏洞调用链进行验证,输出存在利用风险的反序列化漏洞调用链。本发明可以一定程度上解决传统JAVA反序列化漏洞调用链挖掘方法中人工开销大、精度不高的问题;并且相较于基于变量可控性分析的JAVA反序列化漏洞调用链自动挖掘方法,本发明可以通过模糊测试对挖掘得到的潜在漏洞调用链进行验证,使得实际应用领域更广、精度更高。
-
公开(公告)号:CN113139192B
公开(公告)日:2024-04-19
申请号:CN202110382640.3
申请日:2021-04-09
申请人: 扬州大学
摘要: 本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统,方法包括以下步骤:采集项目依赖配置文件,迭代获取多层第三方库lib信息及api调用关系;根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息;根据CVE的相关属性获取含有漏洞的第三方库中受影响的api;将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱;通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱,可对第三方库调用链进行安全漏洞风险分析,使软件开发者全方位考虑到第三方库安全漏洞信息,从而减少安全漏洞对软件开发的隐患。
-
公开(公告)号:CN113360915B
公开(公告)日:2023-09-26
申请号:CN202110643307.3
申请日:2021-06-09
申请人: 扬州大学
摘要: 本发明公开了一种基于源代码图表示学习的智能合约多漏洞检测方法及系统,该方法结合智能合约的抽象语法树和语义信息,利用函数粒度代码属性图对智能合约源代码进行表征;并根据智能合约不同类型漏洞的语法特征定义切片准则,使用程序切片技术对智能合约图表示进行降噪并结合门控图神经网络进行特征提取,基于提取的特征进行漏洞预测。本发明的优势在于:结合多种图结构表征智能合约源代码,充分保留了代码的语法、语义信息和上下文结构;利用程序切片技术去除与漏洞检测无关的噪声代码,提升了检测的准确性;基于门控图神经网络自动学习多种漏洞的特征,提高了漏洞检测的适用范围和检测效率,降低了检测成本。
-
公开(公告)号:CN116561332A
公开(公告)日:2023-08-08
申请号:CN202211605951.2
申请日:2022-12-12
申请人: 扬州大学
摘要: 本发明公开了一种基于N元词组相似性的软件漏洞特征知识抽取方法及系统,首先采集漏洞数据库中的漏洞描述文本,进行数据清洗生成漏洞关键特征描述文本;再进行N元候选关键词抽取,利用词与文本的语义相似度生成漏洞特征描述候选关键词;其次进行关键词实体抽取,构建文本相似度模型,将文本中的候选关键词使用MASK操作后计算与标准漏洞描述文本的相似度,对文本按相似度进行排序,生成漏洞特征描述实体关键词;定义漏洞特征实体关系,生成表示漏洞特征关系的三元组;利用三元组构建知识图谱,利用该知识图谱对待分析漏洞文本进行分析。本发明可以更好的帮助分析漏洞特征,提高软件系统安全性。
-
公开(公告)号:CN112528290B
公开(公告)日:2023-07-18
申请号:CN202011403255.4
申请日:2020-12-04
申请人: 扬州大学
摘要: 本发明公开了一种漏洞定位方法、系统、计算机设备和存储介质,方法包括:构建漏洞数据集;构建漏洞的可疑语句空间;构建排序学习模型;利用排序学习模型获取漏洞的可疑语句排序,依据优先级顺序依次遍历可疑语句,查找漏洞所在位置。本发明充分利用引入一个新的漏洞的数据特征及克隆技术,扩大了可疑语句的搜索空间,使其不再限制于基于测试用例下的定位语句方法,增加了定位语句的可能性。同时利用排序学习的技术将可疑语句值进行排序,将有利于更快的输出错误语句的优先值顺序即可疑值顺序,从而更快速的定位到错误语句。本发明充分利用漏洞所提供的信息,提取出所需要的代码和文本进行排序学习的模型训练,很好的克服了人为规定等方式的不足。
-
公开(公告)号:CN113656805B
公开(公告)日:2023-06-20
申请号:CN202110828495.7
申请日:2021-07-22
申请人: 扬州大学
IPC分类号: G06F21/57
摘要: 本发明提出了一种面向多源漏洞信息的事件图谱自动构建方法及系统,从文本和代码信息两个角度将CVE、NVD等网站中的漏洞相关信息进行整合。首先从漏洞数据库中爬取漏洞报告,将漏洞的发生原因视为事件触发词进行识别,并通过其判断漏洞类型。其次通过命名实体识别的方式对描述中的攻击者、后果、位置等信息进行识别,并进行信息补全。再利用文本信息抽取显式的事件关系,并利用文本相似性抽取隐式的事件关系,并进行漏洞相关代码的表征。最终借助可视化工具将所得的漏洞事件信息可视化为事件图谱,从而为开发人员提供更直观准确的漏洞事件及其相关因素,减少开发人员手动分析和理解漏洞数据的人力和时间成本,提高软件维护的有效性和高效性。
-
公开(公告)号:CN113742733B
公开(公告)日:2023-05-26
申请号:CN202110909147.2
申请日:2021-08-09
申请人: 扬州大学
IPC分类号: G06F21/57 , G06F18/214 , G06N3/0464
摘要: 本发明公开了一种阅读理解漏洞事件触发词抽取和漏洞类型识别方法及装置,所述方法包括:漏洞数据采集;漏洞描述语句表示学习;利用图卷积网络GCN构造漏洞描述文本的句法依存关系,提取漏洞特征;基于BERT微调模型中的问答任务,实现漏洞事件触发词识别及分类。本发明可以更好地利用漏洞描述中的语法和语义信息,充分挖掘漏洞描述中的上下文信息,达到对漏洞事件触发词的识别和分类,可以一定程度上解决漏洞分类不准确的问题,相较于目前流行的事件触发词抽取方法,能够捕获不同事件间的依存关系,并且与已有漏洞分类方法相比,可以输出漏洞事件的触发词,辅助开发人员分析漏洞。
-
公开(公告)号:CN115562673A
公开(公告)日:2023-01-03
申请号:CN202211190008.X
申请日:2022-09-28
申请人: 扬州大学
IPC分类号: G06F8/41 , G06F16/36 , G06F16/901 , G06F40/295
摘要: 本发明公开了一种基于代码知识图谱的缺陷搜索方法及系统,从文本和代码角度将Mozilla@Bugzilla,Eclipse@Bugzilla,Github以及Stack overflow网站的缺陷修复前后的代码进行整合,爬取不同的主题,并构建主题集,同事提取帖子中缺陷代码和正确代码,建立以缺陷代码、正确代码、缺陷报告中的标题信息、帖子标题信息和问题描述信息、主题为实体的代码知识图谱,借助可视化工具将代码知识图谱可视化。从多平台的爬取,使得缺陷代码知识图谱的覆盖内容更多,范围更广,同时,通过融合代码文本及代码信息,普及了代码知识,使得开发人员能够直观的对缺陷代码拥有一定了解,开发人员检索时能够快速查询到修复后的代码信息。
-
公开(公告)号:CN113360915A
公开(公告)日:2021-09-07
申请号:CN202110643307.3
申请日:2021-06-09
申请人: 扬州大学
摘要: 本发明公开了一种基于源代码图表示学习的智能合约多漏洞检测方法及系统,该方法结合智能合约的抽象语法树和语义信息,利用函数粒度代码属性图对智能合约源代码进行表征;并根据智能合约不同类型漏洞的语法特征定义切片准则,使用程序切片技术对智能合约图表示进行降噪并结合门控图神经网络进行特征提取,基于提取的特征进行漏洞预测。本发明的优势在于:结合多种图结构表征智能合约源代码,充分保留了代码的语法、语义信息和上下文结构;利用程序切片技术去除与漏洞检测无关的噪声代码,提升了检测的准确性;基于门控图神经网络自动学习多种漏洞的特征,提高了漏洞检测的适用范围和检测效率,降低了检测成本。
-
-
-
-
-
-
-
-
-
搜索结果
61 条记录 (耗时 0.068 秒)
