公开(公告)号：CN119227086A

公开(公告)日：2024-12-31

申请号：CN202411374612.7

申请日：2024-09-29

Applicant: 兰州大学

Inventor： 刘新 ,  张潆藜 ,  刘子昂 ,  李楠 ,  田永胜 ,  郑立飞 ,  闵致远 ,  周睿 ,  周庆国

IPC: G06F21/57 ,  G06F18/214 ,  G06F8/53 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明公开了一种面向长函数的软件供应链漏洞检测方法，在伪代码层面运用设计的语句级差异提取算法，剔除与漏洞无关的信息；再利用设计的图切片算法将伪代码切片映射至代码属性图，识别并定位漏洞相关语句及其变量节点，通过追踪抽象语法树中的边，溯源与漏洞强相关变量节点在语义上相邻的节点，并构建切片后的差异图。此后，将差异图输入图匹配神经网络训练，使模型能准确判定漏洞与修复后、漏洞与漏洞之间的差异子图对的相似性。最终，通过比较待检测函数与基准样本切片后图的距离，判断其是否存在漏洞，缩小了图的规模又突出了漏洞相关信息，在保证高检测准确率的同时降低了模型训练的时间和硬件成本。