公开(公告)号：CN118797654A

公开(公告)日：2024-10-18

申请号：CN202410812519.3

申请日：2024-06-21

Applicant: 南京匡吉信息科技有限公司 ,  南京大学

Inventor： 周鑫 ,  谭睿 ,  毛润丰 ,  张贺 ,  杨焱景

IPC: G06F21/57 ,  G06F18/21

Abstract: 本发明公开了一种基于深度学习的细粒度漏洞预测及评估系统FineVulner，帮助企业减少漏洞识别的时间成本和人力成本。该工具通过基于语言模型和图神经网络模型的两种方法，分别从代码语义和语法两个方面完成漏洞预测。然后通过图神经网络解释器模型和注意力机制，进一步提供行级漏洞定位。通过基于多任务的漏洞评估模型进行特征共享，FineVulner能够以CVSS指标为准对行级漏洞代码进行漏洞评估。FineVulner包含任务管理、代码预处理、细粒度漏洞预测、漏洞评估和漏洞报告五个模块。FineVulner的漏洞预测结果能够进一步输入给大语言模型以生成详细的安全检视意见。FineVulner降低了漏洞误报，提供了准确的漏洞评估信息，在一定程度上能帮助安全分析人员高效地发现漏洞并及时地确定修复优先级。

公开(公告)号：CN115525899A

公开(公告)日：2022-12-27

申请号：CN202210743364.3

申请日：2022-06-28

Applicant: 南京大学

Inventor： 张贺 ,  毛润丰 ,  王佳辉 ,  荣国平 ,  周鑫 ,  邵栋

IPC: G06F21/57 ,  G06F21/56 ,  G06F8/41 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种面向持续集成平台的漏洞误报消除方法，通过深度学习神经网络捕捉程序静态分析生成的漏洞警告代码特征，对警告进行排序和分类，从而消除警告中的误报，并利用项目持续集成过程中不断生成的增量警告数据更新优化模型。步骤包括：获取持续集成平台上Java项目的历史警告数据和对应警告标记数据；对警告对应程序进行程序切片、令牌化、向量化；训练深度学习神经网络得到漏洞误报消除模型；将模型加入到项目的持续集成流程中使模型随着项目迭代持续更新优化。本发明减少了项目持续集成流程中开发人员检查程序静态分析漏洞警告的时间成本，提高了处理警告的效率。

公开(公告)号：CN115168865A

公开(公告)日：2022-10-11

申请号：CN202210745440.4

申请日：2022-06-28

Applicant: 南京大学

Inventor： 张贺 ,  毛润丰 ,  殷慧琳 ,  荣国平 ,  周鑫 ,  邵栋

IPC: G06F21/57 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供一种基于领域自适应的跨项目漏洞检测模型，通过深度神经网络学习项目代码特征，并采用领域自适应方法减小源项目和目标项目的数据分布差异，步骤包括：根据软件代码度量相似度分析选择源项目；解析项目源代码获取抽象语法树，并进行代码预处理；构建深度学习模型进行模型预训练；基于多域数据集学习源项目和目标项目的深度特征表示；使用半监督度量迁移学习框架(Semi‑Supervised Metric Transfer Learning,SSMTL)对源项目和目标项目的深度特征进行领域自适应处理；基于标记数据训练分类器，并对目标项目中的数据进行漏洞预测。该方案可适用于源项目中拥有充足的标记漏洞数据，通过利用漏洞检测模型提高目标项目的漏洞检测效率，降低人工成本。

公开(公告)号：CN118607646A

公开(公告)日：2024-09-06

申请号：CN202410605182.9

申请日：2024-05-16

Applicant: 南京匡吉信息科技有限公司 ,  南京大学

Inventor： 周鑫 ,  杨焱景 ,  毛润丰 ,  张贺 ,  徐近伟 ,  张宇

IPC: G06N5/045 ,  G06F21/57 ,  G06F18/2415 ,  G06F18/214 ,  G06F18/20 ,  G06N5/04 ,  G06N3/045

Abstract: 本发明公开了一种用于软件漏洞检测的深度学习增强大语言模型提示方法，包括步骤：S1.上下文学习代码候选集合：运用局部敏感哈希算法于训练集中，筛选出N个与目标最相似的代码段落选；S2.集成模型：集成多个维度的小参数规模模型，包括BERT类小参数模型，基于代码图特征识别的小参数模型以及基于字符关系识别的小参数模型，通过比较评估选择模型；S3.漏洞预测：基于训练集，利用小参数模型训练网络，对漏洞进行概率预测；S4.组合问答对：将候选代码与模型预测漏洞概率结合，将候选代码与小参数模型产生的漏洞预测值整合，构建问答对，以便进一步分析。

公开(公告)号：CN113312617B

公开(公告)日：2023-11-03

申请号：CN202110564803.X

申请日：2021-05-24

Applicant: 南京大学

Inventor： 戴启铭 ,  张贺 ,  毛润丰 ,  刘博涵 ,  周鑫 ,  荣国平 ,  邵栋

IPC: G06F21/56 ,  G06F21/57 ,  G06F8/41

Abstract: 本发明公开了一种面向代码安全的提交优先级排序方法和系统，根据代码提交中函数方法粒度的抽象语法树片段子集判断出特定代码片段的安全性；统计代码提交中所有代码片段的安全性预测结果得到本次代码提交的安全性，评价本次代码提交的安全性依据是被预测为存在安全漏洞的代码片段的数量；根据代码提交的安全性实现对代码提交的优先级排序。本发明实施例的技术方案，实现了在持续集成开发过程中，根据提交的代码内容，准确识别出其安全状态，并完成对正在等待服务器资源的代码提交的优先级排序，提前了对不安全代码的修复时机，缩短了整体的构建耗时，加速了产品的迭代速度。

公开(公告)号：CN113312617A

公开(公告)日：2021-08-27

申请号：CN202110564803.X

申请日：2021-05-24

Applicant: 南京大学

Inventor： 戴启铭 ,  张贺 ,  毛润丰 ,  刘博涵 ,  周鑫 ,  荣国平 ,  邵栋

IPC: G06F21/56 ,  G06F21/57 ,  G06F8/41

Abstract: 本发明公开了一种面向代码安全的提交优先级排序方法和系统，根据代码提交中函数方法粒度的抽象语法树片段子集判断出特定代码片段的安全性；统计代码提交中所有代码片段的安全性预测结果得到本次代码提交的安全性，评价本次代码提交的安全性依据是被预测为存在安全漏洞的代码片段的数量；根据代码提交的安全性实现对代码提交的优先级排序。本发明实施例的技术方案，实现了在持续集成开发过程中，根据提交的代码内容，准确识别出其安全状态，并完成对正在等待服务器资源的代码提交的优先级排序，提前了对不安全代码的修复时机，缩短了整体的构建耗时，加速了产品的迭代速度。