公开(公告)号：CN113742205A

公开(公告)日：2021-12-03

申请号：CN202010487203.3

申请日：2020-05-27

Applicant: 南京大学

Inventor： 房春荣 ,  葛修婷 ,  刘子夕 ,  葛宇 ,  李林昱

IPC: G06F11/36 ,  G06F21/57 ,  G06F40/253 ,  G06F40/30 ,  G06N3/04

Abstract: 一种基于人机协同的代码漏洞智能检测方法，其特征是结合已有的代码漏洞检测工具集和收集到的漏洞数据集进行正报和误报漏洞标记以及控制流图和抽象语法树的特征提取，构建一个代码漏洞误报检测模型；然后根据代码漏洞程序切片后的结果生成漏洞评审任务；随后利用采样策略选取部分漏洞评审任务随机分配给众包安全评审专家；最后，结合并分析代码漏洞误报检测模型结果与众包安全评审专家结果，并将其持续反馈到代码漏洞检测模型中，进而有效地识别代码漏洞。

公开(公告)号：CN113742205B

公开(公告)日：2024-04-23

申请号：CN202010487203.3

申请日：2020-05-27

Applicant: 南京大学

Inventor： 房春荣 ,  葛修婷 ,  刘子夕 ,  葛宇 ,  李林昱

IPC: G06F11/36 ,  G06F21/57 ,  G06F40/253 ,  G06F40/30 ,  G06N3/0464

Abstract: 一种基于人机协同的代码漏洞智能检测方法，其特征是结合已有的代码漏洞检测工具集和收集到的漏洞数据集进行正报和误报漏洞标记以及控制流图和抽象语法树的特征提取，构建一个代码漏洞误报检测模型；然后根据代码漏洞程序切片后的结果生成漏洞评审任务；随后利用采样策略选取部分漏洞评审任务随机分配给众包安全评审专家；最后，结合并分析代码漏洞误报检测模型结果与众包安全评审专家结果，并将其持续反馈到代码漏洞检测模型中，进而有效地识别代码漏洞。

公开(公告)号：CN113742731A

公开(公告)日：2021-12-03

申请号：CN202010487163.2

申请日：2020-05-27

Applicant: 南京大学

Inventor： 房春荣 ,  钱美缘 ,  葛修婷 ,  王旭 ,  曹振飞 ,  李彤宇

IPC: G06F21/57 ,  G06N20/00 ,  G06K9/62 ,  G06F11/36

Abstract: 一种面向代码漏洞智能检测的数据收集方法构建初始的代码漏洞数据集，再利用经过训练的机器学习模型处理未经标注的代码，根据模型标注和人工标注的结果对数据集进行扩充。其中初始数据集的构建是由代码漏洞检测工具的结果结合测试人员的判断得到，机器模型的训练是利用初始数据集，对于未经标注的代码则结合机器学习模型的判定和测试人员的判断结果确定是否发生误报，并据此扩充数据集。

公开(公告)号：CN114139159A

公开(公告)日：2022-03-04

申请号：CN202111471775.3

申请日：2021-11-30

Applicant: 南京大学

Inventor： 房春荣 ,  葛修婷 ,  葛宇 ,  陈振宇

IPC: G06F21/56 ,  G06F21/57

Abstract: 一种基于排序学习的代码漏洞误报检测方法，其特征是结合代码漏洞静态分析工具findbugs获取标记正报和误报漏洞报告以及对提取相应报告的软件度量准则；然后根据pair‑wise的排序学习模型构建一个代码漏洞误报检测模型；随后利用置信度最低策略选取部分报告通过众包平台分配给众包安全专家审核；最后，结合众包安全评审专家结果，并将其持续反馈到代码漏洞检测模型中，进行迭代式的模型训练，使得正报漏洞报告排序到误报漏洞报告之前，进而达到有效检测代码漏洞误报的目的。

公开(公告)号：CN113742732A

公开(公告)日：2021-12-03

申请号：CN202010487204.8

申请日：2020-05-27

Applicant: 南京大学

Inventor： 房春荣 ,  葛宇 ,  刘子夕 ,  葛修婷 ,  钱美缘 ,  李宁

IPC: G06F21/57

Abstract: 一种代码漏洞扫描与定位的方法，首先通过多个漏洞扫描工具对代码数据集扫描，分析提取扫描结果得到漏洞基本信息。然后，采取投票策略对漏洞进行正误报标记，过滤掉误报的漏洞警示。最后在已知漏洞基本信息的基础上，使用已有的切片工具wala对源代码进行切片。本发明的切片模块在切片方式的选取，切片点指令类型的分类处理以及过滤无关语句这三个方面上进行了改良，有效提高了漏洞定位的精度。