[发明专利]一种基于知识图谱向量化推理通用软件缺陷建模方法

说明书

本发明公开了一种基于知识图谱向量化推理通用软件缺陷模型建立方法，步骤1、数据获取与预处理，具体操作为：从数据源获得所有关于缺陷的数据，该缺陷数据至少包括缺陷ID、缺陷描述、不同缺陷之间的关系以及缺陷造成的结果，对不同缺陷之间的关系和描述信息进行预处理；步骤2、学习基于描述的表示，构建基于描述的表示h_d；步骤3、学习基于结构的表示，构建基于描述的表示E_s；步骤4、通过基于结构的表示E_s和基于描述的表示E_d，构建最终的软件缺陷模型TransCat模型步骤5、进行TransCat模型优化处理。与现有技术相比，本发明实现的TransCat模型可以捕获关于常见软件弱点的文本和结构性知识，从而有效地支持软件弱点上的各种推理任务。

技术领域

本发明软件安全技术领域，特别是涉及一种基于知识图谱向量化推理通用软件缺陷。

背景技术

安全对于一个软件产品来说是至关重要的，随着人们对电子产品的需求量不断增加、对实现复杂功能的软件产品的持续青睐，开发商为了满足市场需求不断地缩减开发周期，对软件开发之前的安全调研也未能顾全整个软件开发周期，如此，在进入软件开发阶段，开发人员按照设计所实现的软件便有极大的可能性带有缺陷，软件缺陷虽然不能直接对用户体验带来极大不适，也不会直接危害用户的信息与财产安全，但却隐藏着巨大的弊端，若是被黑客或者拥有特定技术的人发现软件所存在的缺陷，他们便可以对缺陷进行攻击，攻击成功缺陷便会变成漏洞，这必将会对使用者的个人信息造成泄露，更危险的是用户的银行卡信息被窃取，造成不必要的财产损失。因此，软件缺陷对于软件产品来说是致命的。

软件缺陷(Defect)，即为计算机软件或程序中存在的某种破坏正常运行能力的问题、错误，或者隐藏的功能缺陷。缺陷的存在会导致软件产品在某种程度上不能满足用户的需要。IEEE729-1983对缺陷有一个标准的定义：从产品内部看，缺陷是软件产品开发或维护过程中存在的错误、毛病等各种问题；从产品外部看，缺陷是系统所需要实现的某种功能的失效或违背。在软件开发生命周期的后期，修复检测到的软件错误的成本较高。那么准确有效的定义和描述软件缺陷，可以使软件缺陷得以快速修复，节约了软件测试项目的成本和资源，提高产品质量。

通用缺陷枚举(Common Weakness Enumeration)是一个软件社区项目，虽然CWE缺陷包含了很多的信息，比如缺陷描述、缺陷之间的关系、缺陷产生的结果等，但是CWE是超文本文件，不能支持先进的推理任务，比如关系预测、多标签预测、三元组的分类等任务，本发明设计的模型可以高效的完成这些任务，并且还可以结果zero-shot问题。

发明内容

本发明旨在提出一种基于知识图谱向量化推理通用软件缺陷建模方法，利用将知识图中基于描述的知识和基于结构的知识相结合、将CWE和CWE关系嵌入到低维向量空间中，实现了软件缺陷模型Transcat的构建。

本发明的一种基于知识图谱向量化推理通用软件缺陷建模方法，包括以下流程：

步骤1、数据获取与预处理，具体操作为：从数据源获得所有关于缺陷的数据，该缺陷数据至少包括缺陷ID、缺陷描述、不同缺陷之间的关系以及缺陷造成的结果，对不同缺陷之间的关系和描述信息进行预处理；

步骤2、学习基于描述的表示，具体操作为：通过大量的缺陷数据获得向量化模型，创建lookup字典包含所有缺陷的单词的向量化表示，构成了单词层次上的向量化，描述每一个句子的语义，获得句子层面的向量化，即对于具有n个单词的句子的向量化表示通过取n个单词的表示向量的平均值，从而构建基于描述的表示E_d，E_d是指实体的文本表示，表达式为：E_d＝||h_d+r-t_d||，其中，h_d、t_d分别表示头实体和尾实体的文本表示；