[发明专利]一种基于多尺度代码度量的软件安全漏洞检测方法

说明书

本发明公开了一种基于多尺度代码度量的软件安全漏洞检测方法，解决了基于代码度量的漏洞检测方法因特征信息不足造成的精度过低，检测效果较差技术问题。实现包括：获取漏洞信息；构建多尺度代码度量数据集；进行多尺度代码度量特征抽取；多尺度代码度量特征向量拼接；用双向长短期记忆网络进行漏洞表征学习；检测结果判定，完成基于多尺度代码度量的软件安全漏洞检测。本发明构建了多尺度代码度量数据集，提出了特征金字塔模型。提高了代码度量利用程度，组件粒度度量中包含了代码度量间隐含关系，增加了代码度量种类，改善了因代码特征信息提取不足而导致漏洞漏报与误报的情况，用于软件漏洞检测。

技术领域

本发明属于计算机技术领域，特别涉及软件漏洞检测，具体是一种基于多尺度代码度量的软件安全漏洞检测方法，用于面向源代码的软件安全漏洞检测。

背景技术

随着信息化的蓬勃发展，软件的应用越来越广泛，软件规模也逐渐增大，开源软件的数量也在高速增长。开源软件的快速发展，一方面可以突破技术壁垒、推动创新，另一方面面临着安全漏洞、软件供应链安全等风险。软件安全和网络安全等问题导致网络信息安全威胁日益上升，软件安全问题引起了各行业乃至国家的高度重视，而软件漏洞是导致软件安全问题的主要根源之一。例如，2017年美国征信巨头Equifax资料外泄事件，在此次事件中，黑客窃取了超过1.6亿名美国、英国及加拿大民众的个人身分识别信息，其中包括：姓名、社会安全码、住址、电子邮件、生日、支付卡号码以及电话号码。事后经过调查与分析，发现黑客利用了一个开源web应用框架Apache Struts 2中的漏洞，该漏洞的漏洞编号为CVE-2017-5638，此次信息泄露事件直接导致Equifax约14亿美元的经济损失，使该征信公司损失了大量客户，损害了该公司的声誉，对该公司造成了非常严重的影响。

漏洞是信息技术、信息产品、软件系统在需求、设计、实现、配置和运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于软件系统的各个层次和环节之中，一旦被恶意主体所利用，就会对软件安全造成威胁，从而影响构建于软件系统之上的正常服务的运行，危害软件系统及软件使用者的信息安全。对于政府而言，软件漏洞可能会导致机密信息泄露、网站攻击、数据勒索等问题。对于企业而言，软件漏洞可能会导致客户信息泄露、经济损失、服务崩溃等问题。对于大众而言，软件漏洞可能会威胁到大众的财产安全以及信息安全，造成财产损失与信息泄露等问题。

对大型软件进行漏洞检测，最有效的方法是针对软件源代码进行漏洞检测。在软件源代码安全分析与漏洞检测这一方面，美国在联邦信息安全管理法案FISMA的推动下，在计算机软件漏洞的挖掘、研究以及产业方面都一直处于世界领先地位。在国内，许多公司企业以及高校研究人员都在进行软件安全相关研究，对软件漏洞检测领域做出了许多贡献，但是针对软件源代码进行漏洞检测的研究仍在继续，需要提出或改进针对源代码进行漏洞检测的方法，对源代码进行更好的表征，提高漏洞检测的准确率。

目前，漏洞检测技术主要包括静态分析和动态分析。静态分析方法是在未运行程序的情况下，对软件的源代码或目标代码进行审计分析，洞悉程序的数据流和执行控制流关系，统计源代码不同粒度下的度量，进而在软件代码中找出存在的安全缺陷；动态分析方法则一般应用于软件的测试运行阶段，在软件程序运行过程中，通过分析动态调试器中程序的状态、执行路径等信息来检测漏洞。