基于机器学习的源代码漏洞挖掘

作     者：周克强 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：黎琳

授予年度：2020年

学科分类：08[工学] 081104[工学-模式识别与智能系统] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 081202[工学-计算机软件与理论] 

主      题：代码漏洞 软件缺陷 卷积神经网络 循环神经网络 

摘      要：软件作为计算机技术重要组成部分,随着信息化的发展,应用规模和种类不断增长。软件行业繁荣发展的同时,一直不可避免的软件安全问题,特别是软件漏洞问题,近些年数量不断增加。这些漏洞可能存在于开放源代码或内部非开放源代码中,将导致严重的风险或系统性的利益损害。传统的人工方式检测漏洞效率较低,不能满足当前软件安全需求。机器学习等人工智能技术的发展,可以辅助软件漏洞挖掘与分析,提高检测效率。本文基于公开的函数数据集,利用卷积神经网络（CNN）模型、循环神经网络（RNN）模型、卷积神经网络结合双向循环神经网络模型（CNN-BIGRU）,循环神经网络结合双向循环神经网络模型（RNN-BIGRU）从静态代码中提取特征,进行分析后找出潜在的漏洞。针对该数据集,本文设计了一种基于深度特征刻画学习的快速可扩展漏洞检测系统,可直接分析功能源代码并给出分析报告。最后,利用实际的软件代码对漏洞检测系统进行了评价,结果表明,使用卷积神经网络和循环神经网络比传统的多层感知机有更好的效果。在实验中,本文首先使用word2vec方法将文本数据转换成一种有效的矢量表示,提高了数据的密度和结构,通过选择合适的网络结构和参数,形成优化漏洞检测模型,并对试验数据集进行了相关实验。本文主要研究了源代码漏洞挖掘和特征提取的方法,在不同的网络模型上,选择不同维度的特征,然后通过模型训练来检验,比较不同模型的性能。在深入研究基于机器学习预测模型的基础上,提出了一种基于机器学习方法。确定了特征向量之间的对应关系,记录了不同尺寸的参数。实验结果表明,本文提出的模型可以更好地学习源代码文本,在此模型的基础上,设计了一种高精度的漏洞检测系统。