近日,蚂蚁安全天宸实验室安全专家京蛰联合西北大学信息学院汤战勇教授团队的联合研究论文《CombiningGraph-basedLearningwithAutomatedDataCollectionforCodeVulnerabilityDetection》成功被IEEETIFS全文接收。
IEEETIFS是信息安全领域国际顶级期刊,中国计算机学会(CCF)推荐A类期刊,中科院SCI一区期刊,平均录用率20%左右,H5指数86,谷歌Toppublications排名第二(仅次于安全顶级会议ACMCCS)。录取的文章大多来自国内外著名高校,研究院,如麻省理工大学,微软研究院,清华大学等。
此次蚂蚁安全天宸实验室与西北大学开展的是基于机器学习的代码漏洞扫描课题研究。
在工业界白盒代码漏洞扫描大部分都是基于专家规则,但是专家规则的维度还是相对单一,加上业务代码的多样性,专家规则往往不能覆盖所有的场景,存在滞后性,一般只能通过事后case驱动专家规则的迭代优化。
为了解决这个行业痛点,蚂蚁安全天宸实验室联合西北大学信息学院的专家们,提出了基于深度学习进行源代码漏洞检测的课题。
深度学习进行源代码漏洞检测通常采用基于时序序列的神经网络(LSTM)或基于单类型边关系的图网络(GNN),但这些模型存在的检测准确率较低,无法自动学习提升检测能力等问题。综合考量,研究人员提出了一种新型框架FUNDED。
一方面,FUNDED将概率学习和统计评估相结合,利用专家评估模型从大型开源仓库中自动收集高质量的训练样本,来改进对漏洞模式的学习。FUNDED对漏洞的收集准确率为90%,相较已有最先进的漏洞收集方法准确率提升8%,其收集到的漏洞数据能提升已有漏洞检测模型10%左右的检准率。
另一方面,FUNDED在GNN的基础上改进了构图方式,向程序图中引入了多种类型的边关系,使网络能够提取到程序的深度结构和语义信息。对标准漏洞数据库(SARD)和GitHub的漏洞平均检准率可达到92%。
研究人员将FUNDED部署到五个开源项目上共检测到53个已知的漏洞,检测效果优于目前已知的最先进的漏洞静态检测手段,比最优的模型能多检测到13个漏洞。
FUNDED模型在部分场景解决白盒代码安全扫描中专家规则的优化依赖case驱动,存在滞后性的痛点,并且检测能力上达到了比专家规则更高的检准率。该框架将持续在蚂蚁内部进行评估改进和落地应用。
西北大学信息学院汤战勇教授表示:“蚂蚁安全天宸实验室对于此次联合研究提供了重要的工程应用思考,本次联合论文成果将有利推进基础安全实践,期待FUNDED模型未来在蚂蚁及行业中有更多落地应用。”
蚂蚁安全天宸实验室
蚂蚁安全天宸实验室隶属于蚂蚁安全九大实验室之一,专注于移动安全、IoT安全等领域的技术研究,现阶段以研发并落地下一代金融级安全防御基础设施为核心目标。
预览时标签不可点收录于话题#个上一篇下一篇