近日，实验室硕士生朱亚威的论文被 ACM Transactions on Software Engineering Methodology (TOSEM) 录用，论文题目为“Interpreting Deep Learning-based Vulnerability Detector Predictions Based on Heuristic Searching”。这是实验室第一次在软件工程领域顶级期刊发表论文。

利用深度学习检测软件漏洞已经被证明是有效的，但由于深度学习模型的“黑盒”特性，很难解释为什么深度学习模型会将一段代码分类为有漏洞或无漏洞。现有的模型解释方法没有考虑软件漏洞静态检测的应用场景，目前三大主流模型解释方法中：隐元分析法利用隐层输出、梯度等信息识别样本中的重要特征，但该方法能够应用的模型结构有限；模型模拟法使用代理模型解释难以理解的深度学习模型，但几乎无法衡量代理模型和被解释模型之间存在的差距；现有的局部解释法假定模型输入的样本内部特征相互独立，是解释方法保真度较低的原因之一。论文引入了高保真的模型解释框架，旨在识别出少量对模型判别漏洞具有关键作用的特征，并进一步提炼出可理解的有无漏洞判别规则。

论文的贡献如下：（1）提出用于解释基于深度学习的漏洞检测模型的框架。具体步骤包括对目标样本施加扰动，利用启发式算法识别出样本中的重要特征，基于重要特征进行方法保真度评估，再在找出的重要特征的基础上借助简单易理解的机器学习模型提取可理解的漏洞判别规则。由于方法考虑特征之间的关联，且没有假定深度学习模型的局部决策边界是线性的，该方法相比于现有的局部解释方法具备更高的保真度；（2）在两个基于深度学习的软件漏洞检测器VulDeePecker和SySeVR上的实验结果表明，解释框架能够识别出目标样本中的重要特征，而领域专家可以根据从模型中提取出的漏洞判别规则的合理性识别出漏报或误报的样本。

ACM Transactions on Software Engineering Methodology 期刊每年一卷，每卷四期，每年发表的文章约23篇，今年的影响因子是3.4。

（通讯员：朱亚威）