LOGO LOGO
李珍博士的论文被TDSC录用
时间:2021-01-14 09:02:27

李珍,实验室2014级博士生,师从邹德清教授做软件漏洞检测方向的研究,2019年毕业后赴美国德州大学圣安东尼奥分校UTSA(University of Texas at San Antonio)做博士后研究。近日,李珍博士在实验室读博期间撰写的论文被 IEEE Transactions on Dependable and Secure Computing (TDSC) 录用,论文题目为“SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities”。

本文提出了第一个基于深度学习漏洞检测的系统框架。该框架以回答以下问题为中心:如何将程序表示为向量,以容纳适用于漏洞检测的语法和语义信息?为了回答该问题,我们定义并实现了基于语法的漏洞候选(SyVC)和基于语义的漏洞候选(SeVC)。该框架简称为SySeVR,即基于语法、语义和向量表征的漏洞检测框架。为了有效评估SySeVR,我们从国家漏洞数据库(NVD)和软件保障参考数据集(SARD)生成了包含126种类型漏洞的漏洞数据集。经过测试发现:(1)SySeVR可以采用多种深度神经网络检测各类型漏洞;(2)在漏报率和误报率的原因解释方面,我们发现双向门控循环单元(BGRU)的有效性在很大程度上受训练数据的影响。如果某些语法元素经常出现在漏洞代码段中,则这些语法元素可能会导致较高的误报率(漏报率)。(3)使用针对特定类型漏洞的深度神经网络比使用单个深度神经网络检测各种类型的漏洞的检测效果更好。(4)用于深度神经网络学习的语义信息越多,神经网络的漏洞检测能力就越高。例如,由控制依赖引起的语义信息可以平均使漏报率降低19.6%。(5)针对4种开源软件(Libav,Seamonkey,Thunderbird和Xen),SySeVR检测到了15个未在NVD中报告的漏洞。

IEEE Transactions on Dependable and Secure Computing主要关注计算机及网络安全、可信计算等领域的前沿研究,是该领域的权威期刊之一,属于中国计算机学会CCF A类期刊。该期刊每年出版4期,每年录用论文约80篇左右,2019-2020年该期刊的影响因子为6.864。


(通讯员:胡雨涛)