李珍，实验室2014级博士生，师从邹德清教授做软件漏洞检测方向的研究，2019年毕业后赴美国德州大学圣安东尼奥分校UTSA（University of Texas at San Antonio）做博士后研究。近日，李珍博士在实验室读博期间撰写的论文被IEEE Transactions on Dependable and Secure Computing (TDSC)录用，论文题目为“VulDeeLocator: A Deep Learning-based Fine-grained Vulnerability Detector”。

这篇论文提出了一种可同时实现高检测能力和高定位精度的漏洞检测器，简称为VulDeeLocator，即基于深度学习的漏洞定位框架。该框架以回答以下两个问题为中心：如何将程序文件中的宏和类型的使用与它们在头文件中的定义相关联？如何更精确地体现出控制流以及变量的定义和使用关系，并实现较高的定位精度？为了回答这两个问题，我们利用中间代码更丰富的语义信息和粒度细化的概念来确定漏洞位置，既能达到漏洞检测的高有效性，又能精确定位漏洞的位置。为了有效评估VulDeeLocator，我们将从国家漏洞数据库（NVD）和软件保障参考数据集（SARD）收集的数据集源代码处理生成中间语言代码。经过测试发现：（1）VulDeeLocator可以检测出实际软件中的漏洞；（2）基于VulDeeLocator的双向门控循环神经网络（VulDeeLocator-BGRU） 比基于语法、语义和向量表征的漏洞检测（SySeVR） 更有效，特别是VulDeeLocator-BGRU的定位精度平均比SySeVR高4.2倍；（3）与原始的双向循环神经网络（BRNN）相比，使用VulDeeLocator的双向循环神经网络（BRNN-vdl）具有更高的漏洞定位精度和更高的漏洞检测能力；（4）使用基于中间代码的表示形式的VulDeeLocator比使用基于源代码的表示形式的更有效；（5）针对三个开源软件（FFmpeg，Libav，Wireshark）,VulDeeLocator检测出18个已确认的漏洞，其中两个没有在国家漏洞数据库（NVD）中进行报告，但已在发布的较新版本中进行修补。

IEEE Transactions on Dependable and Secure Computing主要关注计算机及网络安全、可信计算等领域的前沿研究，是该领域的权威期刊之一，属于中国计算机学会CCF A类期刊。该期刊每年出版4期，每年录用论文约80篇左右，2019-2020年该期刊的影响因子为6.864。

（通讯员：唐静）