CN116108446B 基于深度学习的漏洞补丁存在性检测方法 （西安电子科技大学）

US2021367961A1,2021.11.25本发明提供了一种基于深度学习的漏洞补丁存在性检测方法，通过对比原始补丁与下游OSS仓库的潜在补丁形成等价补丁；再对等价补丁选择切片入口生成等价切片，再转化为词向的表征结果与输入是否相似决定调整网络参数从而完成训练。对于待检测OSS项目缩小其检测切片，并输入至训练完成的双向LSTM孪生网络2步骤1：从通用数据库获取漏洞披露条目CVE信息，并根据CVE切片对的表征结果之间的相似度确定是否等价，从而对所述双向LSTM孪生网络进行训练，步骤7：根据缩小检测空间后的OSS项目中的每个源代一匹配成功，则确定该commit提交操作对应的潜在补丁与原始补丁为等价补丁对；如果步骤21：针对所述等价补丁集中的每个等价补丁对，按照补丁c3步骤23：将所述源代码文件输入至静态分析工具中，得到源代码文件的控制流图步骤25：以补丁相关的核心代码行作为切片入口步骤26：以所述控制依赖节点、数据依赖节所述步骤23中的控制流图(CFG)描述程序每一行代码可能的执行路径，其中的节点表示代步骤42：将等价切片对作为正样本以及将不等价切片步骤43：通过预训练的word2vec模型分别将正样本以及步骤51：针对负样本的词向量对和正样本的词向量对步骤52：将输出向量M1和M2分别作为切片对的表征结4步骤53：根据相似度判断输入的切片对与表征结果步骤54：重复步骤51至步骤53直至遍历完所有词向量对，获步骤61：根据待检测OSS项目的历史提交中subject与log信息对待检测源代码文件进步骤63：根据补丁的函数信息对所述待检测源代码文步骤72：将待检测源代码文件的切片入口设置为控制流节点、数10.根据权利要求1所述的一种基于深度学习的漏洞补丁存在性检测方法，其特征在步骤81：将待检测词向量输入训练完成的双向LSTMCVE信息中补丁的切片词向量输入至另一个子网络中，基于所述训练完成的双向LSTM孪生步骤82：计算步骤81中表征结果之间的相似度以及两个子网5[0002]越来越多的开源软件(OSS)使企业开发人员可以重用来自可靠OSS项目的简洁功需要一种能够精准判定漏洞补丁存在性的方法，能够基于给定的CVE漏洞信息判定当前企Bug和新功能经常被合并到一个中央存储库中，然后自动构建、测试和准备发布到生产环厂商在开发软件时直接使用开源代码中的一个功能模块或直接对开源代码进行少量修改6[0008](1)基于规则的漏洞检测方法：这种方法预定义了一些规则去静态的检测程序漏阳性率，这意味着安全人员需要凭借自身的知识去判断检测出来的漏洞到底是不是漏洞，[0010](3)基于图神经网络的漏洞检测方法：使用图神经网络进行漏洞检测任务首先需信息一致的原始补丁以及潜在补丁确定为等价补丁对，将所有等价补丁对组成等价补丁7孪生网络的参数，实现训练双向LSTM孪生网络的目的。在训练结束之后对于待检测OSS项8目标函数的语句作为语法签名；fsem捕获目标函数语句之间的数据依赖和控制依赖关系，[0037]在以上的基础上，MVP随后分别从语法和语义级别上计算漏洞sig和补丁sig，即9[0047]目标函数的签名与漏洞签名在语法层次上匹配(Vsyn和fsyn的交集大于某一阈[0048]目标函数的签名与补丁签名在语法层次上不匹配(Psyn和fsyn的交集小于某一阈[0049]目标函数的签名与漏洞签名在语义层次上匹配(Vsem和fsem的交集大于某一阈[0050]目标函数的签名与补丁签名在语义层次上不匹配(Psem和fsem的交集小于某一阈[0051]而该技术是基于规则的漏洞检测方法，该技术的误报率较高且无法检测OSS移植信息一致的原始补丁以及潜在补丁确定为等价补丁对，将所有等价补丁对组成等价补丁孪生网络的输入对象之间的相似度，确认所述待检测源代码文件是否存在修复漏洞的补github提交的链接，这些提交就作为bug修复相关的提交样本，然后爬取相应网页的log[0071]其中，所述下游的目标OSS仓库包括打补丁的commit提交号以及打补丁后的潜在与原始补丁的subject执行字符串匹配以及message执行字符串匹配；如果subject或message任一匹配成功，则确定该commit提交操作对应的潜在补丁与原始补丁为等价补丁[0074]值得说明的是：结合有关原始补丁的各种信息来确定它在其它OSS仓库中的存在[0095]标注出来为切片入口，这是因为补丁的删除行在应用补丁后的源代码中并不存绍如下：补丁头是分别由/+++开头的两行(对应行1与行2)，用来表示要打补丁的文的slice11与(slice21，slice22)的slice21匹配，构造出不等价切片对(slice11，[0128](2)词向量表示：将处理之后的预处理切片数据通过预训练的word2vec模型转化为n的语句映射为多个向量的组(vec1，vec2，vec3，...，vecn)，因此切片对(slice11，[0135]步骤54：重复步骤51至步骤53直至遍历完所有词向量对，获得训练完成的双向)输入生网络最后的输出向量M1和M2作为每个切[0138](2)结果分类：本发明引入相似度函数来计算M1和M2的差异，即Sim为M2，通过计算两个网络输出之间的相似度来判断两条输入日志语句是否可合并为同一[0144]步骤61：根据待检测OSS项目的历史提交中subject与log信息对待检测源代码文此本发明可进一步完成针对已披露漏洞的OSS补丁的存在性检测。本发明的检测阶段的输[0149]根据待检测OSS项目的历史提交中subject与log信息进行初筛，这是因为开发者通常会在版本描述内公告该项目移植了哪些版本的开源OSS，这些信息有助于缩小待检测补丁实例的代码所示。该补丁的应用路径为，“./0aa6fd109de6_patcheduD_cx231xx_[0151]根据补丁的函数信息进行筛选，补丁生效的实质是修改[0157]在缩小检测空间后，可明确待检测oss项目中存在多个源代码文件需进行切片操有的CVE信息中补丁的切片词向量输入至另一个子网络中，基于所述训练完成的双向LST