本發明公開了一種基于圖神經網絡的漏洞識別與預測方法、系統、計算機設備和存儲介質，方法包括：構建漏洞數據集；將漏洞數據集劃分為訓練集和測試集；漏洞文件代碼圖表示；漏洞特征提取；構建預測器，并利用該預測器預測代碼文件中的漏洞。系統用于實現上述方法過程，計算機設備和存儲介質通過執行計算機程序能夠實現上述方法過程。本發明可以更好地利用漏洞代碼的語法、語義信息，充分挖掘漏洞代碼與上下文的關系，并有效的識別一類漏洞，普適性和通用性更強，可以取代實際代碼審計中人工制定漏洞指標的環節，使實際使用成本更低、應用領域更廣、精度更高。

技術領域

本發明屬于軟件工程領域，特別涉及一種基于圖神經網絡的漏洞識別與預測方法、系統、計算機設備和存儲介質。

背景技術

漏洞識別與預測是軟件維護過程中的重要組成部分。近年來，隨著軟件項目的規模擴張和復雜度提升，在軟件開發過程中出現了大量的漏洞，如何準確高效地識別并預測漏洞已成為具有相當挑戰性的工作。而在之前的工作中多采用由人類專家手工制定的特征或模式被機器學習算法作為輸入來檢測漏洞，然而由專家手工定義一些漏洞度量(如代碼大小，圈復雜度等)，成本過高且主觀性較強，會導致較高的誤報率和漏報率。已有的漏洞識別與預測工作大多都是面向靜態分析場景的研究，沒有考慮自身的語義特征。同時機器學習與深度學習發展迅速，許多模型都能為漏洞識別提供參考，但是種類繁多，沒有統一高效的識別與預測模型，為進一步漏洞的修復造成了一定困難。

此外，目前已有一些工作使用機器學習的方法來識別軟件漏洞的語法特征并進行漏洞的預測。如文獻《To?fear?or?not?to?fear?that?is?the?question:codecharacteristics?of?a?vulnerable?function?with?an?existing?exploit》中通過八個代碼度量指標描述來自Linux內核和Apache?HTTP服務器中的漏洞，通過機器學習的方法預測漏洞的可利用性，但還是停留在手工定義漏洞特征的層面。也有一些工作通過將圖引入代碼表示來以更細的粒度(函數級)來分析漏洞代碼，如文獻《Vulnerabilityextrapolation:assisted?discovery?of?vulnerabilities?using?machine?learning》中通過融合抽象語法樹、控制流圖以及程序依賴圖形成代碼屬性圖來表示源代碼，但沒有提出完整的識別預測模型。

發明內容

本發明的目的在于提供一種具有成本低、準確性高、應用范圍廣等特點的漏洞識別與預測方法、系統、計算機設備和存儲介質。

實現本發明目的的技術解決方案為：一種基于圖神經網絡的漏洞識別與預測方法，包括以下步驟：

步驟1，構建漏洞數據集；

步驟2，將漏洞數據集劃分為訓練集和測試集；

步驟3，漏洞文件代碼圖表示；

步驟4，漏洞特征提取；

步驟5，構建預測器，并利用該預測器預測代碼文件中的漏洞。

進一步地，步驟1所述構建漏洞數據集，具體過程包括：

步驟1-1，采集漏洞數據庫NVD中的數據，包括漏洞報告；

步驟1-2，提取漏洞報告中的CWE漏洞類型標簽、描述信息以及漏洞文件；

步驟1-3，利用一組與軟件安全性相關的漏洞發生特征關鍵詞和所述描述信息進行匹配，篩選出安全性漏洞，由所有安全性漏洞構成漏洞數據集。

進一步地，步驟2所述將漏洞數據集劃分為訓練集和測試集，具體包括：

步驟2-1，對CWE漏洞類型標簽進行歸并，獲得漏洞類型表如下表1所示：

表1漏洞類型表