本發明屬于網絡安全技術領域，公開了基于知識圖譜的漏洞代碼圖譜構建及代碼漏洞檢測方法，本發明首先生成源代碼的代碼圖譜，然后基于漏洞模式、數據依賴、控制依賴，從源代碼漏洞圖譜中提取漏洞代碼子圖，得到標注數據集，然后從漏洞代碼子圖中提取六種特征，整合得到漏洞代碼子圖的向量表示，最后將漏洞代碼子圖的向量表示輸入到分類模型進行訓練，利用標簽信息對分類模型進行優化，生成漏洞代碼檢測模型。漏洞代碼檢測模型能夠對漏洞代碼進行多分類漏洞檢測，保證在軟件開發過程中代碼的安全性。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種基于知識圖譜的漏洞代碼圖譜構建及代碼漏洞檢測方法。

背景技術

隨著信息化時代的到來，計算機系統廣泛使用，各個平臺軟件的質量參差不齊，良莠不齊，軟件中往往隱藏了嚴重的安全漏洞。這些漏洞通常是由于軟件開發人員在編寫代碼時使用了不規范的編程模式引起的。這些漏洞一旦被攻擊者利用，會嚴重破壞系統的穩定性和安全性，因此，針對軟件的安全性考量變得十分重要。由于現有的開源軟件和代碼復用的風氣盛行，這些帶有缺陷和漏洞的代碼一旦被公開開源出去，會得到迅速的傳播，很可能造成某一領域的重大軟件安全事故。事實證明，軟件代碼漏洞無論在政治上、經濟上、軍事上都占有舉足輕重的地位，一旦被惡人利用，講給國家安全帶來巨大的威脅。因此，軟件代碼安全性評估日益受到個人、組織以及國家的重視。

針對上述問題和現狀，近幾年出現許多代碼漏洞檢測相關的研究和方法。傳統的代碼漏洞檢測方法基于模式匹配的方式，不能夠獲取足夠的漏洞代碼相關的特征。也有的研究從源代碼文件的角度出發，以整個源代碼文件或代碼中的函數為粒度，結合機器學習模型提取漏洞代碼的特征，由于研究粒度較粗，引入了過多的噪聲，導致提取到的特征不夠細致全面。有的研究方法只關注單一的代碼漏洞的檢測，不能夠識別多種漏洞類型。

綜上所述，目前并沒有一種代碼漏洞檢測方法，能夠細粒度的，自動對漏洞特征進行提取，并對多種漏洞類型進行檢測。

發明內容

針對現有技術存在的不足，本發明提供一種基于知識圖譜的漏洞代碼圖譜構建及代碼漏洞檢測方法，從研究程序源代碼的角度出發，構建源代碼知識圖譜，從源代碼知識圖譜中提取漏洞代碼子圖，然后利用詞向量模型對漏洞代碼進行向量化表示，最后利用深度學習模型對漏洞特征進行自動提取，得到漏洞代碼檢測模型，能夠對漏洞代碼進行多分類漏洞檢測，從而在軟件開發過程中保證代碼的安全性。

為了解決上述技術問題，本發明采用的技術方案是：

首先，本發明提供一種基于知識圖譜的漏洞代碼圖譜構建方法，包括以下步驟：

S1、獲取漏洞代碼相關信息：包括漏洞源代碼文件、漏洞發布日期、漏洞補丁方案、漏洞所處的代碼倉庫地址、代碼倉庫提交日志、代碼倉庫issue信息；

S2、對漏洞源代碼文件的處理：將漏洞源代碼文件處理成抽象語法樹，利用抽象語法樹的深度遍歷算法，從抽象語法樹中提取實體、關系信息，構建源代碼圖譜，進而抽取生成漏洞代碼子圖；

S3、對漏洞代碼相關文字信息的處理：基于獲取到的漏洞代碼相關信息數據，利用自然語言處理技術，從代碼文檔、issue、補丁方案中提取出與代碼相關的實體節點和實體間關系信息，保存記錄到數據庫中；

S4、對前兩部分的到的實體和關系進行實體關系融合：通過步驟S1可以得到源代碼實體關系，通過步驟S2得到文檔實體關系，將兩者進行實體關系融合，整合源代碼和文檔中的信息；

S5、構造標注數據集D：得到漏洞代碼子圖以后，將漏洞代碼子圖和爬取的數據進行對齊，對每一個漏洞代碼子圖進行人工標注，對于有漏洞的代碼子圖標注上對應的漏洞類型，沒有漏洞的代碼子圖標注0。

進一步的，步驟S2的具體步驟如下：

S21、處理漏洞源代碼文件，提取源代碼文件的抽象語法樹；