公开(公告)号：CN114428632B

公开(公告)日：2024-09-17

申请号：CN202210074711.8

申请日：2022-01-21

Applicant: 西安交通大学

Inventor： 晋武侠 ,  董思远 ,  刘烃 ,  范铭 ,  戴铱彤

IPC: G06F8/70 ,  G06F8/71 ,  G06F18/24 ,  G06F18/23213

Abstract: 本发明公开了一种基于自适应网格划分聚类的软件架构恢复方法，利用软件间的依赖关系，对其软件架构进行重新组织，以求恢复其软件架构描述。首先，利用软件源代码构建软件关联网络，选择合适的网络嵌入算法提取特征向量；其次利用提取出的特征向量进行内部分析，得到聚类算法所需的相关参数，将特征向量在网格空间中进行划分，通过筛选出稠密网格区域确定聚类迭代所需的初始中心点；最后将利用初始中心点进行划分类聚类迭代，得到最终结果为以源文件为节点的相关软件架构描述。本发明能够快速且有效地对软件源文件进行聚类，得到相对准确的聚类结果作为软件框架描述，解决了现有按代码特性提取特征操作繁琐，且聚类结果准确率低的问题。

公开(公告)号：CN116302919A

公开(公告)日：2023-06-23

申请号：CN202211516728.0

申请日：2022-11-29

Applicant: 西安交通大学

Inventor： 晋武侠 ,  丁紫凡 ,  陈大为 ,  刘烃 ,  范铭

IPC: G06F11/36 ,  G06F16/81

Abstract: 本发明公开了一种多语言可扩展的代码依赖解析模型及解析方法，首先，利用解析器生成抽象语法树，基于对抽象语法树的遍历，在恰当的结点获取信息，完成对实体的抽取和保存，其次，此过程中保留了一些能够直接判断的依赖关系和能够判断一半信息的残缺依赖，最后，处理前序流程的分析中得到的残缺依赖，结合符号表，按照“先Export再Import后其他”的顺序完成依赖回填，完成依赖回填的残缺依赖将补充为完整依赖存储，依赖回填失败的残缺依赖将保留为未解决的依赖存储。

公开(公告)号：CN116070208A

公开(公告)日：2023-05-05

申请号：CN202310043849.6

申请日：2023-01-29

Applicant: 西安交通大学

Inventor： 范铭 ,  石吉飞 ,  王寅 ,  鄢子强 ,  陶俊杰 ,  刘峻峰 ,  晋武侠 ,  刘烃

IPC: G06F21/56 ,  G06F16/951 ,  G06F16/901 ,  G06F18/23 ,  G06F18/22 ,  G06F8/53 ,  G06F8/41 ,  G06N5/01

Abstract: 本发明公开一种面向小程序的第三方库检测方法，分为两个子方法。第一个子方法是白名单匹配方法，首先使用爬虫和聚类方法从NPM,CDNJS等平台爬取小程序能够使用的第三方库，并生成各个库文件的函数调用图加入白名单数据库；然后对待测小程序中的JS文件依次生成其函数调用图，并使用图相似性度量方法与白名单数据库中的库文件进行相似性度量。第二个是启发性预测方法，依据小程序代码调用规律设计过滤聚簇方法，过滤掉第一方代码文件，并对剩余文件进行聚簇，最后输出小程序中使用的未知库。本发明对于待测小程序，经上述两种子方法最终输出小程序中使用的第三方库集合，对于小程序权责分离，安全风险分析具有重要意义。

公开(公告)号：CN115952504A

公开(公告)日：2023-04-11

申请号：CN202310133974.6

申请日：2023-02-17

Applicant: 西安交通大学

Inventor： 范铭 ,  刘峻峰 ,  陶俊杰 ,  石吉飞 ,  鄢子强 ,  王寅 ,  晋武侠 ,  刘烃

IPC: G06F21/56

Abstract: 本发明提出面向小程序的一种静态污点数据流分析方法，分为四个步骤对小程序进行数据流构建和污点分析：首先对目标小程序的API进行分析，按照API功能将其划分为Source类型API(即SourceAPI)或者Sink类型API(即SinkAPI)；其次将小程序的项目源代码解析为抽象语法树(即AST)，通过分析AST构建出每个代码文件中的词法作用域链和各词法作用域的符号表；然后遍历AST，对各文件中各个函数级别的词法作用域进行依赖分析，对文件、函数、变量三种实体构建依赖关系；最后根据小程序特异的API确定污点源，在实体依赖关系上应用污点传播规则进行污点分析。通过以上方法，可以针对小程序的特点，快速、准确地构建出小程序的污点数据流，并将结果进一步用于数据泄露检测等问题的分析。

公开(公告)号：CN111914260B

公开(公告)日：2023-03-31

申请号：CN202010574987.3

申请日：2020-06-22

Applicant: 西安交通大学

Inventor： 晋武侠 ,  徐一飞 ,  刘烃

IPC: G06F21/57 ,  G06F11/36

Abstract: 本发明公开了一种基于函数差分的二进制程序漏洞检测方法，针对已知漏洞函数提取补丁特征，并在嫌疑目标函数中进行特征匹配，识别其中是否打过相应补丁，判断是否包含已知漏洞。首先，确定漏洞相关函数，收集包含漏洞函数及修复后函数的二进制代码并进行反汇编处理；其次，利用差分分析技术确定同一函数两个版本间的变化并生成补丁特征；最后，在目标程序中筛选出嫌疑目标函数并定位和表征其中局部关键区域，再通过相似度计算进行特征匹配以检测目标函数是否包含漏洞，并依此完成对目标程序的漏洞检测。本方法的目标是在给定待搜索的已知漏洞后，快速准确地检测出目标程序中是否包含该漏洞，解决了现有基于函数匹配的漏洞检测方法误报率高的问题。

公开(公告)号：CN114238661A

公开(公告)日：2022-03-25

申请号：CN202111584810.2

申请日：2021-12-22

Applicant: 西安交通大学

Inventor： 范铭 ,  魏闻英 ,  刘烃 ,  晋武侠 ,  魏佳利 ,  陶俊杰

IPC: G06F16/36 ,  G06F16/335 ,  G06F16/33 ,  G06N3/12

Abstract: 本发明公开了一种基于可解释模型的文本歧视性样本检测生成系统与方法，该方法分三步对文本分类集中包含潜在的歧视性的种子样本进行定位，并检测和生成大量生成歧视性样本：首先通过知识图谱构建给定敏感特征集中所有敏感特征的对应词库和扰动词库；其次，从文本数据集中随机选择一部分样本通过可解释模型得到其Top‑k的重要特征，通过匹配敏感词库选择种子样本；最后通过遗传算法从种子样本中检测出歧视性样本，并生成大量的歧视性样本来重新训练模型，消除模型的歧视性。