公开(公告)号：CN111506504A

公开(公告)日：2020-08-07

申请号：CN202010286267.7

申请日：2020-04-13

Applicant: 扬州大学

Inventor： 刘源 ,  孙小兵 ,  李斌 ,  周洲 ,  龙瑶 ,  曹思聪 ,  薄莉莉

IPC: G06F11/36 ,  G06K9/62

Abstract: 本发明公开了一种基于软件开发过程度量的软件安全性缺陷预测方法及装置。本发明通过构造文件开发者图和项目代码修改图，表达了软件开发过程中开发者活动和代码修改的信息；同时使用图神经网络训练嵌入模型对图结构分别进行嵌入操作，获取其对应的特征向量作为度量元，保留了图结构中的大量信息；将获得的文件开发者度量元和文件修改度量元这两种度量元作为特征，利用缺陷数据库中的数据进行数据标注，训练分类模型，获得最终的预测模型，利用该模型进行安全性缺陷预测，在文件粒度上给出预测结果，且预测准确度高。

公开(公告)号：CN111897946A

公开(公告)日：2020-11-06

申请号：CN202010652542.2

申请日：2020-07-08

Applicant: 扬州大学

Inventor： 周洲 ,  孙小兵 ,  薄莉莉 ,  李斌 ,  刘源 ,  龙瑶

IPC: G06F16/335 ,  G06F21/57 ,  G06F8/658

Abstract: 本发明公开了一种漏洞补丁推荐方法、系统、计算机设备和存储介质，方法包括：构建漏洞修复数据集，包括漏洞代码及对应的漏洞补丁源代码、漏洞类型特征、文档注释以及测试样例；构建并训练预训练模型；采集待修复的含有漏洞的代码片段及其对应的漏洞类型特征，构建补丁搜索空间；对补丁进行优先级排序，基于该顺序为待修复的代码片段推荐补丁。本发明充分利用漏洞的特征类型，一方面更好的进行预训练模型的构建，发挥预训练模型的优势，另一方面，有利于减少补丁搜索空间，更快速的获取所需补丁。此外，本发明充分利用预训练模型在自然语言方面的优势，结合代码和文本两个部分，进行预训练模型的构建和训练，很好的克服了人为规定等方式的不足。

公开(公告)号：CN112115476B

公开(公告)日：2023-10-24

申请号：CN202010785734.0

申请日：2020-08-06

Applicant: 扬州大学

Inventor： 龙瑶 ,  孙小兵 ,  薄莉莉 ,  李斌 ,  刘源 ,  周洲

IPC: G06F21/57 ,  G06F18/2431 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于LSTM的漏洞自动分类方法、系统和计算机设备，方法包括以下过程：训练长短期记忆网络LSTM；利用训练好的LSTM网络处理待分类的漏洞代码；基于NVD树图构建映射矩阵；根据所述映射矩阵以及待分类的漏洞代码对应的LSTM网络的输出，进行矩阵运算，获得待分类漏洞代码的类别。本发明将漏洞矩阵运用到漏洞分类技术中，利用了漏洞矩阵的结构特性，方便化了分类工作。以CWE·NVD为分类标准，在NVD类路径基础上进行漏洞的自动分类，解决了漏洞代码的模糊匹配问题，实现了标准缺陷漏洞库的矩阵化使用以及LSTM特性的极大化利用，同时实现了缺陷预测的自动化，具有较强的方便性，一定程度上为信息安全领域提供了帮助。

公开(公告)号：CN111897946B

公开(公告)日：2023-09-19

申请号：CN202010652542.2

申请日：2020-07-08

Applicant: 扬州大学

Inventor： 周洲 ,  孙小兵 ,  薄莉莉 ,  李斌 ,  刘源 ,  龙瑶

IPC: G06F16/335 ,  G06F21/57 ,  G06F8/658

Abstract: 本发明公开了一种漏洞补丁推荐方法、系统、计算机设备和存储介质，方法包括：构建漏洞修复数据集，包括漏洞代码及对应的漏洞补丁源代码、漏洞类型特征、文档注释以及测试样例；构建并训练预训练模型；采集待修复的含有漏洞的代码片段及其对应的漏洞类型特征，构建补丁搜索空间；对补丁进行优先级排序，基于该顺序为待修复的代码片段推荐补丁。本发明充分利用漏洞的特征类型，一方面更好的进行预训练模型的构建，发挥预训练模型的优势，另一方面，有利于减少补丁搜索空间，更快速的获取所需补丁。此外，本发明充分利用预训练模型在自然语言方面的优势，结合代码和文本两个部分，进行预训练模型的构建和训练，很好的克服了人为规定等方式的不足。

公开(公告)号：CN112115476A

公开(公告)日：2020-12-22

申请号：CN202010785734.0

申请日：2020-08-06

Applicant: 扬州大学

Inventor： 龙瑶 ,  孙小兵 ,  薄莉莉 ,  李斌 ,  刘源 ,  周洲

IPC: G06F21/57 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N20/00

Abstract: 本发明公开了一种基于LSTM的漏洞自动分类方法、系统和计算机设备，方法包括以下过程：训练长短期记忆网络LSTM；利用训练好的LSTM网络处理待分类的漏洞代码；基于NVD树图构建映射矩阵；根据所述映射矩阵以及待分类的漏洞代码对应的LSTM网络的输出，进行矩阵运算，获得待分类漏洞代码的类别。本发明将漏洞矩阵运用到漏洞分类技术中，利用了漏洞矩阵的结构特性，方便化了分类工作。以CWE·NVD为分类标准，在NVD类路径基础上进行漏洞的自动分类，解决了漏洞代码的模糊匹配问题，实现了标准缺陷漏洞库的矩阵化使用以及LSTM特性的极大化利用，同时实现了缺陷预测的自动化，具有较强的方便性，一定程度上为信息安全领域提供了帮助。

公开(公告)号：CN111506504B

公开(公告)日：2023-04-07

申请号：CN202010286267.7

申请日：2020-04-13

Applicant: 扬州大学

Inventor： 刘源 ,  孙小兵 ,  李斌 ,  周洲 ,  龙瑶 ,  曹思聪 ,  薄莉莉

IPC: G06F11/36 ,  G06F18/241 ,  G06F18/214

Abstract: 本发明公开了一种基于软件开发过程度量的软件安全性缺陷预测方法及装置。本发明通过构造文件开发者图和项目代码修改图，表达了软件开发过程中开发者活动和代码修改的信息；同时使用图神经网络训练嵌入模型对图结构分别进行嵌入操作，获取其对应的特征向量作为度量元，保留了图结构中的大量信息；将获得的文件开发者度量元和文件修改度量元这两种度量元作为特征，利用缺陷数据库中的数据进行数据标注，训练分类模型，获得最终的预测模型，利用该模型进行安全性缺陷预测，在文件粒度上给出预测结果，且预测准确度高。