原创力文档- 1、本文档共33页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
BeijingForestStudio
ThenameoftheDepartment
北京理工大学信息系统及安全对抗实验中心
部门名称
源代码漏洞分类
硕士研究生谢宁
2023年11月26日
问题回溯
•总结反思
–控制演讲的语速,特别是讲述重点时需要放缓
–明确哪些概念需要重点解释,且要基于基础概念解释
–声音要有起伏,注意强调重点
–附录格式使用不当
•相关内容
–2023.05.14孔令迪《源代码漏洞检测》
–2023.03.26谢宁《软件漏洞检测及其严重性评估》
–2022.10.30孔令迪《函数级漏洞检测》
2
内容提要
•预期收获
•题目内涵解析
•研究背景与意义
•研究历史与现状
•知识基础
•算法原理
–VulExplainer
•特点总结与工作展望
•参考文献
3
背景简介
•预期收获
–掌握源代码漏洞分类基本概念
–了解基于CWE类型的漏洞数据划分方法
–了解基于CodeBERT模型的源代码漏洞分类方法
4
内涵解析与研究目标源代码漏洞分类
•源代码漏洞
–含漏洞源代码:含有漏洞的一个函数或一整个文件
–含漏洞代码提交:被提交到Github或其它网站中包含漏洞的代码提交
–含漏洞补丁:对漏洞部分进行修补的代码提交或源代码
•分类对象
–CWE类型:由MITRE公司维护,并提供描述漏洞的通用语言和分类法
–商业类型:从商业需求或者软件需求出发设定的漏洞类型
–自定义类型:根据研究需要或者从作者观点出发设定的类型
•研究目标
–面向漏洞分析领域的漏洞评估
–研究CWE类型漏洞分类、源代码中的漏洞特征提取等问题
5
研究背景
•研究背景
–漏洞分类技术广泛应用于漏洞严重性评估、漏洞检测和漏洞修复等领域
–漏洞分类方法对专家知识的依赖性高,分类结果生成周期长
–漏洞检测中无法提供更加详细的漏洞类型信息
•CWE-ID解释检测到的漏洞,使安全分析人员不能完全理解检测到的漏洞
6
研究意义
•研究意义
–指导漏洞修复:帮助分析检测到的补
丁类型,确定补丁的必要性
–简化漏洞补救过程:根据CWE类型采
取临时缓解措施,简化评估过程
–提高NVD提供的元数据质量:帮助补
充NVD中百分之三十的低分类精度数
据中的内容
–减少人力消耗:省去理解和分析漏洞的耗时,避免损害早期补救的价值,减少手工
分析带来的延迟,使用自动化的方法将检测到的漏洞分为细粒度的漏洞类型
漏洞分类研究刻不容缓!
文档评论(0)