基于隐式流分析和深度学习的代码漏洞检测.pdfVIP

2025年7月计算机工程与设计July2025

第46卷第7期COMPUTERENGINEERINGANDDESIGNVol.46No.7

基于隐式流分析和深度学习的代码漏洞检测

1，21，21，21，2+1，2

贺正源，何成万，陈伟，余秋惠，叶庭瑞

（1.武汉工程大学计算机科学与工程学院，湖北武汉430205；

2.武汉工程大学智能机器人湖北省重点实验室，湖北武汉430205）

摘要：为降低漏洞检测中的高误报率，提出一种基于隐式流静态污点分析和深度学习相结合的代码漏洞检测方法。基于

定量信息流中的信息熵与条件熵对隐式流进行定量分析，提取污染路径，降低代码漏洞检测中的误报率；将包含污染路径

的代码片段转换成代码向量后输入到双向循环神经网络中进行训练。实验通过分别选取包含路径遍历、跨站脚本（XSS）

和SQL注入攻击3种类型的数据集进行训练和检测，验证了所提方法能够有效提高漏洞检测的准确率和效率。

关键词：隐式流；定量信息流；深度学习；漏洞检测；双向循环神经网络；静态污点分析；信息熵

中图法分类号：TP391.4文献标识码：A文章编号：1000-7024（2025）07-1951-08

doi：10.16208/j.issn1000-7024.2025.07.015

Codevulnerabilitydetectionbasedonimplicitflowanalysisanddeeplearning

HEZheng-yuan1，2，HECheng-wan1，2，CHENWei1，2，YUQiu-hui1，2+，YETing-rui1，2

（1.SchoolofComputerScienceandEngineering，WuhanInstituteofTechnology，Wuban430205，China；

2.HubeiProvincialKeyLaboratoryofIntelligentRobot，WuhanInstituteofTechnology，Wuhan430205，China）

Abstract：Toreducethehighfalsepositiverateinvulnerabilitydetection，acodevulnerabilitydetectionmethodbasedonimplicit

flowstatictaintanalysisanddeeplearningwasproposed.Thequantitativeanalysisonimplicitflowswasperformedusinginforma-

tionentropyandconditionalentropytoextracttaintpaths，therebyreducingfalsepositivesincodevulnerabilitydetection.Code

snippetscontainingthesetaintpathswereconvertedintocodevectorsandtheninputintoabidirectionalrecurrentneuralnetwork

fortraining.Experimentswereconductedbyselectingdatasetscontainingthreetypesofattacks，path