软件学报 ISSN 1000-9825, CODEN RUXUEW                                        E-mail: jos@iscas.ac.cn
                 2025,36(7):3134−3150 [doi: 10.13328/j.cnki.jos.007341] [CSTR: 32375.14.jos.007341]  http://www.jos.org.cn
                 ©中国科学院软件研究所版权所有.                                                          Tel: +86-10-62562563



                                                                         *
                 基于函数间结构特征关联的软件漏洞检测方法

                 邱少健  1,2 ,    程嘉濠  1 ,    黄梦阳  1 ,    黄    琼  1,2


                 1
                  (华南农业大学 软件学院, 广东 广州 510642)
                 2
                  (广州市智慧农业重点实验室, 广东 广州 510642)
                 通信作者: 黄琼, E-mail: qhuang@scau.edu.cn

                 摘 要: 漏洞检测是软件系统安全领域的关键技术. 近年来, 深度学习凭借其代码特征提取的卓越能力, 在漏洞检
                 测领域取得了显著进展. 然而, 当前基于深度学习的方法仅关注于代码实例自身的独立结构特征, 而忽视了不同漏
                 洞代码间存在的结构特征相似关联, 限制了漏洞检测技术的性能. 针对这一问题, 提出了一种基于函数间结构特征
                 关联的软件漏洞检测方法         (vulnerability detection method based on correlation of structural features between functions,
                 CSFF-VD). 该方法首先将函数解析为代码属性图, 并通过门控图神经网络提取函数内的独立结构特征. 在此基础
                 之上, 利用特征之间的相似性构建函数间的关联网络并构建基于图注意力网络进一步提取函数间关联信息, 以此
                 提升漏洞检测的性能. 实验结果显示, CSFF-VD           在  3  个公开的漏洞检测数据集上超过了当前基于深度学习的漏洞
                 检测方法. 此外, 在函数内各独立特征提取的基础上, 通过增加                 CSFF-VD  中函数间关联特征提取方法的实验, 证明
                 了集成函数间关联信息的有效性.
                 关键词: 漏洞检测; 代码结构特征; 函数关联; 图注意力网络
                 中图法分类号: TP311


                 中文引用格式: 邱少健, 程嘉濠, 黄梦阳, 黄琼. 基于函数间结构特征关联的软件漏洞检测方法. 软件学报, 2025, 36(7): 3134–3150.
                 http://www.jos.org.cn/1000-9825/7341.htm
                 英文引用格式: Qiu SJ, Cheng JH, Huang MY, Huang Q. Software Vulnerability Detection Method Based on Correlation of Structural
                 Features Between Functions. Ruan Jian Xue Bao/Journal of Software, 2025, 36(7): 3134–3150 (in Chinese). http://www.jos.org.cn/1000-
                 9825/7341.htm

                 Software Vulnerability Detection Method Based on Correlation of Structural Features Between
                 Functions

                                          1
                           1,2
                                                           1
                 QIU Shao-Jian , CHENG Jia-Hao , HUANG Meng-Yang , HUANG Qiong 1,2
                 1
                 (College of Software, South China Agricultural University, Guangzhou 510642, China)
                 2
                 (Guangzhou Key Laboratory of Intelligent Agriculture, Guangzhou 510642, China)
                 Abstract:  Vulnerability  detection  is  a  critical  technology  in  software  system  security.  In  recent  years,  deep  learning  has  achieved
                 remarkable progress in vulnerability detection due to its outstanding ability in code feature extraction. However, the existing deep learning-
                 based  methods  only  concentrate  on  the  independent  structural  features  of  code  instances,  overlooking  the  structural  feature  similarities  and
                 correlations  among  different  vulnerable  codes,  which  limits  the  performance  of  vulnerability  detection  technology.  To  address  this  issue,
                 this study proposes a vulnerability detection method based on correlation of structural features between functions (CSFF-VD). This method
                 first  parses  functions  into  code  property  graphs  and  the  independent  structural  features  within  functions  are  extracted  by  using  gated  graph
                 neural  networks.  On  this  foundation,  an  association  network  among  functions  is  constructed  based  on  feature  similarity,  and  a  graph


                 *    基金项目: 国家自然科学基金  (62272174); 广东省基础与应用基础研究基金    (2022A1515110564); 广州市智慧农业重点实验室项目
                  (201902010081)
                  本文由“新兴软件与系统的可信赖性与安全”专题特约编辑向剑文教授、陈厅教授、杨珉教授、周俊伟教授推荐.
                  收稿时间: 2024-08-26; 修改时间: 2024-10-15; 采用时间: 2024-11-25; jos 在线出版时间: 2024-12-10
                  CNKI 网络首发时间: 2025-04-17