基于结构化文本及代码度量的漏洞检测方法

目前的源代码漏洞检测方法大多仅依靠单一特征进行检测,表征的维度单一导致方法效率低.针对上述问题提出一种基于结构化文本及代码度量的漏洞检测方法,在函数级粒度进行漏洞检测.利用源代码结构化文本信息及代码度量结果作为特征,通过构造基于自注意力机制的神经网络捕获结构化文本信息中的长期依赖关系,以拟合结构化文本和漏洞存在之间的联系并转化为漏洞存在的概率.采用深度神经网络对代码度量的结果进行特征学习以拟合代码度量值与漏洞存在的关系,并将其拟合的结果转化为漏洞存在的概率.采用支持向量机对由上述两种表征方式获得的漏洞存在概率做进一步的决策分类并获得漏洞检测的最终结果.为验证该方法的漏洞检测性能,针对存在不同类型漏洞的11种源代码样本进行漏洞检测实验,该方法对每种漏洞的平均检测准确率为97.96%,与现有基于单一表征的漏洞检测方法相比,该方法的检测准确率提高了4.89%~12.21%,同时,该方法的漏报率和误报率均保持在10%以内.     

基于XML /Schema 甲骨文语料库语料标注的研究

对语料库进行语料标注是实现原始语料信息计算机可读的关键.采用XML+XML Schema对甲骨文语料库进行结构化标注,使不同类型的数据表示成统一的格式,方便数据的交换与共享.给出了一种依据XML文档中使用的词汇集,对词汇集进行建模来约束XML文档中使用的元素和属性及其之间的结构关系和数据类型.根据定义好的XMLSchema使用XML对甲骨文信息进行结构化标注,可以准确地描述数据的结构及数据类型.     

"元数据模型"在数据提取中的实现

大量分散的形式及不同格式的数据给现代数据处理带来了越来越大的困难.为统一数据形式以利于数据操作和处理,讨论了将形式多样的数据格式转换成统一的XML(extensible Markup Language)格式的问题.在计算机网络中,应用"元数据模型"技术,对数据源中不同格式文件数据,按照预先定义的XML模板,以格式说明文件结构统一描述,并提取数据或作进一步的处理,最后转换为XML格式输出.设计了具体的实现策略以及实现流程:实现了从TXT文件格式数据中提取数据转换成XML格式的代码,将TXT文件数据提取成XML格式的数据;完成了数据说明文件格式的设计,数据路径选择工具的开发,语言分析工具的设计开发等工作.结果表明:能满足同类产品的按行(line)为单位的源数据结构形式处理,还具有同类产品不具备的非行(字符串和关键字)提取处理功能.     

基于本体的源代码重构知识库

源代码重构技术来源于软件开发中的经验总结,提出了一种更系统化的基于本体技术的源代码重构方法.通过使用本体来组织已有的基于经验的源代码重构知识,并使用网络本体描述语言(OWL)进行描述,进而建立源代码重构知识库.这就使得重构知识以一种更系统化的方式被保存下来,不仅是形式的,而且是可复用的,易于在开发人员之间共享源代码重构知识.该方法为源代码重构技术的相关研究提供了一种新思路,同时可以为源代码重构工具的开发提供支持.     

模型检验技术在软件漏洞自动挖掘中的应用

将在工业设计领域应用很成功的模型检验技术引入到信息技术软件产品的安全漏洞挖掘中,提出了针对源码的漏洞挖掘系统原型,以开放源代码的操作系统Linux为例,建立了特权释放和文件创建的安全属性模型,并举例加以验证.研究结果表明:该方法是一种自动化挖掘软件安全漏洞并证明漏洞存在性的形式化方法,对挖掘已经确认机理类型的漏洞非常有效.     

基于XML的安全策略描述语言规范

结合安全策略描述语言的要求和XML语言的优点,提出了一套基于XML的安全策略描述语言规范XBPL.阐述了其基本元素以及授权、职责和认证3种基本安全策略,给出了基于XML的相关语法描述,并用XBPL描述了访问控制中常用的BLP多级安全模型,实现了基于BLP模型最基本特性--简单安全性和*-特性的安全访问控制以及访问控制系统中的状态描述和状态转换.研究结果表明,XBPL语言具有较好的实用性、灵活性和动态特性.     

一种支持互操作的非结构化文档管理技术

非结构化信息在计算机信息中占了大量份额.非结构化信息分为书面文档信息和流媒体两种,其中书面文档是主要表现形式之一.提出了一种实现可扩展的,支持互操作的非结构化文档管理平台SEP(Sursen exchangeable platform).SEP是针对书面文档的描述、存储、处理、管理、安全的基础技术平台,是非结构化信息处理技术领域中的核心技术.SEP是第一个支持UOML(unstructured operation markup language)标准的非结构化文档管理系统.     

异构信息源集成技术

异构信息源集成技术提供统一接口,使各种基于因特网的应用能迅速、准确地提取所需信息,为用户屏蔽各种信息源的异构性.这种异构信息源的集成技术从传统的结构化的异构数据库扩大到半结构化的大量Web页面信息及无结构的信息.对集成技术的方法,如数据模型、Web信息、描述语言XML、主流软件开发技术及信息智能搜索、查询重写、查询分析等进行了分析,给出了半结构化异构信息源集成的系统架构,并指出该项技术未来发展趋势.     

XCODE:一种面向系统软件的可扩展构件描述语言

给出了一种称为XCODE的构件描述语言.作为一种基于XML的语言,XCODE可以被用于不同目的场合.它提供了一种可扩展的、独立于工具的方法,可服务于描述编译、链接、运行时刻构件的不同侧面.     

基于词向量模型的漏洞检测方法

针对漏洞检测领域面临的实验平台不统一、数据集异构等问题,研究词向量模型在C/C++函数漏洞检测方面的应用.用5种词向量模型对源代码生成的抽象语法树结构进行知识表示,用6种神经网络模型进行漏洞检测,实验结果表明,函数级代码具有浅层的语义关系,代码块内部联系紧密.     

基于组件依赖图的软件安全漏洞预测方法

针对软件安全漏洞预测,提出了一种基于组件依赖图的预测方法.基于组件依赖图综合定义了软件代码的复杂性、耦合性以及内聚性指标,同时采用这3类指标建立了机器学习模型对一个组件的漏洞进行预测.以开源软件Mozilla Firefox为实验对象,设计并实现爬虫工具,收集了针对从Mozilla Firefox 1.0到Mozilla Firefox 43的所有版本的公开漏洞.基于这些漏洞数据对预测模型进行训练和测试,结果表明所提出的方法能够有效用于漏洞预测.      

基于逆向工程的Android应用漏洞检测技术研究

Android应用程序面临着各种各样的安全威胁,针对如何在黑客利用Android程序漏洞攻击前发现潜在漏洞的漏洞检测技术研究,提出了一种基于APK逆向分析的应用漏洞检测技术.在逆向反编译APK静态代码的基础上,运用特征提取算法将smali静态代码解析转换为函数调用图作为特征来源,建立原始特征集合提取模型,继而通过改进ReliefF特征选择算法对原始特征集合进行数据降维,提取APK包中的漏洞特征向量,依次构建漏洞的检测规则.再结合Android漏洞库收录的漏洞特征对特征向量进行正则匹配,以挖掘其中潜在的安全漏洞.基于该检测方法实现了系统模型并进行对比性实验,实验结果表明此检测方法的漏洞检出率达91%以上.因此,该漏洞检测技术能够有效挖掘Android应用中常见的安全漏洞.     

DFTL:一种用于数据格式转换的描述语言

针对异构数据格式转换问题,提出一种基于上下文无关文法(Context-Free LanguageCFG)的数据格式转换描述语言(Data Format Transformation Language DFTL)。DFTL采用XMLSchema描述数据的逻辑结构,定义扩展标记描述数据解析和模型映射规则。实验研究证明,基于DFTL可实现不同类型的数据格式到XML格式的转换,为异构数据访问提供统一的XML视图。     

XML技术在变电站自动化系统中的应用

变电站自动化系统要求开发一种能够描述变电站配置的工具.XML由于具有自定义性和可扩展性、数据内容与显示处理分离等优点被广泛应用于电网自动化系统中.IEC61850中的SCL就采用XML作为变电站配置描述语言.在对SCL对象模型进行分析后,介绍了XML在变电站自动化技术中的应用.     

XML技术在变电站自动化系统中的应用

变电站自动化系统要求开发一种能够描述变电站配置的工具.XML由于具有自定义性和可扩展性、数据内容与显示处理分离等优点被广泛应用于电网自动化系统中.IEC61850中的SCL就采用XML作为变电站配置描述语言.在对SCL对象模型进行分析后,介绍了XML在变电站自动化技术中的应用.     

XML在现代远程教育资源建设中的应用

信息提供者可以根据需要运用XML语言,自行定义标记及属性名,结构化地描述信息内容.其具有简单、开放、可扩充、灵活、自描述等特性,从而能够使不同来源的结构化的数据很容易的结合在一起,在远程教育资源建设中得到了广泛的应用.首先介绍XML语言的基本知识,然后对XML在现代远程教育资源建设中,资源的结构组织和管理方面的应用进行了分析.     

代码注释演化及分类研究综述

代码注释是软件源代码的一个组成部分,其包含了有关软件源代码实现功能的底层信息,通常简要描述编程人员的假设和意图,是辅助相关软件开发人员理解软件源代码的有效方式。作为程序理解的一个延伸分支,代码注释在软件开发、维护、重构、复用及逆向工程等领域中更显得尤为重要。为了更好地使用代码注释,充分发挥其作用,有必要深入理解代码注释,从代码注释的发展规律和软件编程人员添加注释的目的两方面展开分析,探究代码注释与源代码的协同进化关系以及代码注释的不同用途,归纳总结源代码注释演化及分类,并对其相关方法进行剖析,通过整理总结,提出该研究领域目前存在的问题和未来方向。     

基于特征匹配的Android应用漏洞分析框架

Android平台应用数量迅速增长,随之而来的安全问题也日益增多。但现有分析工具大多数只对应用进行简单的扫描,较少涉及深层次的数据流分析,因此某些漏洞无法有效地被发现。该文基于对已有Android应用漏洞特征的归纳,提出一种Android应用漏洞的静态分析框架。从Manifest文件扫描、Smali代码危险函数分析、数据流分析等3个层面归纳了7类主流安全漏洞模式,依此构建了漏洞检测规则,并结合相关静态分析技术对应用进行分析,以发现其中存在的安全漏洞。通过对323个Android应用程序的实验分析,结果表明:该框架的有效检出率在70%以上,误报率在30%以下。因此,该框架能够有效发现Android应用中常见的安全漏洞,提高用户安全性。     

基于抽象语法树和图匹配网络的代码作者身份识别

源代码作者身份识别有助于解决恶意代码攻击溯源、代码剽窃、软件侵权等问题，本文提出一种新的基于图匹配网络和抽象语法树的源代码作者身份识别方法.首先，通过删除注释、统一换行符、制表符预处理源代码，消除不同集成开发环境和代码布局的影响；然后，基于数据增强抽象语法树将源代码转换为树结构，添加不同类型的边构建代码特征图，不仅关注语法和句法特征，还提取了代码中数据流和控制流特征；接着使用特征图训练图匹配神经网络，生成源代码的图嵌入特征向量；最后，使用孪生神经网络对输出的两个图嵌入特征向量进行计算，识别源代码作者身份.实验结果表明，本文的方法在包含1000位程序员的Google Code Jam数据集上达到了95.60%的准确率，与现有的源代码作者身份识别方法相比，提高了准确率和扩展性.     

XML中的信息隐藏

XML作为Internet上的信息交换格式,XML(Extensible Markup Language,可扩展标记语言)一出现, 使得到广泛的应用和支持,它将掀起新一轮数据处理和网络应用开发的革命.XML不是一种普通的文本语言,它用于置标电子文档,是一种使其数据具有结构化的置标语言.利用XML的这一特性,可以将秘密的信息隐藏到XML文本中. 这种方法主要是基于XML不是一种普通的文本文件,而是一种结构化的丈本.通过改变XML的标示字体的物理特性, 或变换DTD声明及其应用能量中的原始XML文档的逻辑结构,将信息隐藏到XML的原始文档中.