2024年最新VulBG 构建行为图加强基于深度学习的漏洞检测模型(1)

目前大部分方法将漏洞语义提取的工作留给了神经网络，这是不合适的，因为漏洞往往只存在于函数的一小部分。将整个函数传递给神经网络模型会引入与漏洞无关的大量信息。此外，现有方法只关注一个函数，忽略了函数之间的潜在联系。函数是实现某些功能的代码集合。即使两个函数实现的功能完全不同，它们的子任务中也可能存在共同的逻辑、算法和编程模式。

2 解决方案

论文将行为定义为代码中实现特定功能的逻辑、算法或编程模式，并将每个函数视为一组行为。因此，函数之间的联系可以通过它们各自的行为来解决。漏洞可能存在于一个行为中，也可能存在于一组行为中。建立了一个行为图模型（Behavior Graph Model）来连接不同函数的行为，并利用它来增强现有基于 DL 方法的检测能力。首先进行程序切片，将函数分割成一组切片，并将每个切片视为函数的一种行为。然后，根据不同函数中不同程序切片（即行为）的相似性计算，构建行为图。在获得全局行为图之后，采用节点嵌入技术将每个节点（即函数）转换为向量表示，作为函数的行为特征。论文的贡献如下：

1. 提出了一种新思路，即从函数的源代码中提取抽象行为，并构建行为图（Behavior Graph），将不同函数的行为关联起来，从而辅助漏洞检测。
2. 实现了 VulBG 框架，通过将行为图与其他基于 DL 的 VD 模型相结合，提高漏洞检测的性能。
3. 对 VulBG 进行了评估，并选择了五个最先进的 VD 模型作为基线模型。实验结果表明，VulBG 提升了所有基线模型的漏洞检测性能。

论文按语义分割函数，提取函数的抽象行为，而不是试图获取包含完整易受攻击语义的切片。通过对潜在的易受攻击操作进行切分，将函数分解为多个片段。每个片段都包含函数的部分语义，将其视为函数的一个行为，然后可以用一组行为来表示函数。

3 系统架构

图 3 展示了 VulBG 的三个阶段：行为图构建、行为特征提取和模型融合。

• 行为图构建： 鉴于函数的源代码，使用切片和代码嵌入来获取函数的行为。通过对行为进行聚类，得到一组中心点行为，然后根据中心点行为和行为的相似性构建行为图。
• **行为特征提取：**对每个函数节点进行图嵌入，将其转换为向量，然后使用多层感知器（MLP）进一步处理函数的行为特征。
• **模型融合：**采用了模型融合的方法，将行为特征与（TextCNN、ASTGRU、CodeBERT、Devign 和 VulCNN）等模型提取的特征结合起来，共同进行分类。
• 
• 图 3 VulBG 的基本架构

3.1 行为图构建

行为图旨在表示函数间的联系，由函数节点和行为节点质心（切片）构成，行为节点表示为聚类的质心，函数节点表示该行为的所属函数。

图 4 行为图示例

图 4 为一个行为图的实例。其中 B1、B2、…、B7 为各个函数的行为；CB1、CB2、CB3 为多个相似行为通过聚类后得到的质心；F1、F2、F3 为函数。用质心表示所有相似行为，并将函数与质心相连得到最终的行为图，其中 边 基于函数行为到质心的欧几里得距离 设置的权重。

图 5 行为图构建流程

图 5 展示了行为图的构建流程，大致可以分为 4 个部分：代码切片、代码嵌入、K-Means 聚类以及图构建。

3.1.1 代码切片

不同于常规的代码切片方法将完整的 源程序/函数 处理为单个切片，文中根据兴趣点/关注点将函数切分为多个切片（行为）。论文将漏洞关注点归纳为两点：

• API 调用：API 的误用可能会导致 BOF、UAF、IF 等漏洞。根据 API 函数的参数进行后向切片，根据该函数的返回值进行前向切片
• 内存操作：分为指针类型变量和数组类型变量，对这类操作进行后向切片。

基于上述两类兴趣点/关注点，对每一个函数执行代码切片。代码切片通过源代码分析工具 Joern 实现。切片所需要的数据流依赖和控制流依赖通过 Joern 生成的 PDG 和 CFG 获得，操作包含的变量通过 Joern 的查询结果得到。对于每一个待切分的变量，在对应的CFG 中向前和向后遍历，收集存在数据依赖的语句和变量。在生成的所有切片中，大约 95.8% 的切片少于 64 个单词。

3.1.2 代码嵌入

函数的行为表示为多个文本形式的代码切片。论文采用 CodeBERT 模型对函数行为进行嵌入，它可以获取代码序列的长距离依赖关系，并使模型关注代码序列中的重要部分（多头注意力机制）。在论文中，每一个行为（切片）被编码为一个长度为 768 维的向量。

3.1.3 聚类

如果直接以一个源程序中的所有行为构建图，那么该图会很复杂、庞大，不利于后续处理。文中采用 K－Means 聚类算法中的特殊变种 MiniBatchKMeans 对提取到的一系列行为进行聚类，将多个相似的行为聚类为一簇，以减少图的节点向量，使信息更加聚集。

3.1.4 图构建

分别连接函数和其对应的行为，构建行为图。不同的行为之间存在差异，利用行为的相似性（行为节点到聚类质心的欧几里得距离）设置边的权重。两个行为越相似，它们的嵌入结果越相近。

3.2 行为特征提取

在得到行为图后，利用 Node2Vec 将行为图中的函数节点编码为长度为 128 维的向量，并将图向量输入到 4 层的 MLP 分类器中，输出最后一层隐藏层的值作为本文提取到的漏洞行为特征。

3.3 模型融合

如图 6 所示，在得到行为特征向量后，运行其它基线方法获取对应的特征向量，将二者进行 concatenate 融合，输入到输出层，得到最终的预测值。 论文中的基线方法包括 TextCNN、ASTGRU、CodeBERT、Devign、VulCNN 五种。

图 6 VulBG 模型融合架构

4 实验评估

4.1 实验设置

实验数据集采用两种真实世界的数据集：FFMpeg+Qemu （Devign），Chrome+Debian （Reveal）。数据集的详细信息如表 1 所示。

表 1 数据集统计

实验采用 Precision §，Recall ®, F-measure (F1) 三个指标来评估 VulBG 的漏洞检测性能：

P = TP / TP + FP；R = TP / TP + FN；F1 = 2 * ( P * R / P + R).

其中 TP：true positive；FP：false positive；TN：true negative；FN：false negative.

4.2 实验评估

如表 2 所示， 行为图模型实现了较高的 F1（56.1%）和 Recall（61.2%）。就 F1 和 Recall 而言，在六种方法中，行为图模型在 FFMpeg+Qemu 数据集上排名第一，在 Chrome+Debian 数据集上排名第二，这已经证明行为图模型在漏洞检测中效果良好。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！