vulsniper

最新推荐文章于 2023-08-14 17:42:44 发布
最新推荐文章于 2023-08-14 17:42:44 发布
阅读量561 收藏
点赞数
分类专栏: 文章笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/khy123khy/article/details/107353118
版权

VulSniper: Focus Your Attention to Shoot Fine Grained Vulnerabilities

IJCAI19

提出了一种新的程序建模方法

提出了一种新的网络结构

建模方法:

  1. 生成代码属性图(CPG)。

    用 Joern 生成代码代码属性图(CPG),然后存在Neo4j数据库中。

    作者将生成的CPG简化了,只保留了CFG和AST。

  2. 将简化后的代码属性图(CPG)转化成特征张量。

    特征张量T(G)的shape是(n,n,m)。G表示的是代码性质图,包括有n个节点{v1,v2,…,vn}。任意ti,j,k属于T(G)都需满足以下条件:

    f(k)表示的是第k个相关特征,relations(vi,vj)表示的是节点vi,vj之间的关系特征。当relations(vi,vj)与f(k)之间的关系满足某条件时那么就返回 true。

    m值的大小是根据不同的编程语言来确定的,这里的m值是144(这个144指的与C/C++相对应的特征个数)。

将程序进行语义分割???

即每个程序语句是什么具体语义。(首先要对程序语句的语义进行规范,总结。一共有哪几种语义)

搞清楚一个问题,漏洞是程序语句中的实际某个token(这个token可以表示某个变量,函数等)对这些的影响。

即漏洞归根到底是不合适的操作导致的 还是不合适的数据导致的,还是两者的结合。

数据集的规范问题???

不同的paper中都有自己的数据集。比如对于都是从SARD中提取出来的函数源码,如果只是二分类问题即程序是否有漏洞,那么这个这个label应该也是一致的。这种情况下,如果因为不同的建模需要,对源码进行的预处理,这个我认为不算作在数据集规范里。

匡小萌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
源码分析工具 joern 的高级用法
SHELLCODE_8BIT的博客
02-27 344
源码分析工具 joern 的高级用法
Joern cpg 代码属性图查询使用教程
SHELLCODE_8BIT的博客
10-04 1096
测试项目可以用 owasp 的 webgoat、benchmark,这里以 owasp benchmark 的 BenchmarkTest01064.java 为例。
论文阅读笔记——基于CNN-GAP可解释性模型的软件源码漏洞检测方法
IronmanJay的博客
11-13 1653
本文是基于CNN-GAP可解释性模型的软件源码漏洞检测方法论文的阅读笔记,这是读到目前论文中唯一一篇中文论文,内容我个人觉得非常不错,很有借鉴价值,尤其是文中提出的关于源码漏洞的可解释性可视化分析的方法,对学习研究有很大的帮助。下面就随我一起好好欣赏这篇文章!
joern安装+简单使用
最新发布
weixin_44019380的博客
08-14 1167
joern安装及简单使用
JOERN 2023最新版本 从安装到CPG绘制
wfwp_的博客
03-28 2535
vim操作可查看:https://blog.csdn.net/weixin_43366437/article/details/123295845。参考:https://blog.csdn.net/weixin_43366437/article/details/123295845。跟据系统自带JAVA JDK来安装,参考:https://www.jianshu.com/p/5a25b9535016。这里点开的是1-pdg.dot(点开0-pdg.dot是空白文件,有懂哥知道是为啥吗)然后将以下内容粘贴进去。
VulDeeLocator
khy123khy的博客
07-15 1440
VulDeeLocator: A Deep Learning-based Fine-grained Vulnerability Detector μvuldeepecker的再升级,不仅能检测出漏洞而且能够定位到具体的位置。 https://github.com/VulDeeLocator/VulDeeLocator 主要的思想是通过中间代码来实现的。有两个关键名称的定义是 程序P。程序P是由一个个pi(不同的程序文件)组成的。每个程序文件pi又是由不同的函数、宏定义fij组成的。每个函数、宏定义fij又
用joern画AST、CFG、CDG、DDG、PDG、CPG
^_^
01-07 9362
之前写了一点joern的博客,发现很多人在问我怎么画图。确实,用joern这个工具的话,画代码属性图是这个工具的亮点了。 这篇文章怎么说呢,也可以看作是对官方文档的翻译和实现吧。 能搜到这篇文章,想必应该是搜到上面的一个图的名字进来的。就不详细介绍每个图了,就简单介绍下缩写的含义。 AST:abstract syntax tree CFG:control flow graph CDG:Control Dependence Graphs DDG:Data Dependence Graphs PDG:Prog
Joern(版本v1.0.141) 的简易教程
^_^
06-18 2178
这篇文章主要介绍一下Joern v1.0.141的使用,官方文档见这:https://joern.io/docs/。 之前的博客主要集中在讲joern 0.3.1的用法,官方文档:https://joern.readthedocs.io/en/latest/ 由于joern 0.3.1的安装比较繁琐,我没成功安上,倒是新版本很容易地安好了。(可能过个几年,这个新版本也变成了老版本=_=) 言归正传,Joern的使用流程比较简单,主要分为两个部分。 导入代码生成代码属性图CPG 首先我们可以从github上找
如何运行Joern中的script
qysh123的专栏
04-20 878
这篇博客接上一篇的内容,总结一下怎么运行Joern自带的一些示例性的script。 按照这里的介绍:https://joern.io/docs/shell/,当我们在Joern的shell中用loadCpg("cpg.bin")这种方法加载Code Property Graph后,可以直接运行诸如: cpg.runScript("general/pdg.sc") 这样的命令,来加载并运行脚...
从分析一个简单的程序入门joern的用法
^_^
06-26 3752
官网给了一个简单的教程,这篇文章就是按github上的文档来实践的。 网址:https://github.com/ShiftLeftSecurity/joern/blob/master/docs2/docs/quickstart.mdx 这个工具的作者最近更新频率好高。太强了。 文章目录获取样本程序打开joern的shell导入代码查询代码属性图关闭工程 获取样本程序 这里用joern作者提供的一个样本程序叫x42 $ git clone git@github.com:ShiftLeftSecurity.
使用Joern来生成code property graph的过程记录(包括目前存在的问题)
qysh123的专栏
04-13 1694
不得不说,这些工具的易用性和文档的可读性,还是有很大的问题的。 Joern的论文发表在04年的Okland上。其目前的官网是:https://joern.io/docs/,这里简单介绍一下按照官网流程安装和使用时遇到的问题: 首先,按照这里的介绍:https://joern.io/docs/installing/可以很轻松地看到说明里的界面。但是我们的目的是想很快生成其code proper...
引入注意力机制的细粒度实体分类
彩虹糖的博客
04-06 5233
实体分类相关论文阅读第一篇:An Attentive Neural Architecture for Fine-grained Entity Type Classification这篇论文来自UCL自然语言处理实验室,发表于2016年。细粒度实体分类是在构建知识图谱过程中非常重要的内容,关于实体分类相关的文献也比较多,也有不少分类方法,但是我们如何在非结构化的文本中确定出一个我们想要的细粒度实体,...
joern常用查询命令
^_^
07-10 991
这里记录了一些joern常用的查询操作,以防我自个忘记以前是怎么操作的了… 简单的查询 先列几个作者在华为演讲ppt里列的几个基本查询: PPT可以在这里下载:https://fabs.codeminers.org/talks/2019-joern.pdf 序号 语句 功能 1 cpg.method.where(_.parameter.size > 4).l 列出所有参数个数大于4的方法 2 cpg.method.where(_.controlStructure.size .
Joern查询进阶
^_^
07-10 1011
这篇文章主要介绍如何用joern进行更灵活地分析源码,适用于Joern 1.x版本 Joern提供了一种基于Scala的查询语言。这种方式的好处是自动继承了所有宿主语言的特性。所以我们可以实用scala编程方式去编写joern的脚本。这篇文章将介绍joern查询语言的基础概念,并举例子介绍。 PS:在查询之前,我们需要使用importCpg或者loadCpg来导入joern-parse生成的代码属性图。 importCpg("../output/testcode.bin.zip") 节点,标签,表达式.
注意力机制+细粒度分+Residual Attention Network
xuyunyunaixuexi的博客
02-22 1947
首先要mark一下对Residual Attention Network for Image Classification讲解特别好的一篇文章: https://blog.csdn.net/auto1993/article/details/78315229
transform code to graph with joern
khy123khy的博客
07-16 663
文章目录AST 现在用joern来构建代码属性图。joern可以生成AST,CFG,PDG,然后将这三者全部融合在一起。对于GNN来说,输入需要各个节点的属性以及节点之间的关系。因此,下面有两种方式来用joern构建,一种是直接用其生成的CPG来进行处理;第二种方式是分别将生成的三种结构进行组合。 用joern生成的这三种图的存储方式都可以通过json对象或者json string的形式进行存储。(那么这三种结构中的节点,是否能够统一联系在一起?) AST 用joern可以将函数解析出来生成AST,这个AS
代码属性图之-joern简易教程
water_likly的博客
04-20 4553
一 Joern实例分析 在Joern中发现了一个实例教程,本着学习的态度,尝试复现这个过程,以增加自己的经验!严谨转载,欢迎讨论! 1 正常安装joern以及neo4j。 2 建议下载教程中的VLC版本。 cd $JOERN #joern目录 mkdir tutorial; cd tutorial #创建并转入tutorial wget http://download.videolan....
joern 基本使用介绍
热门推荐
qq_36281420的博客
03-08 1万+
这里joern写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何
Joern工具下载与使用
weixin_43723467的博客
05-15 1607
Joern工具安装与使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值