【论文笔记】《A deep learning based static taint analysis approach for IoT software vulnerability location》

最新推荐文章于 2023-08-07 12:29:31 发布
最新推荐文章于 2023-08-07 12:29:31 发布
阅读量412 收藏
点赞数 1
分类专栏: 论文笔记 文章标签: 深度学习 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42327177/article/details/113505269
版权

《A deep learning based static taint analysis approach for IoT software vulnerability location》

之前一直在搜静态污点分析的论文,偶然看到这篇深度学习的论文,正好导师最近让我们看神经网络相关的论文,于是点开了这篇论文浏览。话不多说,进入正题。

In this paper, a deep learning based static taint analysis approach is proposed to automatically locate Internet of Things (IoT) software vulnerability, which can relieve tedious manual analysis and improve detection accuracy. Deep learning is used to detect vulnerability since it considers the program context.

大概是说可以自动定位物联网软件漏洞的位置并且提高检测精度。使用深度学习是因为它考虑程序上下文。

此时我就提出了一个小问题:这个方法如何定位到漏洞位置?
带着这个小问题,继续往下读。

论文贡献

  1. First, we propose three taint selection principles to determine the original taints. 作者提出三种污点选择原则来确定原始污点。
  2. Second, we propose the taint weight calculation method to select taint with high weight. 作者提出了污点权重计算方法来选择高权重的污点。
  3. Third, we develop the deep learning-based IoT software vulnerability location system and evaluate its effectiveness using the Code Gadget Data
最低0.47元/天 解锁文章
不会敲代码的Frank
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Taint analysis
03-19
污点分析(Taint Analysis)是一种安全分析技术,主要用于跟踪数据在系统中的流动,特别是用于检测潜在的安全漏洞,如信息泄露或数据污染。在IT领域,尤其是移动设备和应用程序的安全管理中,污点分析扮演着至关重要...
文献阅读08-VulDeePecker-深度学习的漏洞检测首系统
最新发布
m0_51173898的博客
01-31 1750
预处理使用代码小片段(code slice)组装为函数调用小部件(code gadget),然后使用word2vec向量化,放入BLSTM进行训练。数据集来自NVD和SARD。整体是一个二元分类问题。
VulDeePecker复现
F_Hawk__的博客
08-07 252
VulDeePecker复现
通过混合编程分析的方法和机器学习预测Web应用程序的漏洞
kexinxin1的博客
12-20 215
通过混合编程分析的方法和机器学习预测Web应用程序的漏洞 由于时间和资源的限制,web软件工程师需要支持识别出有漏洞的代码。一个实用的方法用来预测漏洞代码可以提高他们安全审计的工作效率。在这篇文章中,作者提出使用混合(静态和动态)代码属性来识别输入验证和输入检查的代码模式以用来标识web应用程序的漏洞。因为静态和动态程序分析相互补充,因此经常通过这种方法来提取合适的属性。现在的漏洞预测技术依靠带...
static taint IoT vul location
khy123khy的博客
07-15 337
A deep learning based static taint analysis approach for IoT software vulnerability location Measurement elsevier 19 作者提出了一种基于静态污点分析的漏洞检测方法,前端是一个静态污点分析,后端是一个深度学习。 可以分为四个部分: patching comparison (补丁比对) 将获得的diff file 输入静态污点分析模块。目前可用的一些diff 工具, Merge,Textdiff
effective taint analysis of web applications
01-12
O. Tripp, M. Pistoia, S. J. Fink, M. Sridharan, and O. Weisman. Taj: effective taint analysis of web applications. InPLDI,pages87–97,2009.
DTaint: Detecting the Taint-Style vulnerability in embedded device firmware
02-08
DTaint: Detecting the Taint-Style vulnerability in embedded device firmware
aura:大规模的Python源代码审核和静态分析
03-21
安全审核和静态代码分析Aura是一种静态分析框架,旨在应对PyPI上发布的恶意软件包和易受攻击的代码的日益增长的威胁。项目目标:为上传到PyPI的软件包提供自动监视系统,对可能指示正在进行的攻击或代码中的漏洞的...
TAINTalyzing:易于扩展的静态代码分析框架
01-29
TAINT分析 一个易于扩展的静态代码分析框架。 请参阅Dockerfile或Projekt/INSTALL.md以获取有关如何安装和使用框架的说明。 该框架使用静态代码分析来尝试查找潜在的用户控制输入和潜在的安全关键功能,以及两者...
VulDeePecker:VulDeePecker
03-11
VulDeePecker:基于深度学习的漏洞检测系统”(NDSS'18)的数据库 代码小工具数据库(CGD)专注于C / C ++程序中的两种类型的漏洞,错误漏洞(CWE-119)和资源管理错误漏洞(CWE-399)。 每个代码小工具均由多个程序语句(即代码行)组成,这些程序语句根据与某些库/ API函数调用的参数相关联的数据流相互关联。 基于国家漏洞数据库(NVD)和NIST软件保障参考数据集(SARD)项目,我们收集了520个带有相应差异文件的开源软件程序文件和8122个针对错误错误的测试用例,以及320个开源软件程序文件。带有相应的差异文件和1,729个测试用例的资源管理错误漏洞。 CGD数据库总共包含61,638个代码小工具,其中包括易受攻击的17,725个代码小工具和不易受到攻击的43,913个代码小工具。 在这17,725个易受攻击的代码小工具中,有10,440个对应于
VulDeePecker
04-08
VulDeeSmartContract 环境配置 请参照此处说明: . 代码组织 /code2vector # 将fragment转化为vector /dataset # 数据集 /model # 神经网络模型 load_data.py # 加载数据集,对外提供load_dataset这一接口 main.py # 程序运行的主函数 settings.py # 相关配置参数 util.py # 一些工具函数 基本使用 运行如下命令: > python main.py 改写main.py的内容以改变程序运行的逻辑. 如何添加一个模型 请参照model/gru.py内的实现,您需要定义一个类,并实现一些方法,例如: class ModelName: def __init__(self, ...): pass def fit(self, x,
Deep Learning based Recommender System: A Survey and New Perspectives
09-21
最新深度学习+推荐系统综述。 Œis article aims to provide a comprehensive review of recent research e‚orts on deep learning based recommender systems towards fostering innovations of recommender system research. A taxonomy of deep learning based recommendation models is presented and used to categorize the surveyed articles. Open problems are identi€ed based on the analytics of the reviewed works and discussed potential solutions.
A Deep Learning-Based System for Vulnerability Detection
diemie6916的博客
11-08 851
本篇文献作者提出了一种基于深度学习来检测软件漏洞的方案。 摘要:作者开始基于深度学习的漏洞检测研究,是为了减轻专家手工定义特性的繁琐任务,需要制定一些指导性原则来适用于深度学习去进行漏洞探测。出于这个目的,作者用代码 gadgets 来代表程序,然后把它们转化为向量,其中代码gadget是一些彼此语义相关的代码行。基于这设计了评估系统VulDeePecker,作者为深度学习...
可用于深度学习的源代码漏洞数据分析
smallyoki的博客
05-13 4864
可用于深度学习的源代码漏洞数据分析 介绍 海量的数据是应用人工智能的基石,深入了解数据有利于进一步开展相关研究。这批可用于深度学习的源代码漏洞数据来源于NDSS’18的VulDeePecker[1]提供的数据集,其数据均属于C/C++程序切片,通过从源代码中的某些可能与漏洞相关的API库函数为关注点根据数据流相关性前向后向提取语句组成程序切片,每个切片样本有对应的0或1标签,0表示无漏洞,1表示...
基于VulDeePecker的智能合约检测新方法
Messi-Q Blog
12-20 4015
基于VulDeePecker的智能合约检测新方法 (1)VulDeePecker是什么? VulDeePecker是基于深度学习的漏洞检测系统,主要针对C/C++代码的漏洞进行检测。它提出使用code gadgets来表示程序,然后将code gadgets转换成向量输入神经网络进行学习,利用学习后的模型进行漏洞检测。   (2)VulDeePecker的方法 它提出了使用code ga...
uvuldeepecker
khy123khy的博客
07-15 1222
μvuldeepecker:A Deep Learning-Based System for Multiclass Vulnerability Detection 对vuldeepecker的一个改进,多分类的漏洞检测系统。 提出了code attention的概念在code gadget 上的一个改进。 在原来的数据流依赖产生的code gadget上,加入了控制流依赖 提出了一种新的漏洞检测的网络结构 https://github.com/muVulDeePecker/muVulDeeP
A Deep Learning-Based System for Vulnerability Detection(一)
diemie6916的博客
11-09 691
  接着上一篇,讨论讨论具体步骤实现方法。步骤1-3分别在下面进行阐述,步骤4,6都是标准的,步骤5类似于步骤1-3。 结合这个图进行讨论详细步骤: 步骤1:提取库/API函数调用和程序片段 1.1将库/API函数调用分为两类:前向调用和后向调用,前向库/API函数调用是直接从外部输入接受一个或者多个输入的函数调用,例如命令行,程序,套接字或文件。后向库/API函数调用是不直接...
Taint analysis is only concerned with data dependence.这是对的吗
05-29
这个说法是不准确的。虽然数据依赖是污点分析的一个重要方面,但它并不是唯一关注的方面。污点分析还考虑了控制依赖和程序语义的影响。控制依赖是指程序执行流程中的条件分支和循环语句等控制结构,污点分析需要考虑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值