基于动态切片与预训练模型的代码漏洞检测

最新推荐文章于 2025-07-29 20:47:12 发布
原创 最新推荐文章于 2025-07-29 20:47:12 发布 · 757 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#语言模型 #安全 #深度学习

全文摘要

该论文提出了一种基于动态切片与预训练模型的代码漏洞检测方法,旨在解决传统基于深度学习的漏洞检测模型存在的问题,如准确性低、可扩展性差等。该方法通过动态切片获取包含路径特征的语句块,并利用预训练模型的语义提取能力将其表示为二维张量。然后,将代码结构和语义特征编码成灰度图像中的像素值,并借助Swin Transformer的特征提取能力,实现更准确的漏洞检测。实验结果表明,该方法能够有效降低误报率和漏报率,提高漏洞检测的准确性和可靠性。

论文实验

作者进行了三个对比实验来评估基于动态切片与预训练模型的代码漏洞检测方法的有效性:

  1. 实验一:该实验研究了基于动态切片与预训练模型的代码漏洞检测方法是否适用于多种漏洞类型。作者选取了4种漏洞类型和一个混合数据集进行实验,并选定了5个常用维度进行实验。实验结果表明,本文漏洞检测方法在代码嵌入时选取适当的高度能够提高检测的准确率,选取合适的张量高度,对不同的漏洞类型,本文检测方法都具有较好的适应性,准确率都可达94%以上。

  2. 实验二:该实验比较了Swin Transformer模型和其他3个分类模型(ResNet、MobileNet、ViT)的分类性能。实验结果表明,Swin Transformer在准确率、查准率和F1分数等指标上优于其他3个模型,其F1分数达到了93%以上,而另外3个分类模型的F1得分都不足90%,这表明Swin Transformer在各项性能指标上相对于其他模型都有显著的优势。

  3. 实验三:该实验将本文方法DyNSliceVuln与目前较为先进的漏洞检测方法进行对比(SySeVR、VulDeepEcker、VulCNN)。实验结果表明,本文方法DyNSliceVuln在F1得分和准确率上皆比VulDeepEcker、SySeVR和VulCNN高,F1分数分别高出13.38%、7.8%和5.02%,与此同时,准确率也分别提高了6.07%、3.37%和1.42%。本文方法DyNSliceVuln相比于VulDeepEcker、SySeVR使用的动态切片,同时考虑了控制流与数据流信息,更重要的在于考虑了路径执行情况,DyNSliceVuln比SySeVR、VulDeepEcker、VulCNN包含更多的程序语义。同时结合本文实验2结果可见,使用SwinTransformer模型作为漏洞特征提取器和分类器,借助SwinTransformer的自注意力机制以及局部感知机制,去捕获动态切片中的重要特征,提取相关漏洞的关键信息,可实现更准确地进行漏洞检测。

文章优点

  • 论文提出了一种基于预训练模型和动态切片的代码漏洞检测方法,具有更高的准确性和效率。
  • 动态切片能够反映程序的运行状态,能够检测到一些只有在特定运行状态下才会发生的错误,比静态切片更具实际意义。
  • 基于预训练模型的代码嵌入方式能够更好地保留程序的语义信息,结合动态切片可以实现更加有效的漏洞检测。

方法创新点

  • 通过引入预训练模型的方式,使得代码嵌入过程更加有效,能够更好地保留程序的语义信息。
  • 利用动态切片技术,能够更好地反映程序的运行状态,能够检测到一些只有在特定运行状态下才会发生的错误,提高了漏洞检测的准确性。

未来展望

  • 可以进一步探索如何优化动态切片算法,提高其性能和准确性。
  • 可以考虑将其他机器学习或深度学习技术应用于代码漏洞检测中,以提高检测效果。
  • 可以探索如何将这种方法应用到更大规模的软件系统中,并解决大规模数据处理和计算资源消耗等问题。
分析代码生成人工智能引入的常见漏洞
技术超强的网络安全平台
08-28 528
在当前的 AI 代码生成器工具市场上,有许多参者,包括等。这篇博文概述了开发人员在使用此类工具时面临的常见安全陷阱的示例。这篇文章的目的是提高人们的认识,并强调。一些供应商表示他们的自动完成工具可能包含不安全代码片段。许多文章已经强调自动完成工具会产生已知漏洞,例如、SQL 注入和 XSS。这篇文章将重点介绍其他更依赖于代码上下文的漏洞类型,在这些漏洞中,AI 自动完成很有可能将错误插入您的代码中。
AI驱动的代码审计变革:基于大语言模型漏洞模式识别架构解析
2501_91980039的博客
06-04 749
​:基于LLM的代码审计不是对传统SAST的替代,而是通过神经符号系统(Neural-Symbolic System)实现语义理解能力的维度跃迁。该架构已在Github开源项目CodeAuditX中实现核心模块。
运行谷歌开源BERT程序时遇到的bug修改记录
敷衍zgf的博客
10-20 977
记录在运行谷歌开源Bert程序时遇到的一些问题以及解决方案
【论文精读】BERT+漏洞可利用性
weixin_51491521的博客
05-25 526
今天我分享的论文是将迁移学习应用于网络安全:通过描述预测漏洞的可利用性abstract:如题目所示,本文所探讨针对的问题是 利用漏洞描述信息,构建 语言模型,实现 对漏洞可利用性的预测:如何理解:"漏洞描述信息:是早期阶段可访问的功能"意味着在软件漏洞被公开披露之初,其相关的描述信息是可以被获取和阅读的。这些描述信息通常由漏洞披露者或安全专家提供,包含漏洞类型、漏洞的性质、潜在影响、受影响的产品和厂商名称、受影响的版本摘要、影响、攻击者利用漏洞需要的访问权限以及涉及的重要代码组件或输入等丰富的细节。
【论文笔记】Pre-training by Predicting Program Dependencies forVulnerability Analysis Tasks
u010128010的专栏
06-18 1566
通过预测程序依赖性对漏洞分析任务进行预训练 ICSE '24 浙江大学和华为合作
[论文翻译]使用 BERT 检测安卓恶意软件
my991201的博客
08-19 1504
在本文中,我们提出了两项实证研究,以(1)检测安卓恶意软件和(2)将安卓恶意软件分为多个家族。我们首先(1)重现了 MalBERT 的结果,使用 BERT 模型学习 AndroZoo 数据集中 265k 个应用程序( MalBERT 的 22k 个应用程序相比)的安卓应用程序清单来检测恶意软件。MalBERT 论文的结果非常出色,但很难让人相信,因为清单只能大致代表一个应用程序,因此我们试图在本文中回答以下问题。MalBERT 的实验是否具有可重复性?权限对于恶意软件检测有多重要?
BVDetector: 基于程序切片的二进制代码漏洞智能检测系统
阿航的博客
09-18 2006
提出了BVDetector和二进制程序的细粒度表示,并引入深度学习技术来智能检测漏洞
基于图神经网络的切片漏洞检测及解释方法
renhongxia1的博客
06-19 790
源自:软件学报作者:胡雨涛 王溯远 吴月明 邹德清 李文科 金海随着软件的复杂程度越来越高, 对漏洞检测的研究需求也日益增大. 软件漏洞的迅速发现和修补, 可以将漏洞带来的损失降到最低. 基于深度学习漏洞检测方法作为目前新兴的检测手段, 可以从漏洞代码中自动学习其隐含的漏洞模式, 节省了大量人力投入. 但基于深度学习漏洞检测方法尚未完善, 其中, 函数级别的检测方法存在检测粒度较粗且检测准确率较低的问题, 切片级别的检测方法虽然能够有效减少样本噪声, 但仍存在以下两方面的问题: 一方面, 现有
去中心化时代的通信革命:briefingcpolar技术融合带来的安全范式革新
qq_62662919的博客
07-26 955
摘要:本文介绍如何在Linux Ubuntu系统使用Docker本地部署开源视频会议系统briefing,并通过cpolar内网穿透实现远程访问。briefing具有端到端加密、多因素认证等安全特性,支持高清视频通话和屏幕共享。Docker部署仅需一条命令即可完成,cpolar工具可创建公网地址实现异地访问。文章详细讲解了从Docker安装、briefing部署到cpolar配置的全过程,并提供了固定域名的方法,帮助用户无需公网IP即可搭建私有视频会议系统,兼顾安全便捷性。
安全漏洞】网络守门员:深入理解应用iptables,守护Linux服务器安全
07-26 1153
Linux中iptables的深入理解应用
【资讯】2025年软件行业发展趋势:AI驱动变革,云原生安全成核心
weixin_56334307的博客
07-26 907
2025年的软件行业正经历AI驱动的生产力革命,云原生安全成为企业核心竞争力,低代码重塑IT人才结构,开源生态在争议中探索新商业模式。拥抱技术变革并建立敏捷响应机制的企业,将在这场数字化转型浪潮中占据先机。
智能Agent场景实战指南 Day 23 : Agent安全隐私保护
最新发布
在未来等你的专栏
07-29 340
智能Agent处理的数据通常包含用户个人信息、商业机密等敏感内容。安全漏洞可能导致数据泄露、模型被攻击等严重后果。保护用户隐私数据不被泄露防止模型被恶意输入攻击(如Prompt Injection)确保API调用的认证和授权安全满足GDPR等合规要求智能Agent安全防护的四个关键层面:数据、模型、API、隐私防Prompt注入的多种技术组合差分隐私在数据收集中的应用医疗等敏感行业的特殊处理要求。
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 854
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
多租户Kubernetes集群架构设计实践——隔离、安全弹性扩缩容
qq_35716689的博客
07-27 841
深入探讨多租户Kubernetes集群的架构设计,涵盖命名空间隔离、网络安全策略、资源配额弹性扩缩容实践,为企业级场景提供可落地方案。
【Rust并发集合】如何在多线程中并发安全地使用集合
景天科技苑
07-29 1290
集合类型是我们编程中常用的数据类型,Rust 中提供了一些集合类型,比如`Vec<T>`、`HashMap<K, V>`、`HashSet<T>`、`VecDeque<T>`、`LinkedList<T>`、`BTreeMap<K,V>`、`BTreeSet<T>` 等。 要实现线程安全的 Vec,可以使用 Arc(原子引用计数)和 Mutex(互斥锁)的组合。 Arc 允许多个线程共享拥有相同数据的所有权,而 Mutex 用于在访问数据时进行同步,确保只有一个线程能够修改数据。
2025数字藏品安全保卫战:高防CDN如何成为NFT应用的“隐形护甲”?
2403_86962125的博客
07-29 620
2025年全球数字藏品市场突破$1000亿,但安全事件同步激增230%——某头部NFT平台因3.2Tbps DDoS攻击瘫痪,用户无法交易稀有藏品;:当藏品价值飙升时,攻击者早已举起屠刀——唯有前置防御,方能守护数字资产的价值根基!:某平台遭1.8Tbps UDP反射攻击,支付接口瘫痪3小时,用户资产无法转移。:某数字藏品平台接入后成功抵御800Gbps混合攻击,拍卖会0中断。:伪造海量API请求(如查询藏品详情),耗尽服务器连接池。:某平台未支持QUIC协议,海外用户加载延迟>5秒。
2025年SDK游戏盾终极解析:重新定义手游安全的“隐形护甲”
2403_86962125的博客
07-28 697
2025年全球手游市场规模突破$2000亿,黑客单次攻击成本却降至$30——某SLG游戏因协议层CC攻击单日流失37%玩家,某开放世界游戏遭低频DDoS瘫痪6小时损失千万。attackCheck: "RELAXED", // 宽松模式(高操作容忍):定位高频攻击IP段(如某棋牌游戏阻断越南IP后攻击↓90%):分析操作轨迹(如移动速度/技能冷却),识别外挂概率>92%:云端流量清洗,被动响应网络层攻击(如SYN Flood):客户端嵌入防护模块,主动拦截应用层威胁(外挂/协议篡改)
聚铭安全管家平台2.0实战解码 | 安服篇(三):配置保障 自动核查
juminfo的博客
07-29 277
SSH端口手动开启、防火墙规则被误删、关键配置遭篡改……人工操作难免疏漏;攻击者持续扫描探测,专门针对"加固后管理真空期"发起攻击。传统加固后依赖人工定期复查,成本高、周期长,漏洞暴露窗口期长达数周;等发现问题时,攻击者早已长驱直入,甚至潜伏数月……“加固不是一劳永逸,而是持续的战斗。”——但这场战斗,不应该靠人力硬扛!对此,聚铭安全管家平台2.0带来了全新解决方案。平台推出的「配置保障」功能,依托自动化核查机制,实现全流程智能监控,同时支持智能加固,确保安全状态始终在线、持续可靠!
yolov8行人检测预训练模型
05-14
<think>嗯,用户现在在找YOLOv8的行人检测预训练模型。首先,我需要确认YOLov8有没有官方的预训练模型。YOLOv8是Ultralytics维护的,他们通常会在模型库中提供各种预训练模型,比如针对COCO数据集的,里面应该包含行人这个类别,因为COCO有‘person’类别。所以用户可能可以直接使用官方的COCO预训练模型来做行人检测,不需要特别找专门针对行人的模型。 接下来,用户可能不太清楚怎么使用这些模型,可能需要指导他们加载模型,并注意类别ID。COCO数据集中‘person’的ID通常是0,所以在预测的时候需要指定这个ID来过滤结果。另外,可能需要提醒用户如果需要更高的精度或者特定场景下的检测,可以微调模型。比如,如果他们有自己的行人数据集,可以用迁移学习的方法在官方模型基础上训练。 然后,用户提供的引用里有提到一些改进的方法,比如HTC-drone和Hybrid模型,这些可能涉及到多尺度检测、数据增强、模型融合等技术。虽然这些是针对其他模型的改进,但可能可以给用户一些优化的思路,比如使用软NMS或者调整输入分辨率。 还需要检查用户提供的引用是否有相关的预训练模型信息。引用1提到了Intel的OpenVINO预训练模型,但不确定是否有YOLOv8的行人检测。引用2是关于YOLOv5的交通标志检测,引用3和4是关于无人机检测和3D目标检测的,可能相关性不大。所以主要还是以Ultralytics官方的资源为主。 另外,用户可能对性能指标感兴趣,比如准确率、速度,或者在不同硬件上的部署情况。可能需要建议他们参考官方文档查看具体的AP指标,以及如何导出模型到不同格式,比如ONNX,方便在移动端或边缘设备上使用。 最后,用户可能需要相关的应用案例或者代码示例,比如如何用YOLOv8进行行人检测的Python代码,以及如何处理结果。可能需要给出一个简单的代码示例,并提醒他们安装必要的库,比如ultralytics和opencv。 总结一下,回答需要包括:官方预训练模型的信息,如何使用,微调的建议,性能优化方法,以及相关代码示例。同时,根据用户提供的引用,虽然直接相关的不多,但可以提到一些通用的优化策略,比如数据增强、模型融合等,可能对提升检测效果有帮助。</think>关于YOLOv8行人检测预训练模型,以下是分步说明和推荐方案: ### 一、YOLOv8官方预训练模型 1. **基础模型选择** YOLOv8官方提供的COCO预训练模型(`yolov8n.pt`至`yolov8x.pt`)已包含行人检测能力,因为COCO数据集的"person"类别覆盖行人检测需求[^2][^4]。可通过以下代码加载模型: ```python from ultralytics import YOLO model = YOLO('yolov8n.pt') # 选择n/s/m/l/x不同规模模型 ``` 2. **专用行人检测优化** 若需更高精度,建议: - 在COCO预训练模型基础上进行领域适配微调 - 使用行人密集数据集(如Caltech Pedestrian)进行迁移学习 ### 二、OpenVINO优化部署 Intel OpenVINO工具包提供优化后的行人检测模型[^1]: ```python from openvino.runtime import Core core = Core() model = core.read_model("pedestrian-detection-adas-0002.xml") compiled_model = core.compile_model(model, "CPU") ``` ### 三、性能优化策略 1. **多尺度训练** 参考HTC-drone的裁剪策略[^3],可对输入图像进行多尺度切片增强: ```python augmentations = { 'mosaic': 1.0, 'mixup': 0.2, 'copy_paste': 0.5 } ``` 2. **后处理优化** 采用soft-NMS代替传统NMS[^3],提升密集场景检测效果: ```python from utils.general import non_max_suppression results = non_max_suppression(predictions, conf_thres=0.5, iou_thres=0.6, method='soft') ``` ### 四、典型应用代码 ```python import cv2 from ultralytics import YOLO model = YOLO('yolov8m.pt') results = model.predict(source='input.jpg', classes=[0]) # 0为COCO person类别 for box in results[0].boxes: if box.conf > 0.5: x1,y1,x2,y2 = map(int, box.xyxy[0]) cv2.rectangle(img, (x1,y1), (x2,y2), (0,255,0), 2) cv2.imwrite('output.jpg', img) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值