源代码漏洞检测是保证软件系统安全的重要手段。近年来，多种深度学习模型应用于源代码漏洞检测，极大提高了漏洞检测的效率，但还存在自定义标识符导致库外词过多、嵌入词向量的语义不够准确、神经网络模型缺乏可解释性等问题。基于此，该文提出了一种基于卷积神经网络(CNN)和全局平均池化(GAP)可解释性模型的源代码漏洞检测方法。首先在源代码预处理中对部分自定义标识符进行归一化，并采用One-hot编码进行词嵌入以缓解库外词过多的问题；然后构建CNN-GAP神经网络模型，识别出包含CWE-119缓冲区溢出类型漏洞的函数；最后通过类激活映射(CAM)可解释方法对结果进行可视化输出，标识出可能与漏洞相关的代码。通过与Russell等人提出的模型以及Li等人提出的VulDeePecker模型进行对比分析，表明CNN-GAP模型能达到相当甚至更好的性能，且具有一定的可解释性，便于研究人员对漏洞进行更深入的分析。

• 单位
  国防科技大学