随着软件行业的快速发展,越来越多的代码被开源并应用到系统中。然而,开源代码往往缺少充分的安全检测,导致存在着漏洞。采用一种基于属性图匹配的漏洞代码检测方法,其针对源代码利用控制流程图进行结构化的表征,并对控制流程图进行属性提取,实现语法和语义的有效表征。通过与已知代码漏洞的相似性匹配,可以准确的发现测试代码中的漏洞。实验结果表明,相比于传统基于字符串匹配、语法树匹配等方法,属性图匹配法可提高漏洞代码检测的准确度和召回率。

• 单位
  中国科学院信息工程研究所; 中国人民公安大学