[发明专利]一种基于文本深度学习的软件安全漏洞预测方法

说明书

本发明为一种基于文本深度学习的软件安全漏洞预测方法，采用深度神经网络模型和浅层机器学习算法从历史软件源代码文本中学习特征和知识，能够用于对新的软件源代码中的安全漏洞进行预测。本发明采用深度神经网络模型学习软件源代码文本特征中的结构性特征，将学习到的特征作为分类器的输入，对分类器进行训练调整，获得最优的漏洞预测模型，用于该软件的新的软件模块的漏洞预测。

技术领域

本发明涉及一种基于文本深度学习的软件安全漏洞预测方法，属于软件安全漏洞预测技术领域。

背景技术

软件安全漏洞预测能够预先获知软件源代码模块中存在软件漏洞的可能性或者数量，软件开发者根据预测结果，可将有限的时间和经费有针对性投入到那些存在漏洞可能性高的和数量多的软件模块的测试中，以此提高软件测试的效率。

目前，常用的软件漏洞预测采用浅层机器学习方法建立软件漏洞预测模型，建立过程如图1所示：

①软件源代码模块的度量元建立

目前，软件源代码模块的度量元建立主要有两种方法：一种方法是采用度量软件代码质量的指标(metrics)作为度量元，如将面向对象程序的CK指标(WMC、DIT、NOC、CBO、RFC和LCOM等)、面向软件开发过程的代码修改特征指标、开发人员经验水平指标、模块间的依赖度指标以及项目团队组织构架合理性指标等作为度量元，我们称此为基于软件指标的度量元；另一种方法是将软件源代码视为文本，将文本中各个单词出现的频率视为度量元，我们称此为基于代码文本单词的度量元。

②软件历史漏洞数据库建立

从已经公开的软件漏洞库中收集针对某个软件项目的到目前的所有漏洞，建立针对该软件项目的软件漏洞库。软件漏洞库中明确了针对该软件项目每个软件模块中漏洞的位置和数量。

软件漏洞库提供了针对该软件项目的漏洞分布的历史知识。

③软件漏洞预测机器学习模型的训练、测试

针对某个软件项目，计算每个软件模块的度量元指标的具体数值，利用软件历史漏洞库获得每个软件模块的有无漏洞的标签或者缺陷数量，然后选择适合于该软件项目的机器学习算法(目前还没有公开的资料表明使用了深度学习算法，使用的都是基于浅层学习的算法)，将度量元指标的具体数值作为输入，有无缺漏洞的标签或者漏洞数量作为输出，建立(训练、测试和参数调整)针对于该软件项目的软件漏洞预测的机器学习模型。

④软件漏洞预测机器学习模型的应用

训练完成以及测试合格的漏洞预测模型可以对该项目的新的软件模块的漏洞情况进行预测。首先计算新的软件模块的度量元指标的具体数值，将数值输入到预测模型中，模型运算输出的结果即为该软件模块存在漏洞的可能性或者存在漏洞的数量。

在整个模型建立的过程中，影响预测模型性能的因素有三个方面：度量元指标选取、漏洞库的质量以及具体的机器学习算法。所选取的度量元指标应当能够反映有漏洞模块和没有漏洞模块的本质特征，也就是度量元指标对有漏洞和没有漏洞模块具有一定的区分能力；软件漏洞库的质量也在很大程度上影响到模型的性能，所建立的软件漏洞库应当具有较高的准确性和较好的完备性；机器学习算法本身也具有不同的性能，针对不同的软件项目，选取适合于本项目的机器学习算法。这三个方面的因素是相互联系相互影响的，综合决定了这个预测模型的性能。

在历史漏洞库的质量既定的情况下，针对某类度量元指标，不同的机器学习算法的性能差异较大，目前针对不同的机器学习算法进行了大量的尝试，但是所有采用的算法属于浅层机器学习方法，未有公开的资料表明有人使用深度学习方法。