2019-11-18 17:44:2414451人阅读
AI时代的到来为众多安全场景的处置与应对提供了全新的角度和方法,而借助AI技术实现对源代码漏洞的智能挖掘,一直是其中至关重要的研究课题。
作为天府杯“2019国际网络安全大赛暨2019天府国际网络安全高峰论坛”的重要组成,由百度安全承办,复旦大学、西安四叶草协办的AI安全分论坛于11月17日在成都天府新区西博城举行,多位来自国内学术界、企业界的顶尖专家齐聚一堂,与百度安全一道共同探讨了各自在AI安全领域的行业观察与研究成果。
会上,华中科技大学教授、网络空间安全学院执行院长邹德清为现场嘉宾带来了名为“源代码智能漏洞挖掘”的主题演讲。基于当前深度学习应用于源代码漏洞检测的困境,提出了一系列前瞻性的研究方法,打开了AI时代源代码漏洞智能挖掘的新路径。
华中科技大学教授邹德清
在计算机系统构建的众多环节之中,源代码含有丰富的语义信息,对其漏洞的挖掘不仅能实现与软件开发生命周期的有效集成,也便于更早发现并修补漏洞。不过,随着软件的开源化趋势成为主流,安全缺陷随开源软件的广泛使用而被“扩散传播”的案例也屡见不鲜,为行业带来了巨大的安全隐患。
尽管随着基于机器学习的漏洞检测方法的应用,对于源代码漏洞挖掘的研究有所进展。但邹德清教授认为,其仍然存在着较高的诸如误报、漏报的技术缺陷。在这一背景下,深度学习提供了另外一种可能。
由此,他所带领的研究团队开启了对利用SySeVR框架、多类漏洞检测系统μVulDeePecker、利用中间代码进行细粒度漏洞检测等基于深度学习的漏洞检测,及以启发式并发漏洞检测框架为代表的并发漏洞检测方面的探索和研究。
在演讲中,邹德清教授详细讲解了以上两大课题的测试思路与过程,并提出一系列研究成果。
例如在多类漏洞检测系统μVulDeePecker的测试中,邹德清教授及其研究团队发现,现有基于深度学习的漏洞检测方法不适合直接用于多类漏洞检测,μVulDeePecker系统则具备一定的实用价值,而控制依赖及配合其他基于深度学习的检测系统使用则能够有效增强其在检测多种类型漏洞的能力。
又如在利用中间代码进行细粒度漏洞检测方面,为应对其漏洞定位精度低、检测能力弱的问题,邹德清教授及其研究团队提出了利用中间代码捕获比源码本身更多的语义信息的思路,并创新性地改进了深度神经网络模型,将输入粒度提炼为更细的输出粒度方式。
还如在并发漏洞检测中,针对当前主流技术手段的短板,邹德清教授介绍了启发式并发漏洞检测框架。其通过在模糊测试中不断调整线程调度,并专注于某个特定的线程调度反复测试触发,实现了检测效率的大幅提升。
作为国内在网络安全领域的重点院校,华中科技大学早在上世纪80年代便建立了信息安全实验室,并于2007年成为国内首批“信息安全特色专业”,2016年获得国内首批“网络空间安全”一级学科博士点授予权。在刚刚结束的2019年国家网络安全宣传周中,华中科技大学则以第一名的成绩入选新一批国家“一流网络安全学院建设示范项目高校”之列。
而作为国内云计算安全、网络攻防与漏洞检测、软件定义安全与主动防御、大数据安全与人工智能安全、容错计算领域的专家,邹德清教授及其所带领团队在源代码智能漏洞挖掘方面的研究在大幅提升原有漏洞检测效率的同时,也为软件源代码安全审查公共服务平台、动态污点跟踪挖掘二进制程序漏洞、安全可控的电力信息基础设施风险评估、车联网安全等众多延展方向的研究提供了思路。
一直以来,百度安全高度重视与国内外顶尖高校的合作,并通过对前沿技术研究的开展、支持中国安全战队走出国门、引入国际顶级极客大会DEF CON等一系列努力,打造全球网络安全交流平台,助力产学研各界的协作与年轻一代安全技术人员的成长。以此次天府杯为契机,百度安全也将在未来与学术界加强合作,共同构建AI安全的开放生态。