随着软件规模和复杂性的增加,不可避免会出现各种各样的软件缺陷,其中安全相关的软件缺陷容易被攻击者利用而可能造成重大的经济与生命财产损失.在软件开发维护过程中一般会采用缺陷报告追踪系统以缺陷报告的形式及时地记录和追踪软件所产生的缺陷.自动识别安全缺陷报告可以快速将缺陷报告仓库中和安全相关的缺陷报告识别出来,帮助修复人员及时发现安全缺陷并优先修复.目前常见的安全缺陷报告自动识别方法主要是基于文本挖掘和机器学习相结合的技术,但是由于安全相关缺陷具有特征复杂以及在实际项目中数量较少的特点,使得传统的基于机器学习的识别模型难以提取和安全相关的深层次语义特征,并且模型训练过程受数据集噪音的影响较大,从而导致模型的泛化性能提升出现瓶颈.为了解决该问题,本文提出了一种噪音过滤和深度学习相结合的安全缺陷报告识别框架,该框架首先使用词嵌入技术获取语料库中所有单词的分布式向量表示,然后采用本文提出的基于生成模型的噪音过滤方法FSDON(Filtering Semantically Deviating Outlier NSBRs)过滤与安全缺陷报告语义相似并且可能是噪音的非安全缺陷报告,最后使用不同的深度神经网络(LSTM、GRU、TextCNN和Multi-scale DCNN)构建安全缺陷报告识别模型,完成安全缺陷报告自动识别任务.本文方法在5个不同规模的数据集上进行了实验评估,实验结果表明,相比于目前最先进的基于文本挖掘和机器学习相结合的方法,本文方法在g-measure指标上平均提升8.26％,并且在不同规模的数据集上的性能均优于现有最先进的方法.

安全缺陷报告识别;生成模型;缺陷报告噪音过滤;深度学习

蒋远;牟辰光;苏小红;王甜甜

哈尔滨工业大学计算学部 哈尔滨 150001

计算机学报

[1]蒋远;牟辰光;苏小红;王甜甜-.噪音过滤和深度学习相结合的安全缺陷报告识别)[J].计算机学报,2022(08):1794-1813

安全缺陷报告识别,FSDON,Semantically,Deviating,NSBRs,缺陷报告噪音过滤

软件规模,各种各样,软件缺陷,攻击者,生命财产,财产损失,软件开发,追踪系统,地记,速将,仓库,自动识别方法,文本挖掘,具有特征,基于机器学习,识别模型,语义特征,模型训练,训练过程,泛化性能,性能提升,升出,识别框架,用词,词嵌入,嵌入技术,技术获取,语料库,单词,向量表示,生成模型,过滤方法,Filtering,Outlier,告语,语义相似,深度神经网络,GRU,TextCNN,Multi,scale,DCNN,建安,成安,不同规模,实验评估,最先,measure

0.306372