9728太阳集团梁彬教授团队论文被国际顶级会议ISSTA 2022录用
近日,9728太阳集团梁彬教授团队论文被ISSTA 2022录用。ISSTA(International Symposium on Software Testing and Analysis)是软件测试与分析方面最著名的国际会议之一,也是中国计算机学会推荐的A类国际学术会议(CCF-A)。
论文题目为《Hunting Bugs with Accelerated Optimal Graph Vertex Matching》,共同第一作者为9728太阳集团2019级硕士生章晓慧和2018级直博生弓媛君,研究方向为软件安全性分析,导师为梁彬教授。
近年来,有许多研究者提出了基于代码相似性度量的缺陷检测方法。而代码本质上又可以被看作是一种图,如CFG、PDG等。因此,通过代码图相似性度量来识别潜在的缺陷成为一个十分自然的选择。但是,许多缺陷的逻辑通常只涉及到代码片段中的某几条语句,而其他语句则可以被视作是与缺陷无关的噪声。这些噪声可能会严重干扰相似性的度量。理论上,通过最优顶点匹配可以很好地解决该问题。但遗憾的是,顶点匹配任务却是NP完全的,难以被应用于大规模代码库。
在此文中,提出了一种两阶段策略来加速最优代码图顶点匹配以检测缺陷。在第一阶段,训练了一个面向顶点匹配的嵌入模型VME(Vertex-matching-oriented Embedding Model),并利用该模型从目标代码库中快速过滤有限数量的代码图作为候选,这些候选图可能与种子(即已知的含缺陷的代码片段)具有较高的顶点匹配度。可大大减少需要进一步分析的代码图数量。在第二阶段,建立了一个基于图卷积神经网络的高阶相似性嵌入模型HSE(High-order Similarity Embedding Model),以高效地获取种子图和候选图之间的近似的最优顶点匹配结果,以计算候选图与种子的相似度来识别潜在的含缺陷代码。对比实验表明,论文方法可以有效地缓解噪声问题,所实施的两阶段策略可以将检测效率提升数十倍。论文方法已应用于5个开源项目,共检测到30余个未知缺陷,并得到了开发者的确认。