-
背景
论文讨论了当前软件系统中存在的缺陷和漏洞检测方法的局限性。特别是在利用知识图谱来捕捉软件系统中缺陷和漏洞方面的潜能还未被充分挖掘。 -
已有的工作 已有的工作主要集中在构建和管理从漏洞数据库、开源威胁情报和网络安全威胁中构建的知识图谱。这些工作忽略了使用知识图谱来发现安全关键系统中实际漏洞的可能性。
- 提出了一个程序知识图谱(Program Knowledge Graph)
-
挑战1:实现自动化查询生成 论文面临的挑战是减少手动构建查询的需求。通过利用大型语言模型(LLMs)的提示(prompt)调整进行查询自动生成,解决了这个挑战。
-
挑战2:集成多源漏洞数据与实际程序图 另一个挑战是如何结合传统的漏洞信息(例如CVE和CWE)和程序图(例如调用图、数据流图等)以便在图数据库中形成一个综合的视图来检测漏洞。
-
论文提出的程序知识图谱融合了从CVE和CWE数据库中提取的已知漏洞数据和软件程序的程序图,并存储在图数据库中。利用大型语言模型自动生成查询,实现了14个案例中的14个漏洞的成功检测。结果显示论文所提方法能有效地使用LLMs来自动生成针对程序漏洞的查询语言,但也指出了LLM在处理CWE-401时需要结合数据流图才能进行有效检测的局限性。
论文通过结合程序图和安全数据,提出了程序知识图谱,并利用大型语言模型的提示调整来自动生成检测软件代码中漏洞的查询。该方法旨在克服传统漏洞检测方法的局限性,提高漏洞检测的自动化程度和有效性,尤其是在静态分析中的应用。