CN111881300A - 面向第三方库依赖的知识图谱构建方法及系统 - Google Patents

面向第三方库依赖的知识图谱构建方法及系统 Download PDF

Info

Publication number
CN111881300A
CN111881300A CN202010629991.5A CN202010629991A CN111881300A CN 111881300 A CN111881300 A CN 111881300A CN 202010629991 A CN202010629991 A CN 202010629991A CN 111881300 A CN111881300 A CN 111881300A
Authority
CN
China
Prior art keywords
entities
knowledge graph
party
library
party library
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010629991.5A
Other languages
English (en)
Inventor
薄莉莉
孙洲
孙小兵
李斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yangzhou University
Original Assignee
Yangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yangzhou University filed Critical Yangzhou University
Priority to CN202010629991.5A priority Critical patent/CN111881300A/zh
Publication of CN111881300A publication Critical patent/CN111881300A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • G06F40/289Phrasal analysis, e.g. finite state techniques or chunking
    • G06F40/295Named entity recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Software Systems (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Animal Behavior & Ethology (AREA)
  • Evolutionary Biology (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种面向第三方库依赖的知识图谱构建方法及系统,方法包括以下步骤:采集若干应用程序项目,从中提取所依赖的第三方库;爬取所述第三方库的漏洞报告;从所述漏洞报告中提取实体;从所述漏洞报告中抽取关系;对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。本发明的方法提供了一种能够帮助开发者对第三方库依赖进行全方位漏洞及功能分析的数据语义网络,使用构建知识图谱的方法全方位存储第三方库漏洞、功能等信息,为进一步的对第三方库的功能、风险分析提供结构化数据,使开发人员能快速、准确、高效的掌握第三方库信息,提高开发的效率与质量。

Description

面向第三方库依赖的知识图谱构建方法及系统
技术领域
本发明属于软件安全技术领域,特别涉及一种面向第三方库依赖的知识图谱构建方法。
背景技术
目前80%的应用程序是基于第三方库和已有框架开发的,然而,约1/4的第三方库是存在漏洞的,而且大部分漏洞的严重等级为中级(Middle)和高级(High),少部分是严重等级(Critical),如果这些漏洞被利用,则会给应用程序的安全性造成严重威胁。因此不仅要分析第三方库依赖是否满足原应用的需求,还要对其进行漏洞分析检测和风险分析。
目前国内外存在对第三方库依赖进行分析的方法,比如白名单匹配检测、提取函数方法签名、基于聚类方法技术、基于机器学习方法等。这些技术或多或少在效率或者准确度上有些许弊端。例如,白名单匹配检测方法仅对代码中的包名或者第三方库的包名比较,一旦应用使用了代码混淆,对第三方库的分析就会不全面,检测提取出的数据就不精确,容易误导开发者。针对白名单匹配检测第三方库不完善且不准确的问题。然而,如果第三方库被修改或属于多种类别,会降低方法的准确性。此外,国外OWASP基金会提出了一种工具OWASP Dependency Check,它提供的功能可自动提取项目依赖项列表,并检查此列表是否包含具有已知安全漏洞的任何库。该工具通过将库名与国家通用漏洞数据库(NVD)中漏洞描述(CVE)中指示的通用平台枚举(CPE)版本进行比较,可以自动将库与关联的CVE进行匹配。由上可知,目前仅仅是对第三方库进行一系列检测工作,只能达到检测第三方库是否存在漏洞,不能对漏洞进行分析。
发明内容
本发明的目的在于针对上述现有技术存在的问题,提供一种面向第三方库依赖的知识图谱构建方法及系统,为第三方库的功能及风险分析提供结构化数据。
实现本发明目的的技术解决方案为:面向第三方库依赖的知识图谱构建方法,所述方法包括以下步骤:
步骤1,采集若干应用程序项目,从中提取所依赖的第三方库;
步骤2,爬取所述第三方库的漏洞报告;
步骤3,从所述漏洞报告中提取实体;
步骤4,从所述漏洞报告中抽取关系;
步骤5,对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
进一步地,步骤3所述从所述漏洞报告中提取实体,具体为利用NLTK自然语言处理工具提取实体,具体过程包括:
步骤3-1,对所述漏洞报告文本进行句子分割;
步骤3-2,对所述句子进行分词以及词性标注;
步骤3-3,进行命名实体识别,提取实体。
进一步地,步骤5中所述对所述实体进行对齐,之后结合所述关系构建完整的知识图谱,具体过程包括:
步骤5-1,利用编辑距离算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000021
式中,sim1为相似度,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
步骤5-2,利用Jaccrad算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000022
式中,sim2为相似度,A、B分别为两个实体;
步骤5-3,求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
步骤5-4,将归类后的实体以及关系导入Neo4j平台,构建完整的知识图谱。
面向第三方库依赖的知识图谱构建系统,所述系统包括:
第一信息采集模块,用于采集若干应用程序项目,从中提取所依赖的第三方库;
第二信息采集模块,爬取所述第三方库的漏洞报告;
第一提取模块,用于从所述漏洞报告中提取实体;
第二提取模块,从所述漏洞报告中抽取关系;
知识图谱构建模块,用于对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
进一步地,所述知识图谱构建模块包括:
第一相似度计算单元,用于利用编辑距离算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000031
式中,sim1为利用编辑距离算法计算的两两实体之间的相似度值,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
第二相似度计算单元,用于利用Jaccrad算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000032
式中,sim2为利用Jaccrad算法计算的两两实体之间的相似度值,A、B分别为两个实体;
对齐单元,用于求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
知识图谱构建单元,用于将归类后的实体以及关系导入Neo4j平台,构建完整的知识图谱。
本发明与现有技术相比,其显著优点为:1)全方位收集第三方库依赖相关知识信息,充分利用自然语言处理技术,预先对爬虫爬取得到的第三方库功能及漏洞的文本信息进行处理,以改善文本信息的数据冗余、不便处理等特点,使其数据趋于结构化,便于构建图谱;2)上述收集的第三方库依赖信息通过构建知识图谱来存储信息,以便准确且高效地分析第三方库依赖功能、漏洞等数据信息;3)将第三方库漏洞等信息全方位存储到知识图谱中,便于后续管理、搜索等操作,能够使开发人员快速、准确、高效掌握第三方库信息,提高开发的效率与质量。
下面结合附图对本发明作进一步详细描述。
附图说明
图1为一个实施例中面向第三方库依赖的知识图谱构建方法的流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,结合图1,提供了一种面向第三方库依赖的知识图谱构建方法,所述方法包括以下步骤:
步骤1,采集若干应用程序项目,从中提取所依赖的第三方库;
步骤2,爬取所述第三方库的漏洞报告;
步骤3,从所述漏洞报告中提取实体;
步骤4,从所述漏洞报告中抽取关系;
步骤5,对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
进一步地,在其中一个实施例中,步骤3中所述实体包括两类:一类包括第三方库(属性:功能、版本等)、开发商以及作用对象等,另一类包括漏洞(属性:CVE编号、危害等级、漏洞类型、发布时间、威胁类型、是否有解决方案等)、危害对象等。
进一步地,在其中一个实施例中,步骤3所述从所述漏洞报告中提取实体,具体为利用NLTK自然语言处理工具提取实体,具体过程包括:
步骤3-1,对所述漏洞报告文本进行句子分割;
步骤3-2,对所述句子进行分词以及词性标注;
步骤3-3,进行命名实体识别,提取实体。
进一步地,在其中一个实施例中,步骤4中所述关系包括R1:存在(第三方库,漏洞)、R2:开发(开发商,第三方库)、R3:作用(第三方库,作用对象)、R4:危害(漏洞,危害对象)。
进一步地,在其中一个实施例中,步骤4所述从所述漏洞报告中抽取关系,具体利用Bootstrapping算法抽取关系。Bootstrapping算法的输入是拥有某种关系的少量实体对,作为种子,输出是更多拥有上述某种关系的实体对,具体过程包括:
步骤4-1,在漏洞报告的语料集中采集所有包含某一实体对的句子;
步骤4-2,归纳实体对的前后或中间的词语,构造特征模板;
步骤4-3,根据特征模板去语料集中获取更多的实体对,然后对所有实体对打分排序,将高于预设阈值的实体对加入到知识图谱中,扩展现有的实体对;
步骤4-4、回到步骤4-1,进行迭代,获得更多模板,获得更多拥有该关系的实体对。
进一步地,在其中一个实施例中,步骤5中所述对所述实体进行对齐,之后结合所述关系构建完整的知识图谱,具体过程包括:
步骤5-1,利用编辑距离算法(指两个字串之间,由一个转成另一个所需的最少编辑操作次数,如果它们的距离越大,说明它们越是不同;许可的编辑操作包括将一个字符替换成另一个字符,插入一个字符,删除一个字符)计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000051
式中,sim1为利用编辑距离算法计算的两两实体之间的相似度值,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
步骤5-2,利用Jaccrad算法(给定两个集合A、B,Jaccard系数定义为A与B交集的大小与并集大小的比值,Jaccard值越大说明相似度越高)计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000052
式中,sim2为利用Jaccrad算法计算的两两实体之间的相似度值,A、B分别为两个实体;
步骤5-3,求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
步骤5-4,将归类后的实体以及关系导入Neo4j平台(将实体整合为entity.csv文件,将关系整合为relationship.csv文件),构建完整的知识图谱。
在一个实施例中,提供了一种面向第三方库依赖的知识图谱构建系统,所述系统包括:
第一信息采集模块,用于采集若干应用程序项目,从中提取所依赖的第三方库;
第二信息采集模块,爬取所述第三方库的漏洞报告;
第一提取模块,用于从所述漏洞报告中提取实体;
第二提取模块,从所述漏洞报告中抽取关系;
知识图谱构建模块,用于对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
进一步地,在其中一个实施例中,所述知识图谱构建模块包括:
第一相似度计算单元,用于利用编辑距离算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000053
式中,sim1为利用编辑距离算法计算的两两实体之间的相似度值,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
第二相似度计算单元,用于利用Jaccrad算法计算两两实体的相似度,计算公式为:
Figure BDA0002568226160000061
式中,sim2为利用Jaccrad算法计算的两两实体之间的相似度值,A、B分别为两个实体;
对齐单元,用于求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
知识图谱构建单元,用于将归类后的实体以及关系导入Neo4j平台,构建完整的知识图谱。
关于面向第三方库依赖的知识图谱构建系统的具体限定可以参见上文中对于面向第三方库依赖的知识图谱构建方法的限定,在此不再赘述。上述面向第三方库依赖的知识图谱构建系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
步骤1,采集若干应用程序项目,从中提取所依赖的第三方库;
步骤2,爬取所述第三方库的漏洞报告;
步骤3,从所述漏洞报告中提取实体;
步骤4,从所述漏洞报告中抽取关系;
步骤5,对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
关于每一步的具体限定可以参见上文中对于面向第三方库依赖的知识图谱构建方法的限定,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
步骤1,采集若干应用程序项目,从中提取所依赖的第三方库;
步骤2,爬取所述第三方库的漏洞报告;
步骤3,从所述漏洞报告中提取实体;
步骤4,从所述漏洞报告中抽取关系;
步骤5,对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
关于每一步的具体限定可以参见上文中对于面向第三方库依赖的知识图谱构建方法的限定,在此不再赘述。
本发明的方法提供了一种能够帮助开发者对第三方库依赖进行全方位漏洞及功能分析的数据语义网络,使用构建知识图谱的方法全方位存储第三方库漏洞、功能等信息,为进一步的对第三方库的功能、风险分析提供结构化数据,使开发人员能快速、准确、高效的掌握第三方库信息,提高开发的效率与质量。
以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (8)

1.面向第三方库依赖的知识图谱构建方法,其特征在于,所述方法包括以下步骤:
步骤1,采集若干应用程序项目,从中提取所依赖的第三方库;
步骤2,爬取所述第三方库的漏洞报告;
步骤3,从所述漏洞报告中提取实体;
步骤4,从所述漏洞报告中抽取关系;
步骤5,对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
2.根据权利要求1所述的面向第三方库依赖的知识图谱构建方法,其特征在于,步骤3中所述实体包括两类:一类包括第三方库、开发商以及作用对象,另一类包括漏洞、危害对象。
3.根据权利要求1或2所述的面向第三方库依赖的知识图谱构建方法,其特征在于,步骤3所述从所述漏洞报告中提取实体,具体为利用NLTK自然语言处理工具提取实体,具体过程包括:
步骤3-1,对所述漏洞报告文本进行句子分割;
步骤3-2,对所述句子进行分词以及词性标注;
步骤3-3,进行命名实体识别,提取实体。
4.根据权利要求1或2所述的面向第三方库依赖的知识图谱构建方法,其特征在于,步骤4中所述关系包括R1:存在(第三方库,漏洞)、R2:开发(开发商,第三方库)、R3:作用(第三方库,作用对象)、R4:危害(漏洞,危害对象)。
5.根据权利要求4所述的面向第三方库依赖的知识图谱构建方法,其特征在于,步骤4所述从所述漏洞报告中抽取关系,具体利用Bootstrapping算法抽取关系。
6.根据权利要求1所述的面向第三方库依赖的知识图谱构建方法,其特征在于,步骤5中所述对所述实体进行对齐,之后结合所述关系构建完整的知识图谱,具体过程包括:
步骤5-1,利用编辑距离算法计算两两实体的相似度,计算公式为:
Figure FDA0002568226150000011
式中,sim1为相似度,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
步骤5-2,利用Jaccrad算法计算两两实体的相似度,计算公式为:
Figure FDA0002568226150000021
式中,sim2为相似度,A、B分别为两个实体;
步骤5-3,求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
步骤5-4,将归类后的实体以及关系导入Neo4j平台,构建完整的知识图谱。
7.基于权利要求1至6任意一项所述的面向第三方库依赖的知识图谱构建方法的系统,其特征在于,所述系统包括:
第一信息采集模块,用于采集若干应用程序项目,从中提取所依赖的第三方库;
第二信息采集模块,爬取所述第三方库的漏洞报告;
第一提取模块,用于从所述漏洞报告中提取实体;
第二提取模块,从所述漏洞报告中抽取关系;
知识图谱构建模块,用于对所述实体进行对齐,之后结合所述关系构建完整的知识图谱。
8.根据权利要求7所述所述的面向第三方库依赖的知识图谱构建系统,其特征在于,所述知识图谱构建模块包括:
第一相似度计算单元,用于利用编辑距离算法计算两两实体的相似度,计算公式为:
Figure FDA0002568226150000022
式中,sim1为利用编辑距离算法计算的两两实体之间的相似度值,distance表示一个实体字符串更改为另一个实体字符串所需的单字符编辑的最少步骤,所述单字符编辑包括插入、删除或替换,str1.length、str2.length分别为两个实体字符串的长度;
第二相似度计算单元,用于利用Jaccrad算法计算两两实体的相似度,计算公式为:
Figure FDA0002568226150000023
式中,sim2为利用Jaccrad算法计算的两两实体之间的相似度值,A、B分别为两个实体;
对齐单元,用于求取sim1与sim2的平均值,将均值大于预设阈值的实体归为同一实体;
知识图谱构建单元,用于将归类后的实体以及关系导入Neo4j平台,构建完整的知识图谱。
CN202010629991.5A 2020-07-03 2020-07-03 面向第三方库依赖的知识图谱构建方法及系统 Pending CN111881300A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010629991.5A CN111881300A (zh) 2020-07-03 2020-07-03 面向第三方库依赖的知识图谱构建方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010629991.5A CN111881300A (zh) 2020-07-03 2020-07-03 面向第三方库依赖的知识图谱构建方法及系统

Publications (1)

Publication Number Publication Date
CN111881300A true CN111881300A (zh) 2020-11-03

Family

ID=73150907

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010629991.5A Pending CN111881300A (zh) 2020-07-03 2020-07-03 面向第三方库依赖的知识图谱构建方法及系统

Country Status (1)

Country Link
CN (1) CN111881300A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112632551A (zh) * 2021-03-11 2021-04-09 北京邮电大学 一种第三方库信息泄露检测方法及装置
CN113139192A (zh) * 2021-04-09 2021-07-20 扬州大学 基于知识图谱的第三方库安全风险分析方法及系统
CN113656805A (zh) * 2021-07-22 2021-11-16 扬州大学 一种面向多源漏洞信息的事件图谱自动构建方法及系统
CN113836924A (zh) * 2021-09-16 2021-12-24 东软集团股份有限公司 实体关系抽取方法、装置、存储介质及电子设备
CN114692155A (zh) * 2022-05-30 2022-07-01 中国海洋大学 基于知识图谱的漏洞代码图谱构建及代码漏洞检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109543034A (zh) * 2018-11-07 2019-03-29 中山大学 基于知识图谱的文本聚类方法、装置及可读存储介质
CN110378126A (zh) * 2019-07-26 2019-10-25 北京中科微澜科技有限公司 一种漏洞检测方法及系统
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN111177417A (zh) * 2020-04-13 2020-05-19 中国人民解放军国防科技大学 基于网络安全知识图谱的安全事件关联方法、系统、介质
CN111241307A (zh) * 2020-01-23 2020-06-05 复旦大学 面向软件系统的软件项目及第三方库知识图谱构造方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109543034A (zh) * 2018-11-07 2019-03-29 中山大学 基于知识图谱的文本聚类方法、装置及可读存储介质
CN110378126A (zh) * 2019-07-26 2019-10-25 北京中科微澜科技有限公司 一种漏洞检测方法及系统
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN111241307A (zh) * 2020-01-23 2020-06-05 复旦大学 面向软件系统的软件项目及第三方库知识图谱构造方法
CN111177417A (zh) * 2020-04-13 2020-05-19 中国人民解放军国防科技大学 基于网络安全知识图谱的安全事件关联方法、系统、介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李超: "一种基于BTM主题模型的命名实体链接方法研究", 中国优秀硕士学位论文全文数据库信息科技辑 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112632551A (zh) * 2021-03-11 2021-04-09 北京邮电大学 一种第三方库信息泄露检测方法及装置
CN112632551B (zh) * 2021-03-11 2021-09-28 北京邮电大学 一种第三方库信息泄露检测方法及装置
CN113139192A (zh) * 2021-04-09 2021-07-20 扬州大学 基于知识图谱的第三方库安全风险分析方法及系统
CN113139192B (zh) * 2021-04-09 2024-04-19 扬州大学 基于知识图谱的第三方库安全风险分析方法及系统
CN113656805A (zh) * 2021-07-22 2021-11-16 扬州大学 一种面向多源漏洞信息的事件图谱自动构建方法及系统
CN113656805B (zh) * 2021-07-22 2023-06-20 扬州大学 一种面向多源漏洞信息的事件图谱自动构建方法及系统
CN113836924A (zh) * 2021-09-16 2021-12-24 东软集团股份有限公司 实体关系抽取方法、装置、存储介质及电子设备
CN114692155A (zh) * 2022-05-30 2022-07-01 中国海洋大学 基于知识图谱的漏洞代码图谱构建及代码漏洞检测方法

Similar Documents

Publication Publication Date Title
CN110245496B (zh) 一种源代码漏洞检测方法及检测器和其训练方法及系统
CN109697162B (zh) 一种基于开源代码库的软件缺陷自动检测方法
CN111881300A (zh) 面向第三方库依赖的知识图谱构建方法及系统
Zhong et al. Inferring resource specifications from natural language API documentation
CN111400719B (zh) 基于开源组件版本识别的固件脆弱性判别方法及系统
CN109885479B (zh) 基于路径记录截断的软件模糊测试方法及装置
CN108491228B (zh) 一种二进制漏洞代码克隆检测方法及系统
US20230035121A1 (en) Automatic event graph construction method and device for multi-source vulnerability information
CN107102993B (zh) 一种用户诉求分析方法和装置
CN113901474B (zh) 一种基于函数级代码相似性的漏洞检测方法
US11853421B2 (en) Method and apparatus for analyzing malicious code
CN113609261B (zh) 基于网络信息安全的知识图谱的漏洞信息挖掘方法和装置
CN113297580B (zh) 基于代码语义分析的电力信息系统安全防护方法及装置
Zhong et al. Inferring specifications for resources from natural language API documentation
CN109146625B (zh) 一种基于内容的多版本App更新评价方法及系统
CN115827895A (zh) 一种漏洞知识图谱处理方法、装置、设备及介质
CN112784279B (zh) 基于依赖库版本信息的软件产品安全风险评估方法
WO2021167483A1 (ru) Способ и система выявления вредоносных файлов в неизолированной среде
WO2023116561A1 (zh) 一种实体提取方法、装置、电子设备及存储介质
CN116305158A (zh) 一种基于切片代码依赖图语义学习的漏洞识别方法
US20220043738A1 (en) Automated identification of posts related to software patches
CN116414445B (zh) 一种基于源代码水印的同源性检测方法及系统
CN116821903A (zh) 检测规则确定及恶意二进制文件检测方法、设备及介质
CN115795059A (zh) 一种面向敏捷开发的威胁建模方法及系统
KR102567407B1 (ko) Api 문서와 테스트 코드간 연관성 추출 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination