摘要:目前的源代码漏洞检测方法大多仅依靠单一特征进行检测，表征的维度单一导致方法效率低.针对上述问题提出一种基于结构化文本及代码度量的漏洞检测方法，在函数级粒度进行漏洞检测.利用源代码结构化文本信息及代码度量结果作为特征，通过构造基于自注意力机制的神经网络捕获结构化文本信息中的长期依赖关系，以拟合结构化文本和漏洞存在之间的联系并转化为漏洞存在的概率.采用深度神经网络对代码度量的结果进行特征学习以拟合代码度量值与漏洞存在的关系，并将其拟合的结果转化为漏洞存在的概率.采用支持向量机对由上述两种表征方式获得的漏洞存在概率做进一步的决策分类并获得漏洞检测的最终结果.为验证该方法的漏洞检测性能，针对存在不同类型漏洞的11种源代码样本进行漏洞检测实验，该方法对每种漏洞的平均检测准确率为97.96%，与现有基于单一表征的漏洞检测方法相比，该方法的检测准确率提高了4.89%~12.21%，同时，该方法的漏报率和误报率均保持在10%以内.