中科天齐团队参加FSE 2025,提出基于多对象类型状态分析的重复漏洞检测新方法
原文链接: https://mp.weixin.qq.com/s?__biz=MzU5Njc4NjM3NA==&mid=2247496792&idx=1&sn=1a89dc1a57debe1bcc662fc35fb66c99
中科天齐团队参加FSE 2025,提出基于多对象类型状态分析的重复漏洞检测新方法
原创 中科天齐 中科天齐软件安全中心 2025-07-17 10:01
点击
蓝字
关注中科天齐
2025年6月23-27日,第33届ACM软件工程基础国际会议(FSE 2025)在挪威特隆赫姆举办。FSE是软件工程领域国际顶级会议,是中国计算机学会(CCF)推荐的A类国际会议。中科天齐团队成员曹立庆博士前往参会,并在会上展示了题为“VulPA: Detecting Semantically Recurring Vulnerabilities with Multiobject Typestate Analysis”(基于多对象类型状态分析检测语义重复漏洞)的研究成果。
会场留影
曹立庆博士在会上做主题演讲
语义重复漏洞在现实软件系统中广泛存在,往往具有相似的根本成因。然而,由于其在语法和语义层面的多样性变化,以及涉及多个变量的控制流和数据流交互,现有检测方法在系统化表达与分析此类漏洞方面存在明显局限。
针对这一问题,该研究提出了VulPA——一种创新的基于多对象类型状态分析的漏洞检测框架。VulPA能有效地识别漏洞模式中涉及多个对象的控制依赖与数据依赖关系,从而实现对语义重复漏洞的精准检测。该方法主要包括两个核心步骤:
1. 漏洞模式建模
研究团队设计了漏洞模式描述语言(VPDL),以代码风格的语法形式精确表达变量之间的依赖关系及漏洞触发条件,从根因层面抽象并统一描述语义重复漏洞的特征。
2. 多对象类型状态分析引擎
在Heros IFDS框架基础上,VulPA实现在过程间追踪多个变量的类型状态变化。结合VPDL 所定义的漏洞模式,VulPA能实现精准检测到具有漏洞的程序路径,自动发现潜在的漏洞点。
在实验评估中,研究团队基于34个CVE案例构建了检测规则,在其对应的26个开源Java应用上进行了测试。VulPA成功发现了90个新漏洞,在保持23.7%的误报率的同时,显著优于现有主流漏洞检测工具,显示出其在语义复杂漏洞检测领域的强大能力与广泛应用潜力。
ACM国际软件工程基础会议(FSE)是一个国际知名的会议,旨在展示和讨论软件工程领域的最新创新、趋势、经验和挑战。FSE涵盖广泛的软件工程主题,包括但不限于软件开发、软件测试、软件维护、软件安全、人工智能驱动的软件工程等。FSE 2025共收到612篇投稿,最终接收135篇,总接收率22.2%。
往期阅读
中科天齐研究团队荣获 Internetware 2025 ACM SIGSOFT 杰出论文奖
中科天齐团队发现Apache Roller近年来首个高危漏洞,密码修改后会话仍持续有效
祝贺!中科天齐团队成员获CCF系统软件专委2024年度博士学位论文激励计划提名奖
中科天齐团队参加 ISSTA 2024,针对CFL可达性提出“staged solving”求解方法
中科天齐团队在OOPSLA 2024大会上提出针对IFDS算法优化技术,平均可加速2个数量级
软件源代码安全缺陷检测平台
软件安全 网络安全的最后一道防线
中科天齐公司由李炼博士创立
以“中科天齐软件源代码安全缺陷检测平台
(WuKong悟空)”为主打产品
致力打造安全漏洞治理领域新生态的
高新技术企业
长按二维码关注我们
联系方式:135 2100 2180
网址:
www.woocoom.com
点击在看
分享给小伙伴
点击
阅读原文
,获得免费预约地址