一种基于路径表示和预训练模型的软件漏洞检测方法.pdfVIP

华南理工大学学报（自然科学版）

第53卷第5期JournalofSouthChinaUniversityofTechnologyVol.53No.5

2025年5月（NaturalScienceEdition）May2025

doi：10.12141/j.issn.1000-565X.240324

一种基于路径表示和预训练模型的

软件漏洞检测方法

1，21

陆璐万童

（1.华南理工大学计算机科学与工程学院，广东广州510006；2.鹏城实验室，广东深圳518000）

摘要：软件漏洞是导致计算机系统安全性受损的关键薄弱环节，易于被攻击者利用

来实施非法操控，从而导致数据泄露、系统崩溃甚至更严重的安全事故。因此，如何

精准、高效地检测软件漏洞已经成为计算机安全领域的核心研究课题。现有的基于深

度学习的漏洞检测方法已取得一定进展，但大多受限于单一代码表示，无法全面反映

代码语义与结构信息间的互补性。鉴于此，该文创新性地提出了一种基于路径表示和

预训练代码模型的漏洞检测方法（简称VDPPM），以有效提升代码语义解析能力和漏洞

检测精度。该方法集成了从抽象语法树、控制流图和程序依赖图抽取的路径表示，并

借助对比学习框架SimCSE优化后得到的SimCodeBERT模型来增强模型对漏洞特征的捕

捉能力。实验中，首先从源代码中提取3种代码表示，并从这些表示中提取路径表示来

构建语料库以训练Doc2vec模型，形成通用嵌入模型，将路径序列转化为向量表示。在

此基础上，融入预训练的CodeBERT模型，将其在对比学习框架下进行训练，以更精准

地捕捉代码深层次语义特征。最后，通过融合Doc2vec和SimCodeBERT模型生成的向量

来构建高质量的代码表示以完成漏洞检测。实验结果表明，在多个公开的漏洞检测基

准数据集中，VDPPM的性能优于目前的主流方法，在漏洞检测任务上的多个指标有显

著提高，证明了该方法的有效性和优越性。

关键词：软件漏洞；漏洞检测；路径表示；预训练；对比学习

中图分类号：TP311.5文章编号：1000-565X（2025）05-0056-10

［2］

当前，软件的各种应用已经渗透到人们生活的分析，包括静态、动态和混合方法。然而，这些

各个方面，为大众带来了极大的便利。然而，这种方法存在误报率高、覆盖率低、效率低下的问

［3-4］

便利也伴随着持续存在的软件漏洞，给人们的财产题，已经不能满足日益增长的软件漏洞检测需

［1］［5］

和信息安全带来了严重威胁。在这一背景下，许求，需要加以改善。目前的研究多集中在采用机

多研究人员致力于通过自动扫描