Разработка инструмента для автоматического выявления уязвимостей в исходном коде на основе глубоких нейронных сетей : магистерская диссертация

Abstract

This work is devoted to the development of an automatic code testing tool that allows to effectively detect and classify vulnerabilities using deep learning methods, in particular, natural language processing methods. The paper provides an overview of existing approaches and methods of machine learning, analyzes and selects datasets and machine learning algorithms to solve the task, describes the infrastructure for conducting research and tracking their results. In the course of the study, binary classification models, multiclass classification models for determining CWE identifiers, and large language models for generating descriptions of detected vulnerabilities were studied. A new approach has also been developed to localize vulnerabilities at the line level of program code using the explainability methods of the SHAP and LIME machine learning models.

Данная работа посвящена разработке инструмента автоматического тестирования программного кода, который позволяет эффективно обнаруживать и классифицировать уязвимости с помощью методов глубокого обучения, в частности, методов обработки естественного языка. В работе представлен обзор существующих подходов и методов машинного обучения, проведен анализ и подбор наборов данных и алгоритмов машинного обучения для решения поставленной задачи, описана инфраструктура для проведения исследований и отслеживания их результатов. В ходе исследования изучены модели бинарной классификации, модели многоклассовой классификации для определения идентификаторов CWE, большие языковые модели для генерации описаний обнаруженных уязвимостей. Также был разработан новый подход для локализации уязвимостей на уровне строк программного кода с использованием методов объяснимости моделей машинного обучения SHAP и LIME.