摘要
本发明公开了一种结合静态与动态分析的源代码漏洞检测方法,包括:对输入的源代码进行静态扫描,依据预设漏洞规则库初步定位潜在漏洞;基于控制流图和数据流图执行程序切片,提取与漏洞相关的精确代码子集;利用基于Transformer结构的大语言模型,根据漏洞类型及切片代码自动生成动态验证攻击用例;在沙箱环境中执行测试用例,实时监控程序异常行为,确认漏洞的实际可利用性;最终综合静态与动态结果,生成多层次漏洞检测报告。该方法能够有效提高漏洞检测的准确率与覆盖率,降低误报漏报率,实现源代码漏洞检测过程的高度自动化和智能化,具有良好的适用性与推广价值。
