摘要
软件漏洞检测(SVD)是现代系统中的关键挑战。尽管大语言模型(LLMs)能够提供自然语言解释,但现有工作多集中在二分类评估上,且解释常缺乏与常见弱点枚举(CWE)类别的语义一致性。本文提出VulReaD,一种基于知识图谱的漏洞推理与检测方法,超越了传统的二分类,实现CWE级别的推理。该方法利用安全知识图谱作为语义骨架,并通过一个强大的教师LLM生成符合CWE的对比推理监督信号,从而在无需人工标注的情况下训练学生模型。学生模型通过奇数比偏好优化(ORPO)进行微调,以促进分类一致的推理并抑制不支持的解释。实验结果表明,在三个真实数据集上,VulReaD相比最先进的基线方法,在二分类F1指标上提升了8-10%,在多分类任务中分别提升了30%的Macro-F1和18%的Micro-F1。结果还显示,LLMs在二分类检测中优于深度学习基线,而知识图谱引导的推理增强了CWE覆盖范围和可解释性。
AI 推荐理由
论文聚焦于基于知识图谱的漏洞推理与检测,强调CWE级别的语义推理能力,属于推理能力的核心研究。
论文信息