基于CPG与LLM的Java漏洞检测方法

2026.07.13点击:

摘要:<正>传统静态和动态漏洞检测方法在Java Web场景下存在误报率高、结论难复核的问题。针对该问题,本文提出融合代码属性图与大语言模型的Java代码漏洞检测方法 Vulkyrie。首先,该方法利用Soot工具将Jar包转化为CPG并存入Neo4j图数据库,通过图查询检索从测试用例入口到危险函数的可疑调用链,并抽取代码切片形成精简上下文;其次,结合相似代码检索增强与链式思维Prompt,驱动大语言模型进行污点分析并生成可验证证据;最后,通过二次校验、反向提示与自动重试机制实现闭环复核。在CWE漏洞数据集上的实验结果表明,该方法在保持高召回率的同时有效抑制了误报,优于传统静态分析工具。

基金资助: 浙江省软科学研究计划项目(2026C35021); 台州市科技计划项目(25gya07);

专辑: 信息科技

专题: 计算机软件及计算机应用

分类号: TP312.2;TP309