“随着软件规模与复杂度不断增长自动化漏洞发现成为保障软件供应链安全的关键环节。传统方法往往依赖单一表示或浅层特征难以捕获程序中的长程依赖与复杂语义关系。为此来自 燕山大学 的团队提出了 GTVDFull-Dependency Program Graph Multi-Level Aggregation通过更丰富的图表示与多层消息聚合策略提升函数级漏洞检测的表示能力与识别精度。”论文标题GTVD: a multi-level aggregation vulnerability detection method based on full-dependency program graph发表时间Cluster Computing, 2025作者单位燕山大学01—方法介绍GTVD 的核心思想是用一种更完整的图表示结合多层聚合与自适应加权解决传统 GNN 在长程依赖与信息衰减上的弱点。整体流程包括FDPGFull Dependency Program Graph构建 → 节点向量化 → 多层消息聚合MLMA→ 自适应加权聚合WAG→ MLP 分类。图 1. GTVD框架小结FDPG 通过集成 AST/CFG/PDG 并加入反向边与自环增强了图结构的表达能力MLMA 扩展了节点的感受野WAG 则通过注意力/加权机制动态调整节点对全局表示的贡献。02—关键机制FDPG用反向边和自环补全依赖避免信息单向流失。MLMA一次迭代中融合多阶邻域信息提升对复杂依赖的捕获。WAG引入自适应加权避免简单均匀聚合导致的噪声传播。机制实现方式主要作用Full Dependency Program Graph (FDPG)整合 CPGAST/CFG/PDG补入反向边与自环全面编码语法与语义依赖增强长程关系表达Multi-Level Message Aggregation (MLMA)多阶消息传递按不同邻域阶数聚合节点信息扩大节点感受野缓解信息衰减Adaptive Weighted Aggregation (WAG)多头注意力 MLP 动态计算节点权重根据上下文调整节点贡献提高图级表示质量分类器MLP Softmax二分类将图表示映射到漏洞/非漏洞标签03—实验结果作者在三个公开大规模数据集上进行了全面评估FFmpegQemu、BigVul、Reveal。数据集统计与训练细节见论文训练采用 8:1:1 划分超参与收敛行为在文中有详细说明Epoch 收敛约 90 轮。FFmpeg Qemu模型APRF1VulDeePecker49.9146.0532.5538.14SySeVR47.8546.0658.8151.66Russell57.6054.7640.7246.71IVDetect57.2652.3757.5554.84BovdGFE56.4650.1850.6347.27AMPLE62.1655.6483.9966.94GRACE59.7853.9482.1365.11GTVD (本文)61.3956.2760.5352.32BigVul:模型APRF1VulDeePecker81.1938.4412.7519.15SySeVR90.1030.9114.0819.34Russell86.8514.8626.9719.17IVDetect87.1417.2234.0422.87BovdGFE88.9425.3828.1730.29AMPLE93.1422.9834.5832.11GRACE90.7332.5239.0835.50GTVD (本文)93.9138.0256.8832.27Reveal:模型APRF1VulDeePecker76.3721.1313.1016.17SySeVR68.5116.2152.6824.79Russell81.7731.5561.1441.62BovdGFE88.7240.1643.7335.42AMPLE92.7151.0646.1548.48GRACE89.7333.2161.5343.13GTVD (本文)90.5261.7668.3848.83小结GTVD 在三套数据集上的综合性能优于大多数基线在 Accuracy 上对比最新基线的提升分别为FFmpegQemu 1.61%,BigVul 3.18%,Reveal 0.79%此外在 Recall 指标上GTVD 在 BigVul 与 Reveal 上分别最小提升了17.8%与6.85%. 总结GTVD 通过三项设计FDPG、MLMA、WAG解决了图表示在长程依赖与信息衰减上的痛点实现了在多数据集上的稳健提升。该方法对函数级漏洞检测尤为适用并为将来把图表示与 LLM/混合方法结合提供了可行的方向。论文也指出未来工作将扩展到更多语言与跨项目泛化研究。 欢迎留言讨论你更看好“更丰富的图表示 更强的 GNN”路线还是“把图结构信息以检索/提示的方式喂给 LLM”路线在企业级审计中FDPG 这类复杂表示的工程成本是否值得 点赞 收藏 分享你的支持是我们持续解析高水平软件安全论文的最大动力