从工业电站到心脏起搏器甚至家用电器等关键领域都离不开软件系统。这种对软件技术的日益依赖、软件系统本身的日益复杂以及软件漏洞的指数级增长,使得软件代码分析成为计算机科学研究的一个重要方向,在借助信息安全专家的技巧和经验的基础上,需要建立能够在规模、速度和效率上满足实际需要的自动化代码漏洞分析系统。虽然在这方面的研究已经取得了很大的进展,但仍然存在许多有待解决的挑战,比如动、静态分析漏洞漏报和误报问题,代码测试的代码覆盖率问题以及路径爆炸问题。新的分析方法开始尝试通过提取代码特征,利用机器学习在模式识别方面的优势,使用训练出来的一些模型来检测漏洞并取得了一定成效。本文正是基于这一思路展开研究的,首先提出了一种基于控制流图和监督式学习的漏洞检测方法,基于提取的代码的控制流和数据流信息得到use-def链,最终转化为描述代码模式的语义表达形式;其次利用目前深度学习中图卷积网络GCN在文本分类方面的技术成果,对提取的特征进行分类进而实现漏洞分类,AUC-PR达到0.86,相比于现有算法的检测率提高了5%,表明了该方法的有效性。通常Web应用程序经常有多个动态特性,仅仅使用静态分析来检测软件漏洞并不能达到最好的效果。为了实现自动化漏洞检测和漏洞利用代码自动生成,本文重点提出一种新的基于漏洞基因和动态分析相结合的漏洞检测方法,通过结合漏洞基因信息的静态分析来对动态分析进行指导,自动识别漏洞并生成漏洞利用字符串。在本文的实验中,对8000多万行代码进行了检测,在不到一周的时间里检测到了121个漏洞并生成了漏洞利用字符串,与其他自动化漏洞分析技术如模糊测试相比,漏洞检测所需时间大幅缩短且没有误报,但依然受限于静态分析的原理存在一定程度的漏报,总体上漏洞检测效果显著。