软件等信息技术产业的不断发展,使软件的功能和组成结构日趋复杂,而复杂的软件结构导致软件安全事件频发,使工业生产和社会安全受到了严重威胁。大部分软件安全问题来自于软件源代码本身存在的安全风险,因此,近年来软件源代码安全问题得到社会各界的广泛关注。面对软件漏洞利用问题的快速增长,如何快速有效地对软件源代码进行漏洞检测,是当下信息安全研究领域的热门研究问题。传统的静态漏洞检测方法大多依赖于人工定制的漏洞模式进行漏洞检测,检测的准确率较低且效率低下。随着深度学习等技术的快速发展,大量基于深度神经网络的静态检测方法应运而生。现有的静态漏洞检测方法大多基于文本或抽象语法树进行表征,未考虑源代码结构信息,无法对源代码深层语义信息进行表征,导致漏洞检测方法普遍存在精度及准确率较低等问题。针对上述问题,本文的工作主要围绕以下三方面展开:1)现有的漏洞源代码数据收集方法效率较低,且漏洞描述信息不完整,本文通过从漏洞公开网站收集辅以人工的方式,来收集漏洞源代码数据并对漏洞信息进行标注。首先在漏洞公开披露网站获取漏洞源码链接,采集漏洞源代码,同时在NVD和CVE网站收集漏洞描述信息,以漏洞类型及漏洞ID为基准进行存储。为消除无关因素对漏洞检测实验造成的影响,对收集到的源代码数据进行了函数粒度分割、文件重命名、变量替换、删除无关字符等预处理操作。本文主要收集C/C++语言所编写的程序代码,最终构建了含有39160个代码样本的漏洞数据库。2)为解决现有源代码表征方法中存在的表征信息不完善、无法获取源代码深层语义信息、无法捕获代码结构信息等问题,本文提出了源代码特征提取方法CPGExtract,对收集到的软件源代码数据进行处理。首先通过源代码分析工具将源代码数据转化为图数据结构,即抽象语法树、控制流图、程序依赖图组成的图数据结构。接着使用图嵌入模型struc2vec将由节点和边组成的图数据结构转化为特征向量,将此特征向量作为后续神经网络模型训练与检测的输入。本研究与传统数据嵌入方法Deep Walk、node2vec和word2vec进行对比实验,实验表明本方法所采用的基于代码属性图的特征表示方法,可以捕获源代码结构信息,可以有效且完善地对软件源代码信息进行表征。基于struc2vec的图嵌入方法在节点特征分类任务当中取得了平均80%以上的准确率,相较于传统数据嵌入方法具有较大提升。3)针对目前源代码漏洞检测方法效率较差、精度较低等问题,本文提出了基于图注意力网络的漏洞检测方法。首先将源代码特征提取模块所生成的源代码特征向量作为漏洞表征学习模块的输入,漏洞表征学习模块由图卷积-池化层、图读出层、全连接层以及Soft Max层组成。为改善漏洞表征学习效果,获取漏洞源代码深层语义信息、提高漏洞检测方法的准确率,本文选用图注意力网络层作为图卷积层的网络模型。本研究通过与cppcheck、deepbugs、flawfinder以及vuldeepecker四种传统漏洞检测模型进行同基准对比实验,证明了本方法能够有效地识别各类型漏洞,软件源代码漏洞检测平均精度达到了87%,相较于传统漏洞检测工具及方法具有更高的精度与准确率。