随着软件结构和功能日益复杂,软件安全事件频发,严重威胁到国家安全和社会的稳定,软件安全问题受到工业界和学术界的广泛关注。漏洞是导致软件安全问题的根源之一,使用传统的方法进行漏洞挖掘和检测不仅仅耗时耗力,且效率较低。知识图谱成功应用于各个领域,促进了软件安全研究领域发展。因此借助于知识图谱等相关技术,能够分析、推理和挖掘出漏洞语义之间潜在的关系,提高软件安全漏洞挖掘的精度,降低漏报率和误报率。本文工作主要围绕以下三方面展开:（1）针对当前漏洞样本数据采集效率低,成本高等问题,本文通过网络爬虫辅之半自动化方式从 NVD（National Vulnerability Database）和 CVE（Common Vulnerabilities＆Exposures）漏洞数据库中获取数据,并进行预处理及分类,得到了 SQL注入、命令注入、缓冲区溢出等常见高危可操控漏洞的样本,为漏洞知识图谱提供了可靠的数据来源。（2）针对当前漏洞数据利用率低、漏洞语义信息不够丰富、分析手段欠缺等问题,提出一种漏洞知识图谱构建方法。首先基于现有软件安全数据,综合考虑了供应商、受影响的产品、漏洞、漏洞类型和源代码五种不同类型的实体并以此构建了软件安全本体模型。接着针对不同种类的实体分为面向软件和面向源代码实体,面向软件实体主要通过BILSTM-CRF模型对漏洞文本描述进行实体识别,面向源代码实体通过对代码片段进行程序分析解析后得到相关实体。然后针对不同类型的实体进行关系抽取以及知识融合。最后将获取到的实体和关系存储到Neo4j图数据库。（3）针对当前软件安全漏洞挖掘技术精度低、误报率高等问题,提出一种基于知识图谱的漏洞挖掘方法。首先在漏洞知识图谱上进行CWE链式推理,经链式置信度计算公式,得到CWE链式推理结果,该链式推理结果可为复合漏洞的检测和挖掘提供可靠依据。接着以危险函数或者补丁增减位置为出发点,基于图的相似度匹配方法,计算待检测节点和漏洞库节点间的相似性,经阈值分析比较,判断是否存在漏洞。最后验证提出方法的有效性和可行性。实验结果表明,与传统的漏洞挖掘工具相比,本文提出的方法具有较低的漏报率和误报率,且准确率相对较高,在漏洞分析、追踪、溯源等方面具有较为广泛的应用价值。