【技术实现步骤摘要】
一种工业互联网恶意代码识别方法及装置
本专利技术涉及网络安全
,特别涉及一种工业互联网恶意代码识别方法及装置。
技术介绍
工业互联网重点在于网络、数据、安全这三个方面。网络是基础,数据是核心,安全是保障。网络为工业系统互联和工业数据交换的支撑基础,数据为工业智能化的核心驱动,安全为网络与数据在工业中应用安全的安全保障。虽然工业控制系统现有的物理隔离等安全防护技术措施能够降低来自互联网的传统病毒的入侵与传播威胁。近年来,随着两化融合的发展趋势,管理系统与工控系统的互联互通,在提升效率的同时,也把传统IT风险延伸到了工业互联网。此外,随着越来越多通用系统、通用硬件被逐渐应用于工业互联网设施中,传统的系统漏洞也对工业互联网安全构成了威胁。恶意代码分析有两类基本的方法:静态分析与动态分析。静态分析技术检测效率高,不需要执行恶意代码,但由于新的恶意代码普遍具有新的特征模式,利用静态分析技术很难检测出来;动态分析技术利用虚拟机或仿真器执行待测程序,监控并收集程序运行时显现的行为特征,即使对于新出现的恶意代码也能有较高的识别率,但每次分析都需要大量时间模拟执行,效率相对较低。随着深度学习在计算机视觉、语音识别和自然语言处理方面取得了一系列的成功,人们逐渐将深度学习应用于二进制病毒样本分类这个领域,并取得了一系列进展。基于深度学习的方法需要收集大量的已标记的样本,但工业互联网恶意代码存在收集困难,人工标记困难等难点,导致传统分类方法训练效果不理想。
技术实现思路
本专利技术的目的是提供一种工业互联网 ...
【技术保护点】
1.一种工业互联网恶意代码识别方法,其特征在于,包括:/n将原始恶意代码样本映射为定维特征向量;/n将所述定维特征向量作为输入,通过生成对抗网络对所述原始恶意代码样本进行扩充,得到扩充后的恶意代码样本;/n通过扩充后的所述恶意代码样本训练深度信念网络,并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。/n
【技术特征摘要】
1.一种工业互联网恶意代码识别方法,其特征在于,包括:
将原始恶意代码样本映射为定维特征向量;
将所述定维特征向量作为输入,通过生成对抗网络对所述原始恶意代码样本进行扩充,得到扩充后的恶意代码样本;
通过扩充后的所述恶意代码样本训练深度信念网络,并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。
2.根据权利要求1所述的工业互联网恶意代码识别方法,其特征在于,所述将原始恶意代码样本映射为定维特征向量,包括:
根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征;
建立所述恶意代码行为与所述静态行为特征一一对应的数学模型;
通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。
3.根据权利要求2所述的工业互联网恶意代码识别方法,其特征在于,所述通过所述数学模型将所述原始恶意代码样本映射为定维特征向量,包括:
通过所述数学模型对所述原始恶意代码样本中恶意代码的二进制文件,经过反汇编得到对应的汇编代码,将所述汇编代码按照基本块进行划分,分别扫描每个基本块,以筛选内部应用程序接口API;
根据所述API执行的先后顺序和跳转指令的跳转结构,将反汇编得到的不同调用函数以及不同基本块中的API连接,以建立所述原始恶意代码的整体API调用图;
根据所述整体API调用图中各个节点的重要程度确定关键节点,并根据关键节点对所述整体API调用图进行标准化处理;
将标准化后的所述整体API调用图映射为定维特征向量,所述定维特征向量用于表征所述原始恶意代码样本的静态行为特征。
4.根据权利要求1所述的工业互联网恶意代码识别方法,其特征在于,所述将所述定维特征向量作为输入,通过生成对抗网络对所述原始恶意代码样本进行扩充,得到扩充后的恶意代码样本,包括;
对所述原始恶意代码样本与获取到的多个良性代码样本的API进行提取,以构建API列表;
将接收到的一个随机噪声作为输入,通过生成对抗网络输出样本数据,所述噪声为所述API列表中的每个API产生一个随机数;
将所述样本数据的每个特征维度的取值置为0或1,并将生成的特征向量与所述定维特征向量在每个维度上进行或操作,得到对抗性样本,以及将所述对抗性样本的API写入到所述原始恶意代码样本中;
将所述对抗性样本输入至预设恶意代码判别器中进行检测并标记,将标记完成后的标记数据输入到替代判别器中,获取所述替代判别器的学习结果,基于所...
【专利技术属性】
技术研发人员:石志强,李明轩,孙利民,孙玉砚,文辉,吕世超,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。