协同响应系统恶意软件的检测方法、装置、设备和介质制造方法及图纸

本发明专利技术公开了协同响应系统恶意软件的检测方法、装置、设备和介质，包括获取工控终端协同响应系统中的软件程序数据，并对软件程序数据进行处理，以获取输入数据；将输入数据输入至预构建并训练好的检测模型中；利用检测模型的输入层、基于双向长短时记忆算法的隐藏层、全链接层、基于向量分类器的分类层及基于污点流基准测试框架的输出层输出检测结果。一方面，基于向量分类器的分类层，能够节省后续处理数据的时间，且能够帮助后续总结程序软件的具体性能；另一方面，基于污点流基准测试框架的输出层，能够发掘出一些具有隐藏加密的文件攻击以及以污点信息流为主导的异常数据，且能够指定污染流获取访问路径信息，进一步增加检测的普遍适用性。测的普遍适用性。测的普遍适用性。

【技术实现步骤摘要】
协同响应系统恶意软件的检测方法、装置、设备和介质


[0001]本专利技术涉及协同响应系统恶意软件的检测方法、装置、设备和介质，属于组合检测


技术介绍

[0002]工控终端协同响应系统由于其复杂性和重要性，成为恶意犯罪者的首选目标。工控终端协同响应系统中恶意软件的快速增长给工控领域带来了巨大的危害。此类恶意软件破坏工控终端协同响应系统，如窃取系统数据信息、恶意提升非法权限等，对工控终端协同响应系统的信息安全和财产安全造成严重的威胁。许多工控终端协同响应系统存储着重要信息，而这些信息一旦被恶意软件窃取，将带来巨大损失与危害。因此，检测工控终端协同响应系统恶意软件的需求十分迫切，是当前信息安全领域的重要任务。
[0003]特征选择，是常用的工控终端协同响应系统漏洞分析技术，即通过选取已有属性的子集进行建模的一种方式。进行特征选择的主要特点有：简化模型，缩短训练时间，避免维数灾难，增强模型泛化能力等。
[0004]常规的特征选择技术一般分为动态特征检测和静态特征。动态特征检测是按照特定的六种计算方式：最大值、最小值、平均值、标准差、线性趋势和变化趋势对于输入变量进行处理，并将结果作为新的特征。静态特征检测是对于工控终端协同响应系统恶意软件模型的负载文件的加密和混淆操作。目前动态特征和静态检测都存在一定的问题。动态特征检测相比于静态特征更耗时，因为动态特征检测需要实时调用代码并运算，并且对于许多先进的技术比如延时触发等会有一定的矛盾，产生技术对抗。对于静态特征检测，很多工控终端协同响应系统恶意软件会使用加壳、加密和混淆干扰等技术去躲过该检测，并且该检测易受无文件攻击。
[0005]公开于该
技术介绍
部分的信息仅仅旨在增加对本专利技术的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域普通技术人员所公知的现有技术。

技术实现思路

[0006]本专利技术的目的在于克服现有技术中的不足，提供协同响应系统恶意软件的检测方法、装置、设备和介质，首先，检测模型中的输入层，能够根据预设的状态参数对输入数据进行筛选，从而避免一些无用的数据进入后续的训练过程，影响整体检测的效率；其次，基于向量分类器的分类层，一方面能够节省后续处理数据的时间，另一方面能够帮助后续总结程序软件的具体性能；最后，基于污点流基准测试框架的输出层，能够发掘出一些具有隐藏加密的文件攻击以及以污点信息流为主导的异常数据，同时能够指定污染流获取访问路径信息，进一步增加检测的普遍适用性。
[0007]为达到上述目的，本专利技术是采用下述技术方案实现的：
[0008]第一方面，本专利技术公开了协同响应系统恶意软件的检测方法，包括，
[0009]获取工控终端协同响应系统中的软件程序数据，并对所述软件程序数据进行处
理，以获取输入数据；
[0010]将所述输入数据输入至预构建并训练好的检测模型中；
[0011]利用所述检测模型的输入层对所述输入数据进行筛选，得到筛选后的输入数据；
[0012]利用所述检测模型的基于双向长短时记忆算法的隐藏层对所述筛选后的输入数据进行特征分析，得到分析数据；
[0013]利用所述检测模型的全链接层关联所述分析数据，得到输出数据；
[0014]利用所述检测模型的基于向量分类器的分类层根据特征种类对所述输出数据进行分类，得到分类数据；
[0015]利用所述检测模型的基于污点流基准测试框架的输出层通过污点流基准测试分析处理所述分类数据，输出检测结果。
[0016]进一步的，对所述软件程序数据进行处理，以获取输入数据，包括：
[0017]采用基于模糊技术的动静态结合检测法对所述软件程序数据进行检测，得到样本数据；
[0018]使用卷积神经网络对所述样本数据进行优化，得到优化数据；
[0019]基于动静态兴趣的专家推荐模型算法，对所述优化数据进行训练，得到所述输入数据。
[0020]进一步的，所述采用基于模糊技术的动静态结合检测法对所述软件程序数据进行检测，得到样本数据，包括：
[0021]对所述软件程序数据进行模糊测试的预处理，得到测试数据；
[0022]提取所述测试数据的动态特征、静态特征与混合特征；
[0023]根据所述动态特征、静态特征与混合特征，对测试数据进行分类，得到样本数据；
[0024]其中，所述样本数据包括正常的测试数据、异常的测试数据与漏洞的测试数据。
[0025]进一步的，所述静态特征包括权限、系统代码、意图过滤器、网络地址、字符串与硬件组件；
[0026]所述动态特征包括系统调用、网络流量、系统组件与用户交互；
[0027]所述混合特征包括静态特征与动态特征组合的特征。
[0028]进一步的，使用卷积神经网络对所述样本数据进行优化，得到优化数据，包括：
[0029]基于卷积神经网络中的卷积层和池化层，对所述样本数据进行数据降维，得到所述优化数据；
[0030]所述优化数据存储于预构建的本地数据库。
[0031]进一步的，基于动静态兴趣的专家推荐模型算法，对所述优化数据进行训练，包括：
[0032]基于动静态兴趣的专家推荐模型算法中的问题编码算法，对所述优化数据进行训练，提取所述优化数据的时间序列和特征标签，形成输入数据。
[0033]进一步的，所述检测模型的训练方法，包括：
[0034]获取与恶意软件相对应的历史信息库；
[0035]根据所述历史信息库，采用非线性特征提取的方式提取历史信息库中的动态特征、静态特征与混合特征，得到训练集和验证集；
[0036]采用所述训练集训练预构建的检测模型；
[0037]基于所述验证集，对训练后的检测模型进行验证，将验证通过的检测模型作为训练好的检测模型。
[0038]进一步的，对训练后的检测模型进行验证，包括：
[0039]响应于所述检测模型的验证准确率大于预设的准确率阈值时，认定该检测模型有效，输出检测模型；
[0040]响应于所述检测模型的验证准确率小于或等于预设的准确率阈值时，认定该检测模型无效，返回上一步骤，重新训练所述训练集，更新检测模型。
[0041]第二方面，本专利技术公开了协同响应系统恶意软件的检测装置，所述装置包括数据获取模块、数据处理模块和预构建并训练好的检测模型；
[0042]所述数据获取模块，用于获取工控终端协同响应系统中的软件程序数据；
[0043]所述数据处理模块，用于对所述软件程序数据进行处理，以获取输入数据；
[0044]所述检测模型的输入层，用于对所述输入数据进行筛选，得到筛选后的输入数据；
[0045]所述检测模型的基于双向长短时记忆算法的隐藏层，用于对所述筛选后的输入数据进行特征分析，得到分析数据；
[0046]所述检测模型的全链接层，用于关联所述分析数据，得到输出数据；
[0047]所述检测模型的基于向量分类器的分类层，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.协同响应系统恶意软件的检测方法，其特征是，包括，获取工控终端协同响应系统中的软件程序数据，并对所述软件程序数据进行处理，以获取输入数据；将所述输入数据输入至预构建并训练好的检测模型中；利用所述检测模型的输入层对所述输入数据进行筛选，得到筛选后的输入数据；利用所述检测模型的基于双向长短时记忆算法的隐藏层对所述筛选后的输入数据进行特征分析，得到分析数据；利用所述检测模型的全链接层关联所述分析数据，得到输出数据；利用所述检测模型的基于向量分类器的分类层根据特征种类对所述输出数据进行分类，得到分类数据；利用所述检测模型的基于污点流基准测试框架的输出层通过污点流基准测试分析处理所述分类数据，输出检测结果。2.根据权利要求1所述的协同响应系统恶意软件的检测方法，其特征是，对所述软件程序数据进行处理，以获取输入数据，包括：采用基于模糊技术的动静态结合检测法对所述软件程序数据进行检测，得到样本数据；使用卷积神经网络对所述样本数据进行优化，得到优化数据；基于动静态兴趣的专家推荐模型算法，对所述优化数据进行训练，得到所述输入数据。3.根据权利要求2所述的协同响应系统恶意软件的检测方法，其特征是，所述采用基于模糊技术的动静态结合检测法对所述软件程序数据进行检测，得到样本数据，包括：对所述软件程序数据进行模糊测试的预处理，得到测试数据；提取所述测试数据的动态特征、静态特征与混合特征；根据所述动态特征、静态特征与混合特征，对测试数据进行分类，得到样本数据；其中，所述样本数据包括正常的测试数据、异常的测试数据与漏洞的测试数据。4.根据权利要求3所述的协同响应系统恶意软件的检测方法，其特征是，所述静态特征包括权限、系统代码、意图过滤器、网络地址、字符串与硬件组件；所述动态特征包括系统调用、网络流量、系统组件与用户交互；所述混合特征包括静态特征与动态特征组合的特征。5.根据权利要求2所述的协同响应系统恶意软件的检测方法，其特征是，使用卷积神经网络对所述样本数据进行优化，得到优化数据，包括：基于卷积神经网络中的卷积层和池化层，对所述样本数据进行数据降维，得到所述优化数据；所述优化数据存储于预构建的本地数据库。6.根据权利要求2所述的协同响应系统恶意软件的检测方法，其特征是，基于动静态兴趣的专家推荐模型算法，对所述优化数据进行训练，包括：基于动静态兴趣的专家推荐模型算法中的问题编码算法，对所述优化数据进行训练，提取所述优化数据的时...

【专利技术属性】
技术研发人员：李向南，杨维永，周小明，徐志超，俞建业，郭子昕，杨康乐，孙柏颜，祁龙云，刘苇，魏兴慎，刘寅，陈登洲，赵军，周毅，
申请(专利权)人：南京南瑞信息通信科技有限公司国网辽宁省电力有限公司信息通信分公司，
类型：发明
国别省市：