本发明专利技术公开了一种智能电网恶意软件检测方法及系统,涉及智能电网安全和电力信息安全技术领域,该方法包括:获取智能电网主机系统中的待检测软件,提取待检测软件的操作码序列,通过统计语言模型提取待检测软件操作码序列的序列特征;将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中,输出检测结果;其中,以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本,将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本,利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型,完成恶意软件检测网络模型的训练
【技术实现步骤摘要】
一种智能电网恶意软件检测方法及系统
[0001]本专利技术涉及智能电网安全和电力信息安全
,尤其涉及一种智能电网恶意软件检测方法及系统
。
技术介绍
[0002]随着信息通信及互联网技术的发展,智能电网随之逐步发展,为电力系统带来了巨大变革
。
智能电网是指电网智能化,建立在集成的
、
高速双向通信网络的基础上,通过先进的传感和测量技术
、
先进的设备技术
、
先进的控制方法以及先进的决策支持系统技术的应用,实现电网的可靠
、
安全
、
经济
、
高效
、
环境友好和使用安全的目标
。
智能电网作为一种新型电力系统,能够监测分析客户
、
电网设备及网络节点上电力流与信息流,控制电力流与信息流双向流动,实现电网自主优化运行
。
然而,智能电网带来巨大的便利的同时,也面临着一些安全威胁,特别是恶意软件的威胁
。
智能电网主机系统的安全关系着信息系统的正确性,攻击者通过向智能电网主机植入恶意软件,以达到破坏电力监控系统或篡改
、
伪造信息流的目的,进而影响电力系统的稳定性
。
[0003]为了能有效抵御恶意软件威胁,通常通过部署恶意软件检测系统对智能电网主机操作系统进行扫描和检测
。
目前的恶意软件检测方法通常是通过提取样本软件可执行程序的
Hash
码r/>(
即哈希码
)
,与基于已知恶意软件
Hash
码所构建的
Hash
码库进行匹配,以此识别并检测出恶意软件
。
但是,随着恶意软件未知变种的泛滥,恶意软件变种的
Hash
码发生改变,现有的检测方法无法准确检测出恶意软件
。
[0004]近年来,随着机器学习的发展,基于机器学习的恶意软件检测方法应运而生
。
但是基于机器学习的检测方法,一方面受到训练样本集的影响,目前已知恶意软件数量少且随着恶意软件未知变种的泛滥,基于小样本数据集训练得到的检测模型难以应对恶意软件未知变种的威胁,其检测准确性较差;另一方面,受限于单一机器学习方法的局限性,这一检测方法的鲁棒性较差,影响最终检测结果的准确性
。
技术实现思路
[0005]为解决上述现有技术的不足,本专利技术提供了一种智能电网恶意软件检测方法及系统,通过深度卷积生成对抗网络生成带标签的多种变种软件样本数据,解决检测模型训练过程中因训练数据量不足而导致模型检测效果差的问题,同时,采用集成学习的方法融合多种机器学习算法,训练得到最终的检测模型,提高恶意软件未知变种检测的准确性和鲁棒性
。
[0006]第一方面,本公开提供了一种智能电网恶意软件检测方法
。
[0007]一种智能电网恶意软件检测方法,包括:获取智能电网主机系统中的待检测软件,提取待检测软件的操作码序列;基于待检测软件的操作码序列,通过统计语言模型提取待检测软件操作码序列的序列特征;
将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中,输出检测结果;其中,恶意软件检测网络模型的训练过程为:以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本,将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本,利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型,直至模型损失值小于预设值,完成模型的训练
。
[0008]第二方面,本公开提供了一种智能电网恶意软件检测系统
。
[0009]一种智能电网恶意软件检测系统,包括:软件数据获取模块,用于获取智能电网主机系统中的待检测软件,提取待检测软件的操作码序列;特征提取模块,用于基于待检测软件的操作码序列,通过统计语言模型提取待检测软件操作码序列的序列特征;检测模块,用于将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中,输出检测结果;其中,恶意软件检测网络模型的训练过程为:以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本,将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本,利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型,直至模型损失值小于预设值,完成模型的训练
。
[0010]以上一个或多个技术方案存在以下有益效果:
1、
本专利技术提供了一种智能电网恶意软件检测方法及系统,通过深度卷积生成对抗网络生成带标签的多种变种软件样本数据,解决检测模型训练过程中因训练数据量不足而导致模型检测效果差的问题,同时,采用集成学习的方法融合多种机器学习算法,训练得到最终的检测模型,提高恶意软件未知变种检测的准确性和鲁棒性
。
[0011]2、
本专利技术构建深度卷积生成对抗网络,利用深度卷积提取输入数据样本的特征,基于提取的特征来生成虚假样本,以此提高虚假样本生成的效果,使网络生成的虚假样本数据更贴近于真实样本数据,相较于简单的数据增广方式,通过这一方式能够保证数据类型的丰富性和多样性,更适合应对未知变种恶意软件的准确检测
。
[0012]3、
本专利技术采用集成支持向量机和卷积神经网络的智能电网恶意软件检测模型,综合多种检测模型的性能,覆盖更多的样本数据特征,改善单一检测模型样本特征和收敛性能的局限性,实现更高精确度的恶意软件检测
。
附图说明
[0013]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定
。
[0014]图1为本专利技术实施例所述智能电网恶意软件检测方法的整体流程图;图2为本专利技术实施例中深度卷积生成对抗网络的整体结构图;图3为本专利技术实施例中恶意软件检测网络模型的框架图
。
具体实施方式
[0015]应该指出,以下详细说明都是示例性的,仅是为了描述具体实施方式,旨在对本专利技术提供进一步的说明,并非意图限制根据本专利技术的示例性实施方式
。
除非另有指明,本文使
用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义
。
此外,还应当理解的是,当在本说明书中使用术语“包含”和
/
或“包括”时,其指明存在特征
、
步骤
、
操作
、
器件
、
组件和
/
或它们的组合
。
[0016]实施例一现有的基于机器学习的恶意软件未知变种检测方法,利用有限的已标记恶意或良性的软件样本训练检测模型,以检测待检测软件是否为恶意软件,然而,这一方法一方面受限于有限的训练样本及其特征分布,另一方面受限于单本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种智能电网恶意软件检测方法,其特征是,包括:获取智能电网主机系统中的待检测软件,提取待检测软件的操作码序列;基于待检测软件的操作码序列,通过统计语言模型提取待检测软件操作码序列的序列特征;将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中,输出检测结果;其中,恶意软件检测网络模型的训练过程为:以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本,将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本,利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型,直至模型损失值小于预设值,完成模型的训练
。2.
如权利要求1所述的智能电网恶意软件检测方法,其特征是,所述深度卷积生成对抗网络包括生成模型和判别模型;所述生成模型包括反卷积层
、
批标准化层和激活层,用于提取输入的随机数据的低维特征,学习真实数据的分布,并将低维特征映射成高维输出的样本数据,生成虚假样本数据;所述判别模型包括特征提取层
、
卷积层
、
批标准化层
、
池化层和分类器,所述特征提取层用于提取输入的样本数据的特征,所述分类器用于对输入的样本数据进行真假辨别
。3.
如权利要求2所述的智能电网恶意软件检测方法,其特征是,所述生成模型的网络优化公式为:其中,表示输入的样本数据,表示生成网络,表示判别网络,表示输入的随机数据的分布,表示生成网络的输出,
)
表示判别网络判断生成网络生成数据是否真实的概率
。4.
如权利要求2所述的智能电网恶意软件检测方法,其特征是,所述判别模型的网络优化公式为:其中,表示输入的样本数据,表示生成网络,表示判别网络,表示真实样本的数据分布,表示生成样本的数据分布,
G(z)
表示生成网络的输出,
)
表示判别网络
D
判断生成网络
G
生成数据是否真实的概率
。5.
如权利要求2所述的智能电网恶意软件检测方法,其特征是,所述深度卷积生成对抗网络采用交叉熵损失函数,损失函数的计算公式为:其中,表示概率分布期望输出,表示概率分布实际输出,表示第个输入数据,即输入的第个样本软件操作码序列<...
【专利技术属性】
技术研发人员:高本猛,李仲,常秀宣,马娟,秦婕,唐鹏程,姜东东,邢洪弟,张新宇,马文立,
申请(专利权)人:国网山东省电力公司鱼台县供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。