一种工业互联网恶意代码识别方法及装置与流程

本发明涉及网络安全技术领域，特别涉及一种工业互联网恶意代码识别方法及装置。

背景技术：

工业互联网重点在于网络、数据、安全这三个方面。网络是基础，数据是核心，安全是保障。网络为工业系统互联和工业数据交换的支撑基础，数据为工业智能化的核心驱动，安全为网络与数据在工业中应用安全的安全保障。虽然工业控制系统现有的物理隔离等安全防护技术措施能够降低来自互联网的传统病毒的入侵与传播威胁。近年来，随着两化融合的发展趋势，管理系统与工控系统的互联互通，在提升效率的同时，也把传统it风险延伸到了工业互联网。此外，随着越来越多通用系统、通用硬件被逐渐应用于工业互联网设施中，传统的系统漏洞也对工业互联网安全构成了威胁。

恶意代码分析有两类基本的方法：静态分析与动态分析。静态分析技术检测效率高，不需要执行恶意代码，但由于新的恶意代码普遍具有新的特征模式，利用静态分析技术很难检测出来；动态分析技术利用虚拟机或仿真器执行待测程序，监控并收集程序运行时显现的行为特征，即使对于新出现的恶意代码也能有较高的识别率，但每次分析都需要大量时间模拟执行，效率相对较低。随着深度学习在计算机视觉、语音识别和自然语言处理方面取得了一系列的成功，人们逐渐将深度学习应用于二进制病毒样本分类这个领域，并取得了一系列进展。基于深度学习的方法需要收集大量的已标记的样本，但工业互联网恶意代码存在收集困难，人工标记困难等难点，导致传统分类方法训练效果不理想。

技术实现要素：

本发明的目的是提供一种工业互联网恶意代码识别方法及装置，能够解决工业互联网恶意代码样本不足情况下，传统分类方法训练效果不理想的问题。

第一方面，本发明实施例提供一种工业互联网恶意代码识别方法，包括：

将原始恶意代码样本映射为定维特征向量；

将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；

通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

可选地，所述将原始恶意代码样本映射为定维特征向量，包括：

根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征；

建立所述恶意代码行为与所述静态行为特征一一对应的数学模型；

通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。

可选地，所述通过所述数学模型将所述原始恶意代码样本映射为定维特征向量，包括：

通过所述数学模型对所述原始恶意代码样本中恶意代码的二进制文件，经过反汇编得到对应的汇编代码，将所述汇编代码按照基本块进行划分，分别扫描每个基本块，以筛选内部应用程序接口api；

根据所述api执行的先后顺序和跳转指令的跳转结构，将反汇编得到的调用函数以及不同基本块中的api连接，以建立所述原始恶意代码的整体api调用图；

根据所述整体api调用图中各个节点的重要程度确定关键节点，并根据关键节点对所述整体api调用图进行标准化处理；

将标准化后的所述整体api调用图映射为定维特征向量，所述定维特征向量用于表征所述原始恶意代码样本的静态行为特征。

可选地，所述将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本，包括；

对所述原始恶意代码样本与获取到的多个良性代码样本的api进行提取，以构建api列表；

将接收到的一个随机噪声作为输入，通过生成对抗网络输出样本数据，所述噪声为所述api列表中的每个api产生一个随机数；

将所述样本数据的每个特征维度的取值置为0或1，并将生成的特征向量与所述定维特征向量在每个维度上进行或操作，得到对抗性样本，以及将所述对抗性样本的api写入到所述原始恶意代码样本中；

将所述对抗性样本输入至预设恶意代码判别器中进行检测并标记，将标记完成后的标记数据输入到替代判别器中，获取所述替代判别器的学习结果，基于所述学习结果输出最终的对抗性样本。

可选地，所述深度信念网络包括多层受限波尔兹曼机rbm和一层反向传播bp，所述通过扩充后的所述恶意代码样本训练深度信念网络，包括：

步骤1、将扩充后的所述恶意代码样本中恶意代码的二进制文件的特征向量作为输入，训练第一层rbm；

步骤2、固定所述第一层rbm的权值和偏移量，使用所述第一层rbm的隐藏节点，作为第二层rbm的输出向量；

步骤3、训练所述第二层rbm后，将所述第二层rbm堆叠在所述第一层rbm上方；

步骤4、重复执行步骤2和步骤3，直至训练完所有的rbm；

步骤5、将最后一个rbm的输出向量作为所述第一层rbm的输入，以初始化所述权值和偏移量；

步骤6、采用所述bp对所述深度信念网络进行调整，得到训练后的所述深度信念网络。

可选地，所述通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类，包括：

将训练后的所述深度信念网络作为恶意代码的分类器，输出扩充后的所述恶意代码样本中的各恶意代码的分类标记。

第二方面，本发明实施例提供一种工业互联网恶意代码识别装置，包括：

映射模块，用于将原始恶意代码样本映射为定维特征向量；

扩充模块，用于将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；

处理模块，用于通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

可选地，所述映射模块，具体用于根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征；建立所述恶意代码行为与所述静态行为特征一一对应的数学模型；通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法。

本发明实施例提供的工业互联网恶意代码识别方法及装置，利用生成对抗网络对原始恶意代码样本进行扩充，解决了工业互联网恶意代码样本不足情况下，传统分类方法训练效果不理想的问题。从而能够有效地提高工业互联网恶意代码分类的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的工业互联网恶意代码识别方法流程图；

图2为本发明实施例提供的利用深度信念网络对扩充后的恶意代码样本中的各恶意代码进行分类示意图；

图3为本发明实施例提供的工业互联网恶意代码识别装置结构示意图；

图4为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1，本实施例公开了一种工业互联网恶意代码识别方法，包括：

101、将原始恶意代码样本映射为定维特征向量；

本实施例可以结合工业互联网恶意代码的应用程序接口(api，applicationprogramminginterface)调用图将原始恶意代码样本映射为维度固定的特征向量。

恶意代码是指没有作用却会带来危险的代码，可以把所有不必要代码都看作是恶意代码，不必要代码相对于恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。

恶意代码具有如下两种定义：

定义一：恶意代码又称恶意软件，这些软件也可称为广告软件、间谍软件、恶意共享软件。是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。有时也称作流氓软件。

定义二：恶意代码是指故意编制或设置的，对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门以及逻辑炸弹等。

102、将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；

在获取到定维特征向量后，将定位特征向量作为输入，通过生成对抗网络对原始恶意代码进行对抗性样本的生成，以扩充原始恶意代码样本，得到扩充后的恶意代码样本。

生成对抗网络，又称生成式对抗网络(gan，generativeadversarialnetworks)是一种深度学习模型，是近年来复杂分布上无监督学习最具前景的方法之一。模型通过框架中(至少)两个模块：生成模型(generativemodel)和判别模型(discriminativemodel)的互相博弈学习产生相当好的输出。原始gan理论中，并不要求g和d都是神经网络。只需要是能拟合相应生成和判别的函数即可。但实用中一般均使用深度神经网络作为g和d。一个优秀的gan应用需要有良好的训练方法，否则可能由于神经网络模型的自由性而导致输出不理想。

103、通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

在利用生成对抗网络进行原始恶意代码样本的扩充后，以扩充后的恶意代码样本进行深度信念网络的训练，之后通过训练好的深度信念网络对恶意代码进行分类。

训练好的深度信念网络可以看作为恶意代码的分类器，用于对恶意代码进行分类标记。

本实施例提供的工业互联网恶意代码识别方法，利用生成对抗网络对原始恶意代码样本进行扩充，解决了工业互联网恶意代码样本不足情况下，传统分类方法训练效果不理想的问题。从而能够有效地提高工业互联网恶意代码分类的准确性。

在前述方法实施例的基础上，步骤101中将原始恶意代码样本映射为定维特征向量，包括：

根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征；

建立所述恶意代码行为与所述静态行为特征一一对应的数学模型；

通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。

具体地，根据工业互联网恶意代码行为的不同，设定对应的静态行为特征，建立工业互联网恶意代码行为与静态行为特征一一对应的数学模型，将工业互联网恶意代码样本映射为定维特征向量。静态行为特征可以是应用组件、intents、请求的权限、硬件信息、api调用、受保护的api、使用的权限、源码模式、字符串、认证信息和负载信息等。

进一步的，上述通过所述数学模型将所述原始恶意代码样本映射为定维特征向量，包括：

通过所述数学模型对所述原始恶意代码样本中恶意代码的二进制文件，经过反汇编得到对应的汇编代码，将所述汇编代码按照基本块进行划分，分别扫描每个基本块，以筛选内部应用程序接口api；

根据所述api执行的先后顺序和跳转指令的跳转结构，将反汇编得到的不同调用函数以及不同基本块中的api连接，以建立所述原始恶意代码的整体api调用图；

根据所述整体api调用图中各个节点的重要程度确定关键节点，并根据关键节点对所述整体api调用图进行标准化处理；

将标准化后的所述整体api调用图映射为定维特征向量，所述定维特征向量用于表征所述原始恶意代码样本的静态行为特征。

具体地，采用静态分析法对原始恶意代码的二进制文件进行逆向反汇编，得到对应的汇编代码，将汇编代码按照基本块进行划分，分别扫描每个基本块，选取包含call指令的语句以及包含跳转指令的语句，如jz、jmp、jnz等。call指令调用的函数分为两类，自定义函数和api。如果调用目标为自定义函数，则进入该自定义函数内部，继续扫描其内部汇编语句，筛选其内部api。筛选结束后，根据api执行的先后顺序和跳转指令的跳转结构，将不同函数以及不同基本块中api连接，建立原始恶意代码的整体api调用图。根据整体api调用图中各个节点的重要程度，确定关键节点，根据关键节点对整体api调用图进行简化改造，使得整体api调用图结构标准化。将标准化后的api调用图映射为定维特征向量，作为原始恶意代码样本的静态行为特征。

在前述方法实施例的基础上，步骤102中将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本，包括：

对所述原始恶意代码样本与获取到的多个良性代码样本的api进行提取，以构建api列表；

将接收到的一个随机噪声作为输入，通过生成对抗网络输出样本数据，所述噪声为所述api列表中的每个api产生一个随机数；

将所述样本数据的每个特征维度的取值置为0或1，并将生成的特征向量与所述定维特征向量在每个维度上进行或操作，得到对抗性样本，以及将所述对抗性样本的api写入到所述原始恶意代码样本中；

将所述对抗性样本输入至预设恶意代码判别器中进行检测并标记，将标记完成后的标记数据输入到替代判别器中，获取所述替代判别器的学习结果，基于所述学习结果输出最终的对抗性样本。

具体地，对单个原始恶意代码样本与获取到的多个良性代码样本的api进行提取，构建api列表。生成对抗网络中的生成网络接收一个噪声数据作为输入，噪声为api列表中的每个api产生一个随机数z∈[-1,1]，并作为生成网络的输入，输出一个和原始恶意代码样本相同大小的样本数据。将样本数据的每个特征维度的取值置为0或1，并将生成的特征向量与原始恶意代码样本的定维特征向量在每个维度上进行或操作，得到对抗性样本，并将对抗性样本的api写入到原始恶意代码样本中，防止对抗性样本删除原始恶意代码的初始api，破坏原始恶意代码的功能。生成对抗性样本后，将对抗性样本输入到恶意代码判别器中进行检测，并进行标记，标记完成后，将标记数据输入到替代判别器中，学习恶意代码判别器的判别规则。生成对抗网络中的生成网络根据替代判别器的学习结果输出最终的对抗性样本。

在前述方法实施例的基础上，所述深度信念网络包括多层受限波尔兹曼机(rbm，restrictedboltzmannmachine)和一层反向传播(bp，backpropagation)，步骤103中通过扩充后的所述恶意代码样本训练深度信念网络，包括：

步骤1、将扩充后的所述恶意代码样本中恶意代码的二进制文件的特征向量作为输入，训练第一层rbm；

步骤2、固定所述第一层rbm的权值和偏移量，使用所述第一层rbm的隐藏节点，作为第二层rbm的输出向量；

步骤3、训练所述第二层rbm后，将所述第二层rbm堆叠在所述第一层rbm上方；

步骤4、重复执行步骤2和步骤3，直至训练完所有的rbm；

步骤5、将最后一个rbm的输出向量作为所述第一层rbm的输入，以初始化所述权值和偏移量；

步骤6、采用所述bp对所述深度信念网络进行调整，得到训练后的所述深度信念网络。

进一步的，步骤103中通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类，包括：

将训练后的所述深度信念网络作为恶意代码的分类器，输出扩充后的所述恶意代码样本中的各恶意代码的分类标记。

具体地，请参阅图2，图2为利用深度信念网络对扩充后的恶意代码样本中的各恶意代码进行分类示意图。在图2中，深度信念网络由多层受限波尔兹曼机rbm和一层反向传播bp组成，即图2中所示的rbm1、rbmi和rbmn和bp。将扩充后的恶意代码样本中恶意代码的二进制文件的特征向量作为输入，充分训练第一层rbm。固定第一层rbm的权值和偏移量，使用其隐藏节点，作为第二层rbm的输入向量。充分训练第二层rbm，将第二层rbm堆叠在第一层rbm上方。重复执行直至训练完所有的rbm。将最后一个rbm的输出作为第一层的输入，初始化权值和偏移量。采用bp对整个深度信念网络进行调整。将训练好的深度信念网络作为恶意代码的分类器，输出扩充后的恶意代码样本中的各恶意代码的分类标记。

综上，本实施例提出的工业互联网恶意代码识别方法，利用工业互联网恶意代码的api调用图进行其特征数据的提取，并通过关键节点的选取将所有api调用图标准化；并通过改进生成对抗网络，使用对抗网络生成样本训练分析模型，对工业互联网恶意代码样本进行扩充，提高模型识别准确率。本实施例的方法结合了api调用图的特征提取能力、生成对抗网络的样本扩充能力以及深度信念网络的分类能力，使本实施例的工业互联网恶意代码识别方法在初始标记样本数量不足的前提下，能够有效地提高工业互联网恶意代码分类的准确率。

基于上述实施例的内容，本实施例提供了一种工业互联网恶意代码识别装置，该工业互联网恶意代码识别装置用于执行上述方法实施例中提供的工业互联网恶意代码识别方法。参见图3，该装置包括：

映射模块301，用于将原始恶意代码样本映射为定维特征向量；

扩充模块302，用于将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；

处理模块303，用于通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

本实施例提供的工业互联网恶意代码识别装置，利用生成对抗网络对原始恶意代码样本进行扩充，解决了工业互联网恶意代码样本不足情况下，传统分类方法训练效果不理想的问题。从而能够有效地提高工业互联网恶意代码分类的准确性。

在一些可选实施例中，所述映射模块301，具体用于根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征；建立所述恶意代码行为与所述静态行为特征一一对应的数学模型；通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。

进一步的，所述映射模块301，具体用于通过所述数学模型对所述原始恶意代码样本中恶意代码的二进制文件，经过反汇编得到对应的汇编代码，将所述汇编代码按照基本块进行划分，分别扫描每个基本块，以筛选内部应用程序接口api；根据所述api执行的先后顺序和跳转指令的跳转结构，将反汇编得到的不同调用函数以及不同基本块中的api连接，以建立所述原始恶意代码的整体api调用图；根据所述整体api调用图中各个节点的重要程度确定关键节点，并根据关键节点对所述整体api调用图进行标准化处理；将标准化后的所述整体api调用图映射为定维特征向量，所述定维特征向量用于表征所述原始恶意代码样本的静态行为特征。

在一些可选实施例中，所述扩充模块302，具体用于对所述原始恶意代码样本与获取到的多个良性代码样本的api进行提取，以构建api列表；将接收到的一个随机噪声作为输入，通过生成对抗网络输出样本数据，所述噪声为所述api列表中的每个api产生一个随机数；将所述样本数据的每个特征维度的取值置为0或1，并将生成的特征向量与所述定维特征向量在每个维度上进行或操作，得到对抗性样本，以及将所述对抗性样本的api写入到所述原始恶意代码样本中；将所述对抗性样本输入至预设恶意代码判别器中进行检测并标记，将标记完成后的标记数据输入到替代判别器中，获取所述替代判别器的学习结果，基于所述学习结果输出最终的对抗性样本。

在一些可选实施例中，所述深度信念网络包括多层受限波尔兹曼机rbm和一层反向传播bp，所述处理模块303，具体用于执行如下步骤：

步骤1、将扩充后的所述恶意代码样本中恶意代码的二进制文件的特征向量作为输入，训练第一层rbm；

步骤2、固定所述第一层rbm的权值和偏移量，使用所述第一层rbm的隐藏节点，作为第二层rbm的输出向量；

步骤3、训练所述第二层rbm后，将所述第二层rbm堆叠在所述第一层rbm上方；

步骤4、重复执行步骤2和步骤3，直至训练完所有的rbm；

步骤5、将最后一个rbm的输出向量作为所述第一层rbm的输入，以初始化所述权值和偏移量；

步骤6、采用所述bp对所述深度信念网络进行调整，得到训练后的所述深度信念网络。

进一步的，所述处理模块303，具体用于将训练后的所述深度信念网络作为恶意代码的分类器，输出扩充后的所述恶意代码样本中的各恶意代码的分类标记。

综上，本实施例提出的工业互联网恶意代码识别装置，利用工业互联网恶意代码的api调用图进行其特征数据的提取，并通过关键节点的选取将所有api调用图标准化；并通过改进生成对抗网络，使用对抗网络生成样本训练分析模型，对工业互联网恶意代码样本进行扩充，提高模型识别准确率。本实施例结合了api调用图的特征提取能力、生成对抗网络的样本扩充能力以及深度信念网络的分类能力，使本实施例的工业互联网恶意代码识别装置在初始标记样本数量不足的前提下，能够有效地提高工业互联网恶意代码分类的准确率。

本实施例的工业互联网恶意代码识别装置，可以用于执行前述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)401、通信接口(communicationsinterface)402、存储器(memory)403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令，以执行如下方法：将原始恶意代码样本映射为定维特征向量；将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：将原始恶意代码样本映射为定维特征向量；将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。