一种智能电网恶意软件检测方法及系统与流程

本发明涉及智能电网安全和电力信息安全，尤其涉及一种智能电网恶意软件检测方法及系统。

背景技术：

1、随着信息通信及互联网技术的发展，智能电网随之逐步发展，为电力系统带来了巨大变革。智能电网是指电网智能化，建立在集成的、高速双向通信网络的基础上，通过先进的传感和测量技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用，实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标。智能电网作为一种新型电力系统，能够监测分析客户、电网设备及网络节点上电力流与信息流，控制电力流与信息流双向流动，实现电网自主优化运行。然而，智能电网带来巨大的便利的同时，也面临着一些安全威胁，特别是恶意软件的威胁。智能电网主机系统的安全关系着信息系统的正确性，攻击者通过向智能电网主机植入恶意软件，以达到破坏电力监控系统或篡改、伪造信息流的目的，进而影响电力系统的稳定性。

2、为了能有效抵御恶意软件威胁，通常通过部署恶意软件检测系统对智能电网主机操作系统进行扫描和检测。目前的恶意软件检测方法通常是通过提取样本软件可执行程序的hash码(即哈希码)，与基于已知恶意软件hash码所构建的hash码库进行匹配，以此识别并检测出恶意软件。但是，随着恶意软件未知变种的泛滥，恶意软件变种的hash码发生改变，现有的检测方法无法准确检测出恶意软件。

3、近年来，随着机器学习的发展，基于机器学习的恶意软件检测方法应运而生。但是基于机器学习的检测方法，一方面受到训练样本集的影响，目前已知恶意软件数量少且随着恶意软件未知变种的泛滥，基于小样本数据集训练得到的检测模型难以应对恶意软件未知变种的威胁，其检测准确性较差；另一方面，受限于单一机器学习方法的局限性，这一检测方法的鲁棒性较差，影响最终检测结果的准确性。

技术实现思路

1、为解决上述现有技术的不足，本发明提供了一种智能电网恶意软件检测方法及系统，通过深度卷积生成对抗网络生成带标签的多种变种软件样本数据，解决检测模型训练过程中因训练数据量不足而导致模型检测效果差的问题，同时，采用集成学习的方法融合多种机器学习算法，训练得到最终的检测模型，提高恶意软件未知变种检测的准确性和鲁棒性。

2、第一方面，本公开提供了一种智能电网恶意软件检测方法。

3、一种智能电网恶意软件检测方法，包括：

4、获取智能电网主机系统中的待检测软件，提取待检测软件的操作码序列；

5、基于待检测软件的操作码序列，通过统计语言模型提取待检测软件操作码序列的序列特征；

6、将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中，输出检测结果；其中，恶意软件检测网络模型的训练过程为：以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本，将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本，利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型，直至模型损失值小于预设值，完成模型的训练。

7、第二方面，本公开提供了一种智能电网恶意软件检测系统。

8、一种智能电网恶意软件检测系统，包括：

9、软件数据获取模块，用于获取智能电网主机系统中的待检测软件，提取待检测软件的操作码序列；

10、特征提取模块，用于基于待检测软件的操作码序列，通过统计语言模型提取待检测软件操作码序列的序列特征；

11、检测模块，用于将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中，输出检测结果；其中，恶意软件检测网络模型的训练过程为：以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本，将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本，利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型，直至模型损失值小于预设值，完成模型的训练。

12、以上一个或多个技术方案存在以下有益效果：

13、1、本发明提供了一种智能电网恶意软件检测方法及系统，通过深度卷积生成对抗网络生成带标签的多种变种软件样本数据，解决检测模型训练过程中因训练数据量不足而导致模型检测效果差的问题，同时，采用集成学习的方法融合多种机器学习算法，训练得到最终的检测模型，提高恶意软件未知变种检测的准确性和鲁棒性。

14、2、本发明构建深度卷积生成对抗网络，利用深度卷积提取输入数据样本的特征，基于提取的特征来生成虚假样本，以此提高虚假样本生成的效果，使网络生成的虚假样本数据更贴近于真实样本数据，相较于简单的数据增广方式，通过这一方式能够保证数据类型的丰富性和多样性，更适合应对未知变种恶意软件的准确检测。

15、3、本发明采用集成支持向量机和卷积神经网络的智能电网恶意软件检测模型，综合多种检测模型的性能，覆盖更多的样本数据特征，改善单一检测模型样本特征和收敛性能的局限性，实现更高精确度的恶意软件检测。

技术特征：

1.一种智能电网恶意软件检测方法，其特征是，包括：

2.如权利要求1所述的智能电网恶意软件检测方法，其特征是，所述深度卷积生成对抗网络包括生成模型和判别模型；

3.如权利要求2所述的智能电网恶意软件检测方法，其特征是，所述生成模型的网络优化公式为：

4.如权利要求2所述的智能电网恶意软件检测方法，其特征是，所述判别模型的网络优化公式为：

5.如权利要求2所述的智能电网恶意软件检测方法，其特征是，所述深度卷积生成对抗网络采用交叉熵损失函数，损失函数的计算公式为：

6.如权利要求1所述的智能电网恶意软件检测方法，其特征是，在利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型的过程中，根据训练结果为卷积神经网络和支持向量机分配相应权重。

7.如权利要求6所述的一种智能电网恶意软件检测方法，其特征是，令支持向量机和卷积神经网络这两个模型的判别结果为={,}，并为每个模型分别分配一个随机初始权重，根据样本标签，基于logistic函数进行有监督训练，自适应优化每个模型的决策权重，最终得到卷积神经网络和支持向量机的最优权重。

8.一种智能电网恶意软件检测系统，其特征是，包括：

9.如权利要求8所述的智能电网恶意软件检测系统，其特征是，所述深度卷积生成对抗网络包括生成模型和判别模型；

10.如权利要求8所述的智能电网恶意软件检测系统，其特征是，在利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型的过程中，根据训练结果为卷积神经网络和支持向量机分配相应权重。

技术总结
本发明公开了一种智能电网恶意软件检测方法及系统，涉及智能电网安全和电力信息安全技术领域，该方法包括：获取智能电网主机系统中的待检测软件，提取待检测软件的操作码序列，通过统计语言模型提取待检测软件操作码序列的序列特征；将待检测软件的序列特征输入至训练完成的恶意软件检测网络模型中，输出检测结果；其中，以多个不同类型的恶意软件和良性软件的操作码序列为真实训练样本，将真实训练样本输入至深度卷积生成对抗网络中生成虚假训练样本，利用真实训练样本和虚假训练样本共同训练基于支持向量机和卷积神经网络的恶意软件检测网络模型，完成恶意软件检测网络模型的训练。本发明实现恶意软件未知变种检测准确性和鲁棒性的提高。

技术研发人员：高本猛,李仲,常秀宣,马娟,秦婕,唐鹏程,姜东东,邢洪弟,张新宇,马文立
受保护的技术使用者：国网山东省电力公司鱼台县供电公司
技术研发日：
技术公布日：2024/1/16