[发明专利]一种工业互联网恶意代码识别方法及装置

权利要求书

1.一种工业互联网恶意代码识别方法，其特征在于，包括:

将原始恶意代码样本映射为定维特征向量；

将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本；

通过扩充后的所述恶意代码样本训练深度信念网络，并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。

2.根据权利要求1所述的工业互联网恶意代码识别方法，其特征在于，所述将原始恶意代码样本映射为定维特征向量，包括：

根据原始恶意代码样本中的各恶意代码行为设定对应的静态行为特征；

建立所述恶意代码行为与所述静态行为特征一一对应的数学模型；

通过所述数学模型将所述原始恶意代码样本映射为定维特征向量。

3.根据权利要求2所述的工业互联网恶意代码识别方法，其特征在于，所述通过所述数学模型将所述原始恶意代码样本映射为定维特征向量，包括：

通过所述数学模型对所述原始恶意代码样本中恶意代码的二进制文件，经过反汇编得到对应的汇编代码，将所述汇编代码按照基本块进行划分，分别扫描每个基本块，以筛选内部应用程序接口API；

根据所述API执行的先后顺序和跳转指令的跳转结构，将反汇编得到的不同调用函数以及不同基本块中的API连接，以建立所述原始恶意代码的整体API调用图；

根据所述整体API调用图中各个节点的重要程度确定关键节点，并根据关键节点对所述整体API调用图进行标准化处理；

将标准化后的所述整体API调用图映射为定维特征向量，所述定维特征向量用于表征所述原始恶意代码样本的静态行为特征。

4.根据权利要求1所述的工业互联网恶意代码识别方法，其特征在于，所述将所述定维特征向量作为输入，通过生成对抗网络对所述原始恶意代码样本进行扩充，得到扩充后的恶意代码样本，包括；

对所述原始恶意代码样本与获取到的多个良性代码样本的API进行提取，以构建API列表；

将接收到的一个随机噪声作为输入，通过生成对抗网络输出样本数据，所述噪声为所述API列表中的每个API产生一个随机数；

将所述样本数据的每个特征维度的取值置为0或1，并将生成的特征向量与所述定维特征向量在每个维度上进行或操作，得到对抗性样本，以及将所述对抗性样本的API写入到所述原始恶意代码样本中；

将所述对抗性样本输入至预设恶意代码判别器中进行检测并标记，将标记完成后的标记数据输入到替代判别器中，获取所述替代判别器的学习结果，基于所述学习结果输出最终的对抗性样本。

5.根据权利要求1所述的工业互联网恶意代码识别方法，其特征在于，所述深度信念网络包括多层受限波尔兹曼机RBM和一层反向传播BP，所述通过扩充后的所述恶意代码样本训练深度信念网络，包括：

步骤1、将扩充后的所述恶意代码样本中恶意代码的二进制文件的特征向量作为输入，训练第一层RBM；

步骤2、固定所述第一层RBM的权值和偏移量，使用所述第一层RBM的隐藏节点，作为第二层RBM的输出向量；

步骤3、训练所述第二层RBM后，将所述第二层RBM堆叠在所述第一层RBM上方；

步骤4、重复执行步骤2和步骤3，直至训练完所有的RBM；

步骤5、将最后一个RBM的输出向量作为所述第一层RBM的输入，以初始化所述权值和偏移量；

步骤6、采用所述BP对所述深度信念网络进行调整，得到训练后的所述深度信念网络。

6.根据权利要求5所述的工业互联网恶意代码识别方法，其特征在于，所述通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类，包括：

将训练后的所述深度信念网络作为恶意代码的分类器，输出扩充后的所述恶意代码样本中的各恶意代码的分类标记。