[发明专利]适用于电力工控网络的基于自培养算法的恶意代码防护方法

权利要求书

1.适用于电力工控网络的基于自培养算法的恶意代码防护方法，其特征在于，包括：

对电力工控网络中的所有文件上传、下载流量进行分析，提取出其中的文件放入培养室中进行执行，并持续一定时间的监控，监控文件在培养室中的运行过程和效果，然后基于监控情况采用自培养算法计算该文件的威胁系数，如果文件威胁系数超过规定阈值，则将该文件标记为恶意代码，然后放入恶意代码库中，并反馈监控结果到用户主机，用户主机启动自扫描程序，查找是否存在该文件，如果存在，则与恶意代码库中的文件进行匹配，匹配成功，则启动恶意代码查杀过程。

2.如权利要求1所述的方法，其特征在于，提取出其中的文件放入培养室的方法包括：

文件的提取方法、培养室的创建方法；

其中，文件的提取方法包括：在每一台电力工控主机上安装有恶意代码防护程序，该程序监控本地主机与网络发生的全部流量，当发现其中有文件上传行为时，将上传的文件从流量中复制出来，采用zip压缩算法将该文件压缩后，存放在临时磁盘空间，并通知恶意代码防护程序根据当前操作系统环境创建培养室；其中，通知内容包括：当前操作系统类型、版本、磁盘空间、内存大小、提取的文件和文件格式；

培养室的创建方法包括：当恶意代码防护程序收到创建培养室的通知后，会根据通知内容，采用容器技术，调用已经符合要求的容器，并开启，如果没有符合要求的容器，则创建包含对应操作系统类型、版本、磁盘空间、内存大小的容器，并部署对应文件格式的程序，然后开启容器，并把通知中包括的文件存在容器中。

3.如权利要求1所述的方法，其特征在于，文件在培养室中执行，并监控文件在培养室中的运行过程和效果的方法包括：

所述的执行采用容器中已经部署的对应文件的执行程序打开文件，模拟文件被人正常点击执行的过程；

所述的监控文件在培养室中的运行过程和效果包含记录执行程序打开文件后操作系统环境发生的各种变化，包括注册表信息变化、进程变化、内存变化、文件系统变化、网络流量变化、操作系统画面变化、用户组变化，并记录到文本中；记过过程每隔30分钟进行一次，持续24小时，共记录了48次，记录结果追加到文本中。

4.如权利要求1所述的方法，其特征在于，基于监控情况采用自培养算法计算该文件的威胁系数的方法包括：

所述自培养算法基于Kohonen自组织特征映射算法结果的加权模型，具体计算该文件的威胁系数的方法包括：

威胁系数初始化：用随机数设定输入层和映射层之间的权值的初始值；

输入向量的输入：把监控文件在培养室中的记录文本中的各个数据作为输入层的输入向量x＝(x₁，x₂，x₃…，x₄₈)⁴，其中x_i表示每条记录的哈希值按照如下公式归一化处理的结果：

其中max为样本数据的哈希最大值，min为样本数据的哈希最小值；

计算映射层的权值向量和输入向量的距离：在映射层，计算各神经元的权值向量和输入向量的欧式距离；这里映射层的第j个神经元和输入向量的距离为：

其中，w_ij为输入层的i神经元和映射层的j神经元之间的权值，x_i表示每条记录的哈希值归一化处理的结果；

选取权值向量中距离最小的神经元：计算并选取使输入向量和权值向量的距离最小的神经元，如d_j为最小，则将其称为胜出神经元，并记作j^*，并给出其邻接神经元集合；

其中，权值的学习方法：胜出神经元和位于其临界神经元的权值，通过以下公式进行更新：

Δw_xj＝ηh(j，j^*)(x_i-w_ij)

其中η是一个大于0小于1的常数，其中σ²会随着学习的进行而减小，因此h(j，j^*)也会随着学习的进行而慢慢变窄；

得到最终的威胁系数：当胜出神经元和其附近的神经元全部接近当时的输入向量时，认为文件已经符合某一类威胁，将此时的i,j带入威胁系数计算公式中：

其中E为威胁系数。