CN114091021A

CN114091021A - 一种用于电力企业安全防护的恶意代码检测方法

Info

Publication number: CN114091021A
Application number: CN202111330365.7A
Authority: CN
Inventors: 王方玉; 张之刚; 李若峰; 付卫宁
Original assignee: Zhongnan Electric Power Test and Research Institute of China Datang Group Science and Technology Research Institute Co Ltd
Current assignee: Zhongnan Electric Power Test and Research Institute of China Datang Group Science and Technology Research Institute Co Ltd
Priority date: 2021-11-11
Filing date: 2021-11-11
Publication date: 2022-02-25

Abstract

本发明涉及一种用于电力企业安全防护的恶意代码检测方法，通过对系统程序生成的指令集进行原数据集的采样，根据数据集中指令集的特征，通过分析样本的内容、样本之间地关系提取恶意特征，使用污点传播分析算法对指令集进行污点标记，构建行为依赖图，并对行为依赖图增强处理，构造正、负例样本，根据得到的正、负样本数据对比学习，生成足够多样本，然后把新生成的样本数据与原数据集组成增强数据集，把增强数据集输入以神经网络为编码器的对比学习的特征提取器中学习恶意代码的表示特征，最后通过反向传播算法对神经网络的损失函数调参优化，保存训练的最优模型对恶意代码检测识别。

Description

一种用于电力企业安全防护的恶意代码检测方法

技术领域

本发明属于网络安全技术领域，特别是用于电力企业安全防护的恶意代码检测方法。

背景技术

随着电力系统自动化水平的提高、功能的丰富及调度数据网覆盖范围的延伸、用户的增加，电力系统信息安全威胁愈发多元化。电力行业中高危漏洞、中危漏洞、低危漏洞分别占21％、55％、和24％。攻击者利用高危漏洞，可获取电力工控端的控制权限，任意修改开关等部件的状态，中断、干扰正常的供电业务，可以工控端为跳板向上一级网络和横向网络发起攻击时，控制更大范围的供电系统，造成严重后果。电力系统是独立网络，于公共物联网物理隔离，windows操作系统的恶意代码库无法及时更新病毒，其他区类的操作系统不具备恶意代码防护功能。其中恶意代码攻击会导致电力系统出现通信中断、数据丢失、信号错误、系统瘫痪等问题，因此如何有效的在电力企业网路系统中独立部署一套恶意代码防护系统非常重要。

企业安全防护中的恶意代码检测是网络安全领域存在的挑战问题之一，在真实场景中收集到的恶意代码，大部分类别分布不均衡。目前对恶意代码检测识别的方法主要包括：恶意代码静态分析、动态分析和混合分析等。静态识别技术中有基于特征码的识别技术、基于二进制概要信息的恶意代码检测技术、基于逆向分析的恶意代码检测技术；动态分析方法主要有函数参数分析、函数调用检测、追踪信息流和指令跟踪等方法。静态分析的方法是在不需要在专用分析工具或者虚拟机上实际运行而识别恶意代码的方法，在虚拟机、沙盒等环境下实际运行的可执行文件，分析其行为的方法称为动态分析；结合静态与动态恶意代码检测的优缺点提出了混合检测的方法。

由于恶意代码检测技术的快速发展，目前使用深度学习与恶意代码分析相融合的方法使得恶意代码检测的效率和准确率得到了较大的提高，但是从当前的理论和实践角度来看，这些恶意代码检测方式存在的问题如下：

(1)静态代码分析的方法主要是对可执行的程序进行反汇编，分析并提取代码的特征信息。静态分析可以对代码进行一个全面的分析，不用执行代码，因此对系统的伤害较小。但是由于分析的代码不一定是执行的代码有可能不是最终执行的代码，其次静态分析对反汇编技术的依赖性较强。使用静态代码分析的方法具有检测速度快、效率高的优点，但是易受混淆技术影响。

(2)动态代码分析的方法主要是在代码执行过程中分析代码，是分析实际执行的代码；动态分析代码一次执行过程只能获取单一路径行为，但是恶意代码存在多路径执行。

近年来，随着深度学习技术的发展，如何把深度学习技术与恶意代码检测技术相结合，使得恶意代码检测的准确率得到了极大的提高，成为了本领域技术人员关心的问题。

发明内容

针对上述情况，为克服现有技术之不足，本发明之目的就是提供一种用于电力企业安全防护的恶意代码检测方法，可以针对电力企业安全防护的防护能力弱的问题，有效提高电力企业恶意代码检测的效率及准确率。

本发明采用的技术方案是：

一种用于电力企业安全防护的恶意代码检测方法，包括以下步骤：

步骤1，对采集到的系统运行的指令集进行污点传播分析，对系统运行的指令集中的数据采用污点传播分析来分析恶意代码之间的数据依赖关系，获取精确的数据流传播信息；

步骤2，把步骤1中污点传播分析的结果构建行为依赖图，得到依赖图数据集；

步骤3，对构建的行为依赖图数据集变换处理，构造正、负例样本，并与原数据集共同组成增强数据集；

步骤4，将步骤4构造的增强数据集进行标准化处理，即把数据转换为单位长度为1的立体球面上；即在投影空间内把数据中的长度因素统一转换成1，把数据映射到长度为1的单位超球面上，从而提高模型的稳定性和增加其在投影空间的线性可分性；

步骤5，构造映射函数，计算映射后的样本之间的相似度，分别投影到行、列空间进行实例和类别的对比学习；

步骤6，特征提取，图卷积神经网络特征提取器会对增强数据集(训练集)中的每个样本进行遍历，调节神经网络的权重与偏置，使得神经网络更深层次的学习图数据的表示特征；

步骤7，构造损失函数，通过反向传播算法进行梯度计算，得到正、负例样本数据与原数据距离，使得正例样本与原数据之间无限接近，负例样本与原数据之间相互远离；

步骤8，反向传播训练，通过反向传播算法进行梯度计算，调节参数，最小化损失函数，优化模型，使得生成数据与原数据得到理想相似概率，这样既可以不断优化整个编码器，还可以降低分类算法的错误率；

步骤9，保存训练的最优模型对恶意代码进行检测识别，使用深层图神经网络学习图数据的表示特征，使用标准化层对尺度和偏置层的这些参数进行初始化，初始化后把图数据的尺度和偏差当作独立于数据的可训练的参数，训练完成后，通过直接计算各个样本软标签，取最大概率的类别作为预测结果，实现恶意代码类别检测。

优选的，所述步骤1具体为：对指令集中的数据采用污点传播分析获取的恶意代码执行的系统调用之间的数据依赖关系，进而描述恶意代码的行为特征，获取精确的数据流传播信息。

优选的，所述步骤2得到的行为依赖图表示为G＝{in，out，node，control，data，code}；

其中：in代表图的入口节点；out代表图的出口节点；node代表其他节点；control代表控制依赖边；data代表数据依赖边；code表示在该图执行过程中的访问指令记录；

图的入口节点是在污点传播分析中以敏感调用操作的返回值作为污点源，在分析过程中产生多个图，图的集合记为T＝{G₁，G₂，......，G_n}，n∈N；对恶意代码的污点传播分析是以产生污点的系统调用生成依赖图G，然后更新影子内存记录为当前污点的起始地址、长度、状态和类型信息，得到依赖图数据集，方便后续分析恶意代码执行的每一条指令。

优选的，所述步骤3具体为，通过对行为依赖图的特征空间进行增广处理，对行为依赖图的数据进行节点和边操作，行为依赖图是由节点和边构成的，通过自监督学习算法的对比学习，根据节点与边的属性自动构造子视图，在构图时对图数据删减节点和边、随机增加节点和边，得到新的子图数据，以此构造正例样本；对比学习中，在负例队列中任意选择大小数量的负例，负例数量越多，模型的训练效果越好，不同视图下得到的子图数据具有互补作用，因此从两个视图中获得的图数据对比学习，可以同时得到丰富的全局和局部信息编码，最后将得到的正、负例样本与原行为依赖图数据集共同组成增强数据集。

优选的，所述步骤5具体为：将增强数据集的数据转换为单位长度为1的立体球面上。

本发明方法通过对系统程序生成的指令集进行原数据集的采样，根据数据集中指令集的特征，通过分析样本的内容、样本之间地关系提取恶意特征，使用污点传播分析算法对指令集进行污点标记，构建行为依赖图，并对行为依赖图增强处理，构造正、负例样本，根据得到的正、负样本数据对比学习，生成足够多样本，然后把新生成的样本数据与原数据集组成增强数据集，把增强数据集输入以神经网络为编码器的对比学习的特征提取器中学习恶意代码的表示特征，最后通过反向传播算法对神经网络的损失函数调参优化，保存训练的最优模型对恶意代码检测识别。经实际应用，本发明方法不仅不需要数据标注，而且分类效果远远高于现有的人工智能恶意代码检测识别方法。

与现有的技术相比，本发明具有以下的优点：

(1)本发明采用对比学习算法提取恶意代码之间的调用信息，作为自监督学习算法，可自动聚类，利用数据本身丰富的信息指导表示学习的过程，无需标签信息。相比监督学习需要标注数据的方法，本发明方法可以显著提高电力企业恶意代码检测的效率。

(2)面对高维度分类问题，采用对比学习算法，根据规则自动化构造正负例样本，从增强数据集中学习先验知识分布，得到预训练模型。相比增强学习等方法需要标签信息，训练代价小。针对当前数据爆炸式增长的现状，在电力企业中具有较高的应用前景。

(3)本发明中编码器学习节点级特征与图级特征后，把两者特征结合得到既包括局部特征又包含全局特征的总特征，因此该方法可以充分保留信息并学习到全面多层次的数据特征。

附图说明

图1为本发明方法整体流程图；

图2为本发明污点传播分析法流程图；

图3为本发明对比学习原理图。

具体实施方式

本发明结合附图的具体实施方式作进一步详细说明。

如图1所示，针对电力企业安全防护的防护能力弱问题，本发明提出了一种适用于企业安全防护的恶意代码检测方法，对系统程序生成的指令集进行分析，根据数据及中指令集的特征，使用污点传播分析算法对指令集进行污点标记，构建行为依赖图，对构建的行为依赖图进行增强处理，构造正、负例样本，通过对正、负例样本数据对比学习，生成足够多样本，然后把新生成的样本数据与原数据集组成增强数据集；随后采用可微的分类算法对通过计算类均值做概率估计，利用负反馈梯度下降算法不断优化分类算法和特征提取器，进行特征提取、模型训练与调参优化，最后采用交叉熵函数分类算法分类，实现恶意代码的检测和分类。

具体方法为：

步骤1，从原数据集(系统运行的指令集)中采样并进行污点传播分析(流程图如图2所示)，分析恶意代码之间的数据依赖关系，获取精确的数据流传播信息。污点分析是指有污点源引入数据不经无害处理是否可以直接传播到污点汇聚点，如果可以说明表示存在安全问题，否则表示无安全问题。具体为把恶意代码程序进行标记处理，处理成为三元组＜污点源，污点汇聚点，无害处理＞的形式，污点传播分析主要包括三个阶段：获取污点源和汇聚点、污点传播分析、无害处理。通过污点传播分析获取恶意代码执行的系统调用之间的数据依赖关系、控制依赖关系等指令信息进而描述恶意代码的行为特征。

步骤2，把从步骤1中获取到的恶意代码之间依赖关系，构建行为依赖图，行为依赖图表示为G＝{in，out，node，control，data，code}，in代表图的入口节点，out代表图的出口节点，node代表其他节点，control代表控制依赖边，data代表数据依赖边，code表示在该图执行过程中的访问指令记录。图的入口，是在污点传播分析中以敏感调用操作的返回值作为污点源，在分析过程中常会产生多个图，图的集合记为T＝{G₁，G₂，......，G_n}，n∈N；对恶意代码的分析是以产生污点的系统调用生成依赖图G，然后更新影子内存记录为当前污点的起始地址、长度、状态和类型信息，得到依赖图数据集，方便后续分析恶意代码执行的每一条指令。

步骤3，对获取到的行为依赖图，在输入图卷积神经网络对比学习模型前。对数据增强处理，构造正、负例样本。本发明通过对行为依赖图的特征空间进行增广处理，对行为依赖图的数据进行节点和边操作。行为依赖图是由节点和边构成的，对比学习是自监督学习算法，因此模型根据节点与边的属性自动构造子视图。在构图时对图数据删减节点和边、随机增加节点和边，得到新的子图数据，以此构造正例样本。在对比学习中，在负例队列中任意选择大小数量的负例，引入负例，有助于投影空间中的所有实例分布均匀。负例数量越多，模型的训练效果越好。不同视图下得到的子图数据具有互补作用，因此从两个视图中获得的图数据对比学习，可以同时得到丰富的全局和局部信息编码，最后将得到的正、负例样本与原数据集共同组成增强数据集。

步骤4，数据标准化：为了提高模型的稳定性和增加其在投影空间的线性可分性，把增强后的增强数据集进行标准化处理，具体为在投影空间内把数据中的长度因素统一转换成1，即把数据映射到长度为1的单位超球面上。该技术为现有技术。

步骤5，构造映射函数：计算映射后的样本之间的相似度，分别投影到行、列空间进行实例和类别的对比学习，映射函数即Encder投影函数，对输入的数据进行编码，然后映射到GCN的投影空间内。

步骤6，特征提取。

根据步骤5构造的映射函数，图数据在GCN编码器中得到映射向量。

GCN层是学习图数据特征的专用编码器，表示如下：

和δ(SXθ)，由于是非线性编码器，因此需要非线性激活函数δ激活，

是邻接矩阵提供数据的局部特征，S是扩散矩阵提供数据的全局特征，θ是权重系数，X是图数据的特征矩阵；之后把学习到特征表示输入到多层感知神经网络中如下式所示：

通过上述函数，得到节点表示集合，H^α，H^β。为了获取图级别的表示，拼接每个图卷积层的节点的总表示，为了保证节点表示和图表示的维数一致，把总表示送入单层前馈网络后可得：

由上述步骤得到的图级别的表示，把图表示输入到多层感知神经网络的映射头，如下式所示：

最后，得到图数据表示h^α，h^β.最后通过聚合操作图级别的表示和节点级别表示得到总表示，即提取的总特征：

步骤7，构造损失函数。

由步骤6可得到数据表示的总特征，为了训练编码器，对恶意代码实现理想的分类效果。

本发明采用Infomax损失函数，最大化互信息函数，公式如下：

其中，D是图的数目，g是节点数目，

是节点在图i和图g在α，β视角下的表示，

是神经网络的参数。为了能得到理想的判别结果，MI判别器选择从条件分布为p(g_t+k|c_t)取一个正样本g_i，从指定分布p(g_t+k)取N-1个负样本。

g_i是正样本，且i＝t+k，表示数据之间关系的变量c_t表示t之前的数据，准确识别出正样本g_t+k和N-1个负样本的概率如下式：

为了调节g_t和c_t得联合概率p(x，c)，根据密度比可得下式：

为了对上式进行优化，变换为对应得交叉熵损失函数如下式：

最小化损失函数，即是最大化g_t+k和c_t之间互信息的下限。最后损失函数的分子是指正样本对(g_t+k，c_t)，分母是负样本对(g_j，c_t)，对损失函数优化过程，就可以使得正例样本之间得互信息最大，负例样本之间得互信息最小，即使得正例样本与原数据之间无限接近，负例样本与原数据之间相互远离。

步骤8，模型反向传播训练。

为了使损失函数最小化，本发明使用反向传播算法对损失函数优化，直到训练出理想模型。通过随机初始化为需要求解的参数赋值，对模型所有样本测试，计算损失值；利用模型损失值对模型参数求导，最后基于梯度调整权重、偏置等参数，直到损失函数最小。

步骤9，对恶意代码进行检测识别。

经过上述强大的数据分析和学习的变换扩展原代码指令集为增强数据，从而得到一个具有正、负例样本对的数据集，把增强数据集输入以图神经网络为编码器的对比学习的特征提取器中学习恶意代码的表示特征，最后通过反向传播算法对神经网络的损失函数调参优化，保存训练的最优模型对恶意代码检测识别。最终实验结果显示，本发明方法不仅不需要数据标注，而且分类效率远远高于现有的人工智能恶意代码检测识别方法。

Claims

1.一种用于电力企业安全防护的恶意代码检测方法，其特征在于，包括以下步骤：

步骤1，对采集到的系统运行的指令集进行污点传播分析；

步骤4，将步骤4构造的增强数据集进行标准化处理；

步骤8，反向传播训练，通过反向传播算法进行梯度计算，调节参数，最小化损失函数，优化模型；

步骤9，保存训练的最优模型对恶意代码进行检测识别。

2.根据权利要求1所述的用于电力企业安全防护的恶意代码检测方法，其特征在于，所述步骤1具体为：对指令集中的数据采用污点传播分析获取的恶意代码执行的系统调用之间的数据依赖关系，进而描述恶意代码的行为特征，获取精确的数据流传播信息。

3.根据权利要求1所述的用于电力企业安全防护的恶意代码检测方法，其特征在于，所述步骤2得到的行为依赖图表示为G＝{in，out,node,control,data,code}；

图的入口节点是在污点传播分析中以敏感调用操作的返回值作为污点源，在分析过程中产生多个图，图的集合记为T＝{G₁,G₂,......,G_n}，n∈N；对恶意代码的污点传播分析是以产生污点的系统调用生成依赖图G，然后更新影子内存记录为当前污点的起始地址、长度、状态和类型信息，得到依赖图数据集，方便后续分析恶意代码执行的每一条指令。

4.根据权利要求1所述的用于电力企业安全防护的恶意代码检测方法，其特征在于，所述步骤3具体为，通过对行为依赖图的特征空间进行增广处理，对行为依赖图的数据进行节点和边操作，行为依赖图是由节点和边构成的，通过自监督学习算法的对比学习，根据节点与边的属性自动构造子视图，在构图时对图数据删减节点和边、随机增加节点和边，得到新的子图数据，以此构造正例样本；对比学习中，在负例队列中任意选择大小数量的负例，负例数量越多，模型的训练效果越好，不同视图下得到的子图数据具有互补作用，因此从两个视图中获得的图数据对比学习，可以同时得到丰富的全局和局部信息编码，最后将得到的正、负例样本与原行为依赖图数据集共同组成增强数据集。

5.根据权利要求1所述的用于电力企业安全防护的恶意代码检测方法，其特征在于，所述步骤5具体为：将增强数据集的数据转换为单位长度为1的立体球面上。

6.根据权利要求1所述的用于电力企业安全防护的恶意代码检测方法，其特征在于：所述步骤9具体为：使用深层图神经网络学习图数据的表示特征，使用标准化层对尺度和偏置层的这些参数进行初始化；初始化后图数据，把图数据的尺度和偏差当作独立于数据的可训练的参数，训练完成后，通过直接计算各个样本软标签，取最大概率的类别作为预测结果实现恶意代码类别检测。