[发明专利]基于人工智能的电力恶意代码检测方法、服务器及系统

权利要求书

1.一种基于人工智能的电力恶意代码检测方法，其特征在于，包括：

遍历整个电力系统调用序列，获取每个API被调用次数以及API之间的调用关系作为相应训练样本的调用关系频度特征向量；

将电力系统调用序列中的每个系统调用均转化为1-hot向量并输入具有LSTM模型的递归神经网络，将所述递归神经网络中的隐藏状态转化为相应训练样本的定长特征向量；

混合训练样本的调用关系频度特征向量和定长特征向量，并输入至训练完成的决策树分类器中进行分类，检测出电力恶意代码。

2.如权利要求1所述的一种基于人工智能的电力恶意代码检测方法，其特征在于，在遍历整理电力系统调用序列之前，还包括：构建整个电力系统的API数据依赖图，其具体过程为：

对电力系统的所有API进行编号，得到系统调用序列；

根据系统调用序列中数据流依赖关系，建立有向性的整个电力系统的API数据依赖图。

3.如权利要求1所述的一种基于人工智能的电力恶意代码检测方法，其特征在于，在遍历整个电力系统调用序列的过程中，针对当前遍历到的系统调用，在序列中向前搜索与其相关的系统调用；

每搜索到一个系统调用时，与当前遍历到的系统调用进行参数比较，判断两系统调用的相关性；

对于每个系统调用的参数，采用比较相应哈希值来逐一比较。

4.如权利要求1所述的一种基于人工智能的电力恶意代码检测方法，其特征在于，每个系统调用均转化为1-hot向量的具体过程为：

创建一个字典，以ID与系统调用一一对应；

将系统调用转化为除了其对应ID位置为1外，其余位置全为0的向量。

5.如权利要求1所述的一种基于人工智能的电力恶意代码检测方法，其特征在于，在采用训练完成的决策树分类器进行分类的过程中，使用AUC来衡量每个特征和类别之间的相关性。

6.一种基于人工智能的电力恶意代码检测服务器，其特征在于，包括：

调用关系频度特征向量获取模块，其被配置为：遍历整个电力系统调用序列，获取每个API被调用次数以及API之间的调用关系作为相应训练样本的调用关系频度特征向量；

定长特征向量获取模块，其被配置为：将电力系统调用序列中的每个系统调用均转化为1-hot向量并输入具有LSTM模型的递归神经网络，将所述递归神经网络中的隐藏状态转化为相应训练样本的定长特征向量；

代码分类模块，其被配置为：混合训练样本的调用关系频度特征向量和定长特征向量，并输入至训练完成的决策树分类器中进行分类，检测出电力恶意代码。

7.如权利要求6所述的一种基于人工智能的电力恶意代码检测服务器，其特征在于，所述基于人工智能的电力恶意代码检测服务器还包括：

API数据依赖图构建模块，其被配置为：在遍历整理电力系统调用序列之前，对电力系统的所有API进行编号，得到系统调用序列；

根据系统调用序列中数据流依赖关系，建立有向性的整个电力系统的API数据依赖图。

8.如权利要求6所述的一种基于人工智能的电力恶意代码检测服务器，其特征在于，在所述调用关系频度特征向量获取模块中，在遍历整个电力系统调用序列的过程中，针对当前遍历到的系统调用，在序列中向前搜索与其相关的系统调用；

每搜索到一个系统调用时，与当前遍历到的系统调用进行参数比较，判断两系统调用的相关性；

对于每个系统调用的参数，采用比较相应哈希值来逐一比较。

9.如权利要求6所述的一种基于人工智能的电力恶意代码检测服务器，其特征在于，在所述定长特征向量获取模块中，每个系统调用均转化为1-hot向量的具体过程为：

创建一个字典，以ID与系统调用一一对应；

将系统调用转化为除了其对应ID位置为1外，其余位置全为0的向量；

或/和

在所述代码分类模块中，在采用训练完成的决策树分类器进行分类的过程中，使用AUC来衡量每个特征和类别之间的相关性。

10.一种基于人工智能的电力恶意代码检测系统，其特征在于，包括如权利要求6-9中任一项所述的基于人工智能的电力恶意代码检测服务器。