[发明专利]一种基于内容分块的工控恶意代码检测方法

权利要求书

1.一种基于内容分块的工控恶意代码检测方法，其特征在于，包括以下步骤：

S1：每个用户处理自己的恶意代码样本；

S2：按文件数据流读取文件，使用两个并行滑动的数据窗口，一个读取奇数位的字节，一个读取偶数位的字节；

S3：每读取一位，计算一次窗口内的哈希，若等于边界判定的特殊哈希值，则结束当前滑动；

S4：滑动结束后，将每16次滑动的哈希值加起来求和，得到的结果作为总哈希；

S5：重复S2-S4步直到整个文件流读取完毕，完成当前文件的分块工作；

S6：将每个恶意代码文件的标志性恶意代码段的哈希值取出，使用汉明距离判断每个恶意代码哈希值的相似度，生成若干个聚类；

S7：每个用户发送查询请求，将自己的恶意代码的哈希值发往其他用户；

S8：其他用户根据发来的哈希，与自己生成的聚类比较，得到查询的恶意代码的具体类型，反馈给查询用户；

S9：查询用户根据返回的查询结果，优化当前代码的分类，扩充自己的数据集，最后按照深度学习卷积神经网络开始进行模型的训练和测试。

2.根据权利要求1所述的基于内容分块的工控恶意代码检测方法，其特征在于，根据公式hash[i]＝hash[i-2]1+Gear[byte[i]]，计算一次窗口内的哈希，其中i表示滑动窗口目前所在的位置，hash表示所在位置的哈希值，Gear代表一个包含256个特殊哈希值的哈希表，byte表示当前位置的字节的10进制数。

3.根据权利要求1所述的基于内容分块的工控恶意代码检测方法，其特征在于，所述汉明距离公式如下：

d(x,y)＝∑x[i]⊕y[i]

其中x[i]和y[i]分别代表两个标志性恶意代码段的哈希值。

4.根据权利要求1所述的基于内容分块的工控恶意代码检测方法，其特征在于，步骤S6中使用余弦相似度进行相似度度量。

5.根据权利要求1所述的基于内容分块的工控恶意代码检测方法，其特征在于，在步骤S9中，使用GAN生成对抗网络生成数据集。

6.根据权利要求1所述的基于内容分块的工控恶意代码检测方法，其特征在于，所述深度学习卷积神经网络至少包括MLP、LSTM、Bert、Transformer、GPT-3、Attention之一。