[发明专利]一种基于内容分块的工控恶意代码检测方法

说明书

本发明公开了一种基于内容分块的工控恶意代码检测方法，包括：每个用户处理恶意代码样本；按文件数据流读取文件，使用两个并行滑动的数据窗口；每读取一位，计算一次窗口内的哈希，若等于边界判定的特殊哈希值，则结束当前滑动；将每16次滑动的哈希值加起来求和，得到总哈希；重复直到完成当前文件的分块工作；使用汉明距离判断每个恶意代码哈希值的相似度，生成若干个聚类；每个用户发送查询请求，将哈希值发往其他用户；其他用户根据发来的哈希，与自己生成的聚类比较，得到查询的恶意代码的具体类型，并反馈；查询用户根据返回的查询结果，优化当前代码的分类。本发明可保护两方的数据隐私，为恶意代码检测模型提供训练数据。

技术领域

本发明属于工控技术领域，尤其涉及一种基于内容分块的工控恶意代码检测方法。

背景技术

恶意代码检测一直是工控安全的重要组成部分。近年来，随着恶意代码种类的逐渐增多，业务量逐渐增大，目前主流的人工检测方法和软件检测方法显现出效率较低、检测率不高的问题。因此机器学习训练恶意检测代码成为了新的热门技术方向。但因为工控领域的数据隐私性更强，公开的数据集更少，这使得机器学习中的数据质量无法保证，数据量也有差别，这造成了最后整体模型的性能较差。

恶意代码是指故意编制或设置的，对网络或系统会产生危险或潜在威胁的计算机代码。因此，恶意代码检测一直是工控安全的重要研究领域。然而，传统的恶意代码检测方法大部分是人工分析和软件识别。因此一旦出现未被检测人员所知的新型恶意代码，就能很容易绕过检测，对工控安全造成重大影响。也因此，近几年关于机器学习训练模型来检测恶意代码的方法也越来越多。

众所周知，决定一个模型的好坏的因素，不单是模型本身结构是否合理，更重要的是训练数据的质量好坏。联邦学习也是如此，如果各个客户的数据集都划分的很好，那么最后联邦学习得到的总模型的效果也会很好。但由于商业价值、法律法规要求等等原因，拥有更好的数据集的客户不愿意让其他客户使用自己的数据集，其他客户也会因为自己数据集存在缺陷而无法得到满意的训练结果，这造成不同客户之间训练的模型性能差距很大，数据集更差的客户训练的模型无法全面的检测恶意代码。

当前有关孤岛问题以及恶意代码检测的问题有：

主要的联邦学习训练恶意代码的方法，均未提出有效的数据孤岛解决方法，导致各个客户训练模型的检测能力、检测性能各不相同。

当前机器学习解决恶意代码检测的方法主要是将恶意代码转换为灰度图，利用深度学习生成检测模型，若有新类型的恶意代码，数据集的重新生成非常繁琐。

现有的技术尽管保证了数据隐私，但整体通信和计算的流程较复杂。

Wang Y,Tong Y,Shi D等人在非专利文献”An efficient approach for cross-silo federated learning to rank[C]//2021 IEEE 37th International Conferenceon Data Engineering(ICDE).IEEE,2021:1128-1139”，提出了一种跨孤岛的联邦排序学习算法，通过排序学习优化文本查询，即通过机器学习对某一个词的关键词进行重要性排序。该方法的步骤如下：