DCS上位机恶意可执行文件检测方法、系统、设备及介质

专利主权项内容

1.一种DCS上位机恶意可执行文件检测方法，其特征在于，包括：执行待检测DCS上位机中每个可执行文件，跟踪所述可执行文件的动态运行输出结果，将动态运行输出结果作为序列数据集；对序列数据集进行数据预处理及拆分，得到基本块数据集；将基本块数据集输入到预先训练的双向长短期记忆网络模型中，检测所述可执行文件是否为恶意可执行文件；所述预先训练的双向长短期记忆网络模型是利用具有类别标签的训练样本进行训练得到的；其中，类别标签用于指明对应的训练样本为恶意或良性可执行文件；所述执行待检测DCS上位机中每个可执行文件，跟踪所述可执行文件的动态运行输出结果，包括：在调试器中执行待检测DCS上位机的每个可执行文件，调试器是在上位机系统上运行自动化脚本指令；自动化脚本指令获取主机所有文件，处理来自非操作系统文件的可执行文件，通过自动化脚本指令跟踪可执行文件的动态运行输出结果；所述自动化脚本指令处理完所有可执行文件或达到最大执行指令限制时停止运行，并将运行跟踪输出结果保存成纯文本格式；所述对序列数据集进行数据预处理及拆分，得到基本块数据集，包括：对序列数据集预处理，包含全角转化、半角转化、大小写转化及停用词过滤，基于正则的分词处理、数据筛选以及清洗后保存数据；对预处理后的序列数据集进行拆分处理包括：将预处理后的序列数据集输入到python脚本中，从开始到端扫描运行并进行数据拆分处理，得到由一段直线代码组成的基本块数据，获得的基本块数据作为基本块数据集；所述基本块数据集为一个基本块数据，基本块数据由一段直线代码组成；基本数据块的直线代码包含可执行文件的执行入口、接口调用、退出接口外没有其它多余分支内容；恶意可执行文件是指可获取上位机系统最高用户权限，以此获取用户重要信息、篡改上位机关键数据、破坏上位机系统可用性的可执行程序；所述预先训练的双向长短期记忆网络模型包含Glove词嵌入层、池化层、双向LSTM层、分类层以及退出层；Glove词嵌入层将输入文本转换为词嵌入向量，池化层采用全局最大池化层将词嵌入向量转换为低维特征向量，双向LSTM层经过恶意文件分类计算得到输入文本的恶意概率，分类层通过softmax函数得到最终分类结果，退出层收到分类结果后进行对应操作并结束整个检测过程；所述序列数据集每一行包含一个装配指令，装配指令是由操作码和操作数组成的表达式；操作码和操作数为可执行文件运行过程中在寄存器、内存或I/O端口生成的可执行文件的系统操作数据。