一种配电自动化终端验收测试仪验收测试数据保护方法技术

技术编号：40292407 阅读：22 留言：0更新日期：2024-02-07 20:42

本发明专利技术属于数据保护技术领域，具体涉及一种配电自动化终端验收测试仪验收测试数据保护方法。当前，配电自动化终端验收测试仪中也会存储终端信息、电表及主站敏感信息，系统可能遭受到木马或病毒的入侵，尤其是PE格式的恶意软件，被操作系统执行后会对配电自动化终端验收测试仪进行损毁。本发明专利技术提供了一种配电自动化终端验收测试仪验收测试数据保护方法，该方法利用PE文件脱壳后的图像GIST特征、指令序列特征、文件结构特征，结合决策树、支持向量机、神经网络等基础模型，通过Bagging集成学习算法的投票机制，投票的权重利用基础模型识别结果的5折交叉验证分数，实现了对恶意软件的高准确度识别。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于数据保护，具体涉及一种配电自动化终端验收测试仪验收测试数据保护方法。

技术介绍

1、当前，环网柜的配电自动化终端中由于系统可能遭受到木马或病毒的入侵，尤其是pe格式的恶意软件，被操作系统执行后会对配电终端进行损毁，因此需要设置恶意程序的识别方式，对于识别为恶意的程序不给予其加载至内存的权限。

2、在pe恶意软件识别中，常用的技术包括，1)静态特征分析：静态特征分析是通过对pe文件的结构和内容进行分析，提取出文件的各种特征信息来判断是否为恶意软件。这些特征包括文件头信息、节表信息、导入/导出函数、字符串等。2)动态行为分析：动态行为分析是在虚拟环境中运行pe文件，并监视其行为和执行过程。通过监控文件的api调用、网络通信、文件操作等行为特征，可以识别出潜在的恶意行为，如文件的自我复制、系统漏洞利用等。

3、然而，目前pe恶意软件识别仍然存在一些不足之处，专利cn116451229a结合动态静态方法，建立规则库对恶意软件调用函数进行分析，但是未能结合多判别模式，识别方式虽未依赖代码的执行，但仍是以逻辑分析为主；专利cn116522340a利用机器学习方式和图数据结构，对恶意软件代码的语义和段落进行了分析，未结合恶意应用程序脱壳后的灰度图像以及集成学习算法，与此同时恶意软件的制作者经常使用各种变异技术来使其样本多样化，以逃避传统的静态和动态分析方法。这使得恶意软件识别变得更加困难，需要不断更新和改进算法，特征提取和性能，现有技术在特征提取和性能方面仍然存在挑战，需要更高效的算法和技术来提高准确率和处理速度。

4、因此，为了进一步提升pe恶意软件识别的能力，本专利技术结合图像处理、机器学习和深度学习技术，通过多重特征对其进行识别，并利用集成算法的投票机制进一步提升了算法的精确度。

技术实现思路

1、本专利技术所要解决的技术问题是在无网络环境的配电自动化验收终端可能存在的恶意程序破坏。

2、为实现上述目的，本专利技术的技术方案如下：

3、一种配电自动化终端验收测试仪验收测试数据保护方法，包括

4、步骤1，数据获取，构建应用程序样本数据集，所述应用程序样本数据集包括恶意应用程序样本和良性应用程序样本，其中恶意应用程序样本通过应用数据集virusshare获取，良性应用程序样本通过google play应用市场获取，所述应用程序的格式均为pe文件格式；

5、步骤2，恶意程序二进制可视化，将所述应用程序的二进制文件按照8bit位一个单位长度拆分为子字符串，其中拆分过程中最后一个子字符串不足8bit则补零，将8bit位的子字符串视作无符号整数，所述无符号整数直接转化为灰度像素值[0,255]，灰度像素值映射至宽度方向分辨率为256像素的灰度图像，灰度图像高度像素dpih的具体为：

6、

7、其中dpih表示图像高度方向的分辨率，ns表示恶意程序拆分出子字符串的数量，并将子字符串按照宽度方向依次排布，子字符串填充时，图像最后一行没有填充的部分均以255像素值进行填充；

8、步骤3，对图像进行标准化处理，对于图像的高度方向分辨率dpih大于512的情况，利用图像下采样算法压缩图像高度方向分辨率至512像素，对于图像的高度方向分辨率dpih小于512的情况，利用三次插值算法将图像高度方向分辨率补齐至512；

9、步骤4，计算图像的gist特征，根据步骤3标准化处理后的图像划分为4×4的网格块，每个网格块代表其中一个子区域，并依次标记为p1,p2,…,p16,在每个网格块中使用4个尺度，8个卷积方向的gabor滤波器做卷积滤波计算，再将卷积结果级联，得到该网格块图像的局部gist特征为：

10、gi(x,y)＝cat(f(x,y)*gmn(x,y))，

11、其中，i＝1,2,…,16,x、y是每个子区域的横、纵坐标，cat表示级联运算符，*为卷积运算符，gmn表示滤波函数，gi表示图像局部的gist特征数值；

12、计算每个局部gist特征的均值，得到全局的gist特征为：

13、

14、其中是每个网格4个尺度，8个卷积方向的gabor滤波器做卷积滤波计算后求得的均值，g表示图像全局的gist特征数值；

15、步骤5，根据步骤4所得到的图像gist特征，结合pe文件的指令序列特征与pe文件的结构特征，比较其和恶意软件之间的相似度，所述相似度利用余弦相似度。

16、进一步的，步骤1的数据中的恶意应用程序样本还通过ember基准数据集获取。

17、进一步的，步骤5中的pe文件指令序列特征获取方式为对pe可执行文件进行反汇编，获取二进制程序的opcode序列，其中opcode序列可划分为三个部分，text、data、bsss段，对text段的操作码提取并进行文本分析

18、进一步的，对所述的text段操作码的文本分析步骤为：

19、步骤4-a-1，文件预处理，将每个操作码设定为一个单词，并将每个通过反汇编获得的pe可执行文件进行文本过滤，所述文本过滤是对pe可执行文件仅保留空格和单词，过滤掉阿拉伯数字，并将单词中字母统一转化为小写；

20、步骤4-a-2，利用word2vec模型对步骤4-a-1文件预处理后的文件进行训练，获取每个操作码对应的词向量表示；

21、步骤4-a-3，将每份文件的词向量组合成特征矩阵，并通过k-means算法进行聚类。

22、进一步的，所述word2vec模型的训练方式为cbow连续词袋模型。

23、进一步的，步骤3所述的下采样算法是lanczos算法，采样时对应位置的权重如下：

24、

25、其中a表示图像的缩放系数，l(y)表示图像权重函数；

26、图像高度方向上的像素插值公式为：

27、

28、其中y代表图像待插入位置纵轴方向上的坐标，i表示现有位置纵轴方向上的坐标，s(y)代表被插入的像素值，si为现有位置的像素值。

29、进一步的，对于步骤5中所述pe文件的结构特征提取，提取的结构特征包括dos头、pe文件头、节表、导入表、导出表、资源表。

30、进一步的，提取出的pe文件结构利用feature-hasher算法处理，算法映射向量的长度是30维，并分别与所述dos头、pe文件头、节表、导入表、导出表、资源表进行拼接，组成180维向量。

31、进一步的，所述步骤5中的相似度比较，利用权重策略投票算法集成图像gist特征、pe文件的指令序列特征与pe文件的结构特征，所述投票算法为bagging集成算法。

32、进一步的，所述bagging集成算法包括：

33、数据抽样，对步骤1中的应用程序样本数据集使用有放回抽样的方式，抽取100个训练集，每个训练集的大小与应用程序样本数据集相同。

3本文档来自技高网...

【技术保护点】

1.一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，包括：

2.根据权利要求1所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤1的数据获取中恶意应用程序样本还通过EMBER基准数据集获取。

3.根据权利要求2所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤5中的PE文件指令序列特征获取方式为对PE可执行文件进行反汇编，获取二进制程序的opcode序列，其中opcode序列划分为三个部分，text、data、bsss段，对text段的操作码提取并进行文本分析。

4.根据权利要求3所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，对所述的text段的操作码进行文本分析步骤为：

5.根据权利要求4所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，所述Word2Vec模型的训练方式为CBOW连续词袋模型。

6.根据权利要求5所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤3所述的下采样算法是Lanczos算法

7.根据权利要求6所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，对于步骤5中所述PE文件的结构特征提取，提取的结构特征包括PE文件的DOS头、PE文件头、节表、导入表、导出表、资源表。

8.根据权利要求7所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，提取出的PE文件的结构特征利用Feature-Hasher算法处理，算法映射向量的长度是30维，并分别与所述DOS头、PE文件头、节表、导入表、导出表、资源表进行拼接，组成180维向量。

9.根据权利要求8所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，所述步骤5中的相似度比较，利用权重策略投票算法集成图像GIST特征、PE文件的指令序列特征与PE文件的结构特征，所述投票算法为Bagging集成算法。

10.根据权利要求9所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，所述Bagging集成算法包括：

...

【技术特征摘要】

1.一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，包括：

2.根据权利要求1所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤1的数据获取中恶意应用程序样本还通过ember基准数据集获取。

3.根据权利要求2所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤5中的pe文件指令序列特征获取方式为对pe可执行文件进行反汇编，获取二进制程序的opcode序列，其中opcode序列划分为三个部分，text、data、bsss段，对text段的操作码提取并进行文本分析。

4.根据权利要求3所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，对所述的text段的操作码进行文本分析步骤为：

5.根据权利要求4所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，所述word2vec模型的训练方式为cbow连续词袋模型。

6.根据权利要求5所述的一种配电自动化终端验收测试仪验收测试数据保护方法，其特征在于，步骤...

【专利技术属性】
技术研发人员：黄金，朱明增，李和峰，梁明臻，龙玉荣，罗小波，陶泽中，刘小兰，覃景涛，周素君，庞敏，卢迎，陈荣德，梁朝聪，杨龙文，贝飞宇，何世潇，
申请(专利权)人：广西电网有限责任公司贺州供电局，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人