(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115952497A(43)申请公布日2023.04.11(21)申请号202210973237.2(22)申请日2022.08.15(71)申请人中南大学地址410000湖南省长沙市岳麓区麓山南路932号申请人金川集团股份有限公司(72)发明人吕苏环唐浩文邓晓衡李宇威(74)专利代理机构长沙轩荣专利代理有限公司43235专利代理师董崇东(51)Int.Cl.G06F21/56(2013.01)G06F18/241(2023.01)G06N3/04(2023.01)G06N3/08(2023.01)权利要求书3页说明书11页附图3页(54)发明名称物联网恶意软件检测方法、系统、设备及介质(57)摘要本公开实施例中提供了一种物联网恶意软件检测方法、系统、设备及介质，属于数据识别技术领域，具体包括：用户设备和边缘服务器使用用户数据协同训练神经网络，并利用信任评估机制选择受信任的设备参与模型训练；构建混合用户‑边缘框架，将训练好的神经网络的特征生成模块和隐私注意力模块作为特征提取器部署到用户设备上，将训练好的神经网络的恶意软件分类器部署到边缘服务器上；提取用户设备上的特征，对特征进行添加注意力和拉普拉斯噪声后得到中间特征并将其上传到边缘服务器；边缘服务器接收中间特征后再进行恶意软件分类，并将分类结果传回用户设备。通过本公开的方案，在提高恶意软件检测效率的同时，很好地保护用户安全和隐私。CN115952497ACN115952497A权利要求书1/3页1.一种物联网恶意软件检测方法，其特征在于，包括：步骤1，用户设备和边缘服务器使用用户数据协同训练神经网络，并利用信任评估机制选择受信任的设备参与模型训练；步骤2，构建混合用户‑边缘框架，将训练好的神经网络的特征生成模块和隐私注意力模块作为特征提取器部署到用户设备上，将训练好的神经网络的恶意软件分类器部署到边缘服务器上；步骤3，提取用户设备上的特征，对特征进行添加注意力和拉普拉斯噪声后得到中间特征并将其上传到边缘服务器；步骤4，边缘服务器接收中间特征后再进行恶意软件分类，并将分类结果传回用户设备。2.根据权利要求1所述的方法，其特征在于,所述步骤1具体包括：步骤11，边缘服务器筛选受信任的设备，当参与训练的设备准备好训练时，首先与最近的边缘服务器建立连接，然后，边缘服务器检查该设备是否存在于当前系统的可信设备列表中，若是，则边缘服务器授权设备参与训练，若否，则边缘服务器将对设备进行评估；步骤12，对于新加入网络参与模型训练的用户设备D，进行实名注册并为赋予对应的ID号，在具有ID号的用户设备D参与模型训练之前，边缘服务器对用户设备进行身份验证；步骤13，用户设备D向边缘服务器提交设备性能配置信息，边缘服务器根据配置信息判断设备能力是否满足模型训练的性能要求；步骤14，在边缘服务器S与用户设备D交互之前，边缘服务器S首先查询用户设备D的行为评估值，并根据行为评估值决定是否让用户设备D参与其模型训练，其中，所述行为评估值为根据用户设备D与边缘服务器之间的所有历史交互计算的间接评估值；步骤15，模型训练结束后，边缘服务器S对用户设备D进行评估，然后将评估结果作为直接评估值，更新用户设备D的行为评估值。3.根据权利要求2所述的方法，其特征在于,所述行为评估值的计算公式为：BE＝αDVSD+βIVSD其中，α和β为自适应参数，满足α+β＝1，当β>α时，边缘服务器S注重历史交互体验，当β<α时，边缘服务器S注重与当前用户设备的交互体验，边缘服务器S在用户设备D参与模型训练后直接给出直接评估值DVSD；间接评估值IVSD是与用户设备D有交互历史的边缘服务器给出的评估值，计算公式为：其中，DViD表示边缘服务器i对用户设备D的直接评估值，n表示与用户设备D有交互历史的所有边缘服务器的数量，T(ti)为时间衰减因子，δ为一个预定义参数，ti表示DViD生成时间，t表示当前时间。4.根据权利要求3所述的方法，其特征在于,所述步骤3具体包括：步骤31，使用反汇编工具ApkTool从未知应用程序的APK中获取Dalvik代码，再使用Pscout工具获取一组敏感APISAS＝{a1,a2,…,ai}和一组权限{p1,p2,…,pi}；2CN115952497A权利要求书2/3页步骤32，根据TF‑IDF的思想，计算敏感APIai的恶意度，其与调用敏感APIai的恶意软件的百分比呈正相关，与所有调用敏感APIai的应用程序的百分比呈负相关，其恶意度的计算公式为：其中，Pm(ai)表示调用敏感APIai的恶意软件的百分比，Numm和Numb分别表示恶意软件和良性软件的总数量，Nm(ai)和Nb(ai)分别表示调用敏感APIai的恶意软件和良性软件的数量