一种基于深度学习的用于电动汽车充电站的物联网恶意软件检测方法

为什么你的车载充电器安全很重要

电动汽车越来越多地接入配备大量联网小设备的智能充电站。这些设备让充电更快、更高效，但同时也为黑客打开了新的入口。潜入单个传感器或控制器的恶意软件可以向外扩散，威胁电网、个人数据以及充电可用性。本文提出了一种新方法，用以在恶意软件进入电动汽车（EV）充电站内部设备之前识别出其隐藏的威胁。

智能充电器内部的潜在风险

现代电动汽车充电站依赖一个物联网（IoT）设备生态系统——智能电表、温度传感器、继电器和控制器等——这些设备不断与云端及彼此通信。如果攻击者在任何这些组件上植入恶意软件，就可能拦截或篡改数据、窃取支付信息，甚至操纵充电负载以破坏本地电网的稳定。电力领域的真实事件表明，被攻破的工业设备可以切断涡轮机或危及核设施。随着充电网络的扩展，检测运行在这些多样化设备上的软件中的恶意程序已成为关键防线。

当前防御为何不足

许多现有的物联网恶意软件检测器只关注一种处理器类型，例如 ARM 或 MIPS，而真实的充电网络往往混合使用多种硬件。其他方法依赖狭窄的信息切片，例如程序的快速可视快照或简单的指令计数。一些系统试图结合若干线索，但做法粗糙——仅仅把特征拼在一起，而不去理解它们之间的关系或哪些特征对给定样本最重要。因此，它们可能错过微妙的攻击模式，或在面对新设备类型或新恶意软件家族时失效。

从三种视角审视恶意软件

作者提出了一种静态检测方法，意味着它在软件安装到任何设备之前对文件进行检查。首先，他们将为不同处理器类型编译的代码输入一个政府开发的工具 Ghidra，该工具将所有内容翻译成一个共享的“中间”语言。此步骤去除了硬件差异，同时保留程序逻辑，使同一分析流程能够处理 ARM、x86、MIPS 等架构的文件。然后系统从每个文件中提取三种互补的视角：全局形态视图、统计视图和行为视图。

在全局形态视图中，原始二进制文件被视为一长串数字并转换为灰度图像，其中每个像素代表一段代码。卷积神经网络扫描该图像以寻找在良性软件与恶意软件家族之间不同的重复纹理和布局。在统计视图中，翻译后的指令被分解为短序列，并使用借自文本检索的方法测量其频率。一个简单的神经网络检查这些频率模式，以捕捉哪些指令片段在恶意程序中异常常见。在行为视图中，重复或无信息的指令模式被裁剪掉，残余的指令序列由一个递归网络（LSTM）像读句子一样读取，学习操作之间随时间的衔接，从而揭示更深层的恶意逻辑。

用聚焦注意力融合线索

作者并非简单地把这三组特征并排堆叠，而是设计了一个主动加权与精炼的融合模型。受到近期语言模型进展的启发，多头注意力机制学习每条特征流对每个软件样本携带的判定性证据，从而动态调整它们的影响。随后一维卷积层在融合表示中搜索短小但重要的模式，而多层编码器反复混合并重塑信息，以揭示结构、统计和行为线索之间的细微关联。最终输出是一个指示软件可能为良性还是恶意以及所属恶意软件家族的评分。

新方法的效果如何

为了测试他们的系统，研究人员组建了一个大型公开的物联网程序数据集，来自两个广泛使用的恶意软件库，覆盖电动汽车基础设施中常见的五种主要处理器类型。他们比较了多种设置与特征组合，表明这三种视角各有独特价值——去掉任意一种都会显著削弱性能。他们基于三视角且含注意力的完整融合模型优于若干最先进的方法，包括仅图像或基于图的系统。在所有架构上，该新方法使关键的平衡准确率指标（F1 分数）提升约 1.37 个百分点，并降低了将良性软件误判为恶意软件的比率。

这对日常充电意味着什么

对驾驶者而言，这项工作预示着一个未来：充电站背后的软件将接受更严格的筛查。通过从多角度并跨不同硬件平台审查代码，所提出的系统能够在恶意软件到达连接电网的物联网设备之前捕捉更广泛的威胁。尽管当前方法侧重静态文件，可能在面对高度混淆或加密的恶意软件时遇到困难，但它已为公用事业和充电网络运营商提供了一个强大的集中式工具，旨在让电动汽车充电的数字部分像街上的电缆和变压器一样可靠。

引用: Xia, L., Chen, Y. & Han, L. A deep learning-based IoT malware detection approach for electric vehicle charging stations. Sci Rep 16, 10607 (2026). https://doi.org/10.1038/s41598-026-45220-x

关键词: 物联网恶意软件, 电动汽车充电, 网络安全, 深度学习检测, 智能电网安全