通用、有效且轻量的PowerShell解混淆和语义敏感的攻击检测方法

2022年第23卷第3期

摘要

关键词

相关研究

回顶部

《信息与电子工程前沿（英文）》 >> 2022年第23卷第3期 doi: 10.1631/FITEE.2000436

通用、有效且轻量的PowerShell解混淆和语义敏感的攻击检测方法

1浙江大学计算机科学与技术学院，中国杭州市，310027；2西北大学电气工程与计算机科学系，美国伊利诺伊州埃文斯顿市，60208；3浙江工业大学计算机科学与技术学院，中国杭州市，310023；4杭州奇盾信息技术有限公司，中国杭州市，310027；5浙江大学控制科学与工程学院，中国杭州市，310027

收稿日期： 2020-08-28 录用日期： 2022-03-22 发布日期： 2022-03-22

HTML78 PDF 125 收藏 0

摘要

近年来，PowerShell攻击越来越多见诸报道。然而，由于PowerShell语言的动态特性，且可在不同级别构造脚本片段，即使基于最先进的静态脚本分析的PowerShell攻击检测方法，其本质上也容易受到混淆的影响。本文为PowerShell脚本设计了一种通用、有效且轻量的去混淆方法。首先，为精准识别模糊脚本片段，根据混淆方法对PowerShell抽象语法树的影响，提出一种全新混淆片段检测方法，在此基础上提出一种基于仿真的恢复技术。此外，设计了一个语义敏感的PowerShell攻击检测系统，该系统利用经典的面向目标的关联挖掘算法，新识别31个用于恶意脚本检测的语义特征。在2342个良性样本和4141个恶意样本上的实验结果表明，所提去混淆方法平均耗时不到0.5秒，且将模糊脚本和原始脚本的相似度从0.5%提至93.2%。采用该去混淆方法，Windows Defender和VirusTotal的攻击检测率分别从0.33%和2.65%提至78.9%和94.0%。实验还表明，我们的检测系统优于现有两种工具（平均真正例率为96.7%，假正例率为0%）。

关键词

PowerShell ; 抽象语法树 ; 混淆和解混淆 ; 恶意脚本检测