检索结果-南通市图书馆

PowerDetector:Malicious powershell Script Family Classification Based on Multi-Modal Semantic Fusion and Deep Learning

在线全文

学校读者我要写书评

暂无评论

China Communications 2023年第11期20卷 202-224页

作者： Xiuzhang Yang Guojun Peng Dongni Zhang Yuhang Gao Chenguang Li School of Cyber Science and Engineering Wuhan UniversityWuhan 430072China Key Laboratory of Aerospace Information Security and Trusted Computing Ministry of EducationWuhan 430072China School of Information Guizhou University of Finance and EconomicsGuiyang 550025China

Power Shell has been widely deployed in fileless malware and advanced persistent threat(APT)attacks due to its high stealthiness and live-off-theland ***,existing works mainly focus on deobfuscation and malicious detection,lacking the malicious Power Shell families classification and behavior ***,the state-of-the-art methods fail to capture fine-grained features and semantic relationships,resulting in low robustness and *** this end,we propose Power Detector,a novel malicious Power Shell script detector based on multimodal semantic fusion and deep ***,we design four feature extraction methods to extract key features from character,token,abstract syntax tree(AST),and semantic knowledge ***,we intelligently design four embeddings(i.e.,Char2Vec,Token2Vec,AST2Vec,and Rela2Vec) and construct a multi-modal fusion algorithm to concatenate feature vectors from different ***,we propose a combined model based on transformer and CNN-Bi LSTM to implement Power Shell family *** experiments with five types of Power Shell attacks show that PowerDetector can accurately detect various obfuscated and stealth powershell scripts,with a 0.9402 precision,a 0.9358 recall,and a 0.9374 ***,through singlemodal and multi-modal comparison experiments,we demonstrate that PowerDetector’s multi-modal embedding and deep learning model can achieve better accuracy and even identify more unknown attacks.

关键词： deep learning malicious family detection multi-modal semantic fusion powershell

基于深度学习的powershell恶意代码家族分类研究

在线全文

学校读者我要写书评

暂无评论

武汉大学学报（理学版） 2022年第1期68卷 8-16页

作者：高宇航彭国军杨秀璋宋文纳吕杨琦空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院湖北武汉430072

由于powershell具备隐蔽性高、易用性好、运行环境简单等特点,近年来已被广泛应用于高级持续性威胁攻击中。对powershell恶意代码进行基于功能的家族分类是检测其新型变异代码的关键。针对已有工作主要集中于powershell代码的恶意性检测... 详细信息

由于powershell具备隐蔽性高、易用性好、运行环境简单等特点,近年来已被广泛应用于高级持续性威胁攻击中。对powershell恶意代码进行基于功能的家族分类是检测其新型变异代码的关键。针对已有工作主要集中于powershell代码的恶意性检测,缺乏对其功能层面深入挖掘的问题,提出了一种基于功能类型的powershell恶意代码家族分类方法。该方法通过构建双向门控循环网络与注意力机制提取powershell恶意代码的上下文语义信息,利用powershell恶意代码的语义特征实现家族分类。实验结果表明该方法具备高精确率、高召回率以及耗时少等优点,在真实数据集上各项指标均高于96%,分类效果良好。

关键词： powershell 恶意代码家族分类深度学习

基于特征组合的powershell恶意代码检测方法

在线全文

学校读者我要写书评

暂无评论

信息安全学报 2021年第1期6卷 40-53页

作者：刘岳刘宝旭赵子豪刘潮歌王晓茜吴贤达中国科学院信息工程研究所北京100093 中国科学院大学网络空间安全学院北京100049

近年来,powershell由于其易用性强、隐蔽性高的特点被广泛应用于APT攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在powershell恶意代码检测中越来越难以有效。本文提出了一种基于随机森林特征组合和深度学习的Powers... 详细信息

近年来,powershell由于其易用性强、隐蔽性高的特点被广泛应用于APT攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在powershell恶意代码检测中越来越难以有效。本文提出了一种基于随机森林特征组合和深度学习的powershell恶意代码检测方法。该方法使用随机森林生成更好表征原始数据的新特征组合,随后使用深度学习神经网络训练并进行分类识别。该方法可以弥补人工特征工程经验不足的问题,更好表征原始数据从而提高检测效果。本文实验结果显示,利用本文提出方法构建的powershell恶意代码检测系统性能良好,在真实数据集中的召回率、准确率均在99%以上,可以对powershell恶意代码进行有效的检测识别。

关键词： powershell 恶意代码 APT 深度学习随机森林

基于多标签分类器的恶意powershell检测

在线全文

学校读者我要写书评

暂无评论

电脑知识与技术 2023年第19期19卷 20-22页

作者：曹耀彬西安机电信息技术研究所陕西西安710076

混淆和加密是一种常见的恶意powershell伪装技术,是逃避反病毒工具的重要手段,攻击者可以使用不同的混淆和加密技术来避免被检测并绕过防御。为了有效地识别混淆加密伪装,提出了一种基于深度神经网络的多标签分类器。通过有效的多标签... 详细信息

混淆和加密是一种常见的恶意powershell伪装技术,是逃避反病毒工具的重要手段,攻击者可以使用不同的混淆和加密技术来避免被检测并绕过防御。为了有效地识别混淆加密伪装,提出了一种基于深度神经网络的多标签分类器。通过有效的多标签特征向量训练深度神经网络,学习恶意powershell中的各种混淆加密特征。一旦混淆加密方式被识别出来,就可以使用相应的解混淆方法还原。实验结果表明,深度神经网络多标签分类器在很大程度上解决了深度混淆powershell识别率不高的问题,整体上提高了对恶意powershell检测的精度。

关键词： powershell 多标签分类器深度神经网络恶意代码混淆加密

基于powershell脚本的可疑程序取证工具设计

在线全文

学校读者我要写书评

暂无评论

计算机时代 2022年第2期 23-26,30页

作者：张泽陈顺材郭雅楠余子龙靖阔杨建强湖北文理学院计算机工程学院湖北襄阳441053

安全用户经常需要分析并找出系统中的可疑程序。利用Windows的powershell、WMI和内置程序实现了一个可疑程序取证工具,它能够辅助安全用户对可疑程序进行分析和取证。相较于第三方工具,该工具更加方便、安全、可靠,在某些方面也更加智... 详细信息

安全用户经常需要分析并找出系统中的可疑程序。利用Windows的powershell、WMI和内置程序实现了一个可疑程序取证工具,它能够辅助安全用户对可疑程序进行分析和取证。相较于第三方工具,该工具更加方便、安全、可靠,在某些方面也更加智能。测试结果表明,该工具能够切实地辅助安全用户识别可疑程序,收集与可疑程序有关的重要数据。

关键词： powershell 可疑程序安全取证

在线全文

学校读者我要写书评

暂无评论

Windows powershell

Windows IT Pro Magazine（国际中文版） 2007年第C期 395-398页

作者： PaulRobichaux 臧铁军(译)

powershell为Windows平台带来了强大的脚本功能。其中最酷的功能莫过于你可以使用一些简单的命令来创建更为复杂的命令。

关键词： Windows powershell 脚本功能合成功能管道功能面向对象设计安全性在线帮助

基于powershell的APT渗透测试关键技术研究

维普期刊数据库评论

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

基于PowerShell的APT渗透测试关键技术研究

作者：陈向军哈尔滨工业大学

学位级别：硕士

近些年,网络攻击的目的正在逐步发生改变,由单纯地进行破坏转变成针对某些特定目标进行长期持续性的渗透攻击,并且这一趋势日趋激烈。这种针对某些特定目标进行长久化渗透攻击的新型攻击手段被人们称之为APT(Advanced Persistent Threat... 详细信息

近些年,网络攻击的目的正在逐步发生改变,由单纯地进行破坏转变成针对某些特定目标进行长期持续性的渗透攻击,并且这一趋势日趋激烈。这种针对某些特定目标进行长久化渗透攻击的新型攻击手段被人们称之为APT(Advanced Persistent Threat)攻击,它不同于传统的网络攻击,具有潜伏期长、难以被察觉和危害性更大的特点。powershell是微软公司为Windows操作系统开发的一种命令行应用程序,与.NET Framework绑定在一起,具有功能强大、隐蔽性强与操作灵活的特点,这些特点使它逐步成为APT攻击的主流攻击工具。微软针对基于powershell的脚本攻击,设立了四道安全防线,分别是:powershell执行策略、应用程序白名单与App Locker、AMSI(Antimalware Scan Interface)和powershell约束语言模式,这四道防线有效地阻挡了绝大多数基于powershell的脚本攻击。本文对基于powershell的APT攻击渗透过程中涉及到的关键技术进行了研究。首先,阐述了powershell执行策略和应用程序白名单的工作原理,并提出了2个绕过powershell执行策略的方法,这些方法也可以绕过应用程序白名单对powershell的限制;其次,阐述了AMSI的工作原理和工作过程,并提出了1个在Windows 10操作系统上绕过AMSI检测的方法和1个基于AMSI的代码混淆方法;再次,阐述了基于Office漏洞、基于DDE和基于VBA的3种文档病毒的攻击原理,提出了1种新型宏病毒,该宏病毒可以通过360安全卫士、腾讯电脑管家、金山毒霸、***、Kaspersky和Windows Defender这6款反病毒软件的静态检测;最后,设计并实现了一套APT渗透框架,该框架可以对powershell脚本进行代码混淆,也可以生成5种类型的文档病毒,还可以与文档病毒配合起来进行APT攻击。

关键词： APT powershell 文档病毒 AMSI 代码混淆

基于powershell的恶意代码的应用研究与设计

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于Powershell的恶意代码的应用研究与设计

作者：高鹏超西安电子科技大学

学位级别：硕士

随着科学技术的发展,人们对恶意软件的检测技术也越发的成熟,传统恶意代码的威胁正在逐渐减弱。由于powershell良好的过免杀特性,基于powershell恶意代码的应用逐渐增多,大有泛滥的趋势。近年来流行的网银木马VAWTRAK和蠕虫Duqu2.0便是... 详细信息

随着科学技术的发展,人们对恶意软件的检测技术也越发的成熟,传统恶意代码的威胁正在逐渐减弱。由于powershell良好的过免杀特性,基于powershell恶意代码的应用逐渐增多,大有泛滥的趋势。近年来流行的网银木马VAWTRAK和蠕虫Duqu2.0便是基于powershell的两款恶意软件,其造成的危害已经波及不计其数的银行系统和企业组织,造成了不可估量的损失。因此,研究基于powershell的恶意代码,已经成为信息安全问题的热点。本文首先从powershell的脚本入手,详细介绍了powershell脚本执行的五种执行策略,然后针对其默认的限制执行策略提出了三种常用的绕过方法。其次就是对powershell恶意代码的应用研究。重点分两个部分研究了powershell恶意代码的应用。第一部分是powershell恶意代码的常规应用,这部分结合实例讲解了powershell代码如何加载恶意Payload和利用powershell恶意代码制作钓鱼文件以及使用powershell恶意代码收集系统信息,并且对这些功能脚本作了深入的分析和解剖,得出其使用核心都是利用powershell系统组件的属性来加载恶意Payload到内存中去执行。第二部分是powershell恶意代码的其它应用,这部分简要介绍了其在内网渗透和程序分析方面的应用。然后在对powershell恶意代码的应用进行研究、对比、分析后,得出其应用的优点为:可以全面调用.Net Framework底层;可以进行“无文件”的渗透攻击;应用代码简短灵活,功能强大。此外,也对其缺点进行了简要说明。在对powershell恶意代码应用研究的基础上,就powershell恶意代码的攻击防御展开思考,结合powershell自身的三点防御措施,提出了针对powershell恶意代码攻击防御三点建议:限制用户使用权限;执行签名的脚本;使用端点安全工具。最后针对powershell恶意代码应用中的不足之处,提出了优化的应用方案,也就是基于powershell恶意代码的动态集成化应用设计。本应用软件的设计分为两个部分,即客户端和服务端。服务端采用常规的LAMP组合软件进行搭建,而重点的客户端部分采用C++语言编写程序。客户端软件通过HTTP协议与服务端进行信息交互,在收到服务端的数据后,解析数据,然后进行数据类型的判断:符合条件的,创建子线程,调用powershell程序执行其中的powershell指令,将执行结果返回服务端,关闭子线程;不符合条件的,则直接丢弃数据。在处理完数据后,继续从服务端接收数据,不断重复上述过程。在代码实现上,主要采用了用于json数据解析的json库以及自己封装的用于HTTP通信的HTTP类,重点结合代码与流程图详细讲解了心跳函数、内存分配函数和数据处理函数等关键函数的功能。最后就软件的具体功能进行了成功的实验仿真。

关键词：恶意代码 powershell 钓鱼文件 powershell攻击防御

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

powershell脚本语言安全问题研究

保密科学技术 2019年第12期 45-50页

作者：王克克王政赵云鹏于兆良赵金玲中国航天系统科学与工程研究院国家保密科技测评中心

作为一种广泛应用于网络系统管理的脚本语言,powershell语言具有丰富的应用形式,同时也带来了新的安全风险。本文首先对Power Shell攻击特性进行了分析,在此基础上对Power Shell的安全特性进行了研究,揭示了企业内部网络普遍存在以Power... 详细信息

作为一种广泛应用于网络系统管理的脚本语言,powershell语言具有丰富的应用形式,同时也带来了新的安全风险。本文首先对Power Shell攻击特性进行了分析,在此基础上对Power Shell的安全特性进行了研究,揭示了企业内部网络普遍存在以powershell脚本为代表的脚本安全威胁。

关键词： powershell 脚本语言安全