一种Powershell混淆脚本的高精度识别方法及系统技术方案

技术编号:36974379 阅读:24 留言:0更新日期:2023-03-25 17:54
本发明专利技术涉及一种Powershell混淆脚本的高精度识别方法及系统,获取待检测的Powershell脚本,对其进行抽象语法树解析,得到结构化脚本输入信息;提取有关AST节点信息以及字符串和数组相关信息作为一部分特征采集;令结构化脚本信息进行迭代解析处理,将迭代解析过程中的运算信息记录作为一部分特征信息采集,并将解析过程中使用的解析方法作为新的信息插入脚本中;令解析完毕的结构化信息与原始Powershell脚本得到的结构化信息进行对比,将主要的差异部分信息作为特征进行采集;将上述特征进行整理合并,结合大量样本进行训练得到检测模型。与现有技术相比,本发明专利技术具有提高混淆检测的精度与准确率、应用前景广阔等优点。应用前景广阔等优点。应用前景广阔等优点。

【技术实现步骤摘要】
一种Powershell混淆脚本的高精度识别方法及系统


[0001]本专利技术涉及网络安全
,尤其是涉及一种Powershell混淆脚本的高精度识别方法及系统。

技术介绍

[0002]Powershell混淆检测工具是对可疑Powershell脚本进行检测的重要工具,能够提供基于Powershell脚本的网络攻击的预警,尤其是在高级持续渗透场景下对于高度混淆的恶意Powershell脚本的识别。随着自动化工具的普及,将Powershell脚本中的部分内容进行混淆是轻而易举的,而人工对于混淆样本的检测却十分耗费人力且低效,而高精度的混淆检测模型能够极大地减少人工审核的压力,从而更好地披露被混淆技术隐藏的Powershell脚本。
[0003]当前Powershell脚本混淆检测技术除了大量的人工收集与分析之外,全部依赖于字符级别的Powershell脚本特征,即整个脚本中所有可见字符串的统计数据如字符的频率、字符出现的数量和字符的熵。这种粗粒度的特征提取技术易造成正确率降低,且只需通过在脚本中添加无意义的脚本语句即可绕过这种字符集别本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Powershell混淆脚本的高精度识别方法,其特征在于,包括下列步骤:原始脚本特征采集步骤:获取待检测的Powershell脚本,对原始Powershell混淆脚本进行抽象语法树解析,提取得到结构化的脚本信息,通过对不同抽象语法树节点的特征采集得到原始脚本的特征信息并存储;脚本迭代特征采集步骤:通过分析引擎对结构化的脚本信息进行脚本语义迭代解析,并对脚本迭代方法进行记录,作为脚本动态特征进行存储;脚本对比特征采集步骤:对迭代分析完毕的脚本信息与原始脚本的结构化信息进行差异化比对,获取差异化特征,同时采集迭代分析完毕的脚本字符特征,对差异化特征和经迭代处理的脚本特征进行存储;模型训练步骤:对上述步骤过程中记录的所有特征进行合并存储,作为检测模型训练参数进行训练,获取训练后的Powershell混淆脚本的高精度识别模型;混淆结果识别步骤:将待检测脚本依次通过原始脚本特征采集步骤、脚本迭代特征采集步骤和脚本对比特征采集步骤进行脚本特征提取,将提取的特征作为Powershell混淆脚本的高精度识别模型的输入参数,获取混淆输出结果。2.根据权利要求1所述的Powershell混淆脚本的高精度识别方法,其特征在于,对原始Powershell混淆脚本进行抽象语法树解析的具体内容为:利用脚本语言特性,对原始Powershell混淆脚本进行抽象语法树解析得到原始Powershell混淆脚本的结构化脚本信息。3.根据权利要求2所述的Powershell混淆脚本的高精度识别方法,其特征在于,所述结构化脚本信息包括抽象语法树节点种类、抽象语法树节点的属性和抽象语法树节点的值。4.根据权利要求1所述的Powershell混淆脚本的高精度识别方法,其特征在于,所述原始脚本的特征信息包括脚本整体的字符分布,经过语法树解析完成后各类语法树节点的分布,常量字符串对应语法树节点的字符串长度与字符分布,以及数组对应语法树节点的数组长度和字符分布中的任意一种或多种。5.根据权利要...

【专利技术属性】
技术研发人员:曹瑶涛王轶骏
申请(专利权)人:上海交通大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1