【技术实现步骤摘要】
本专利技术属于网络安全和机器学习,具体涉及一种基于多特征融合的恶意命令行检测方法。
技术介绍
1、随着科技的发展,网络犯罪的手段也在不断演变,攻击者越来越多地使用合法工具来执行攻击,这种技术的普及使得现有的安全工具难以区分正常活动和恶意活动。并且由于这些工具常被系统管理员用于合法工作并被加入系统白名单,防御者很难完全阻止对这些程序的访问,攻击者因此能够隐藏在这些良性程序之下,从而不仅能实现恶意攻击的目的,还能逃避现有对于恶意软件的检测。这种利用目标系统中已经存在的合法工具和软件来执行恶意活动,而不是引入外部恶意软件的攻击方式叫做living off the land(lotl)。
2、lotl攻击表现出几个关键特征:最小的攻击足迹、持久性和利用两用工具。比如,certutil.exe是一个windows命令行程序,可用于证书管理任务同时它还能从互联网上下载文件、编码或解码证书文件。但是攻击者也能够使用该工具下载恶意文件或隐藏现有文件。此类方法可能会被复杂的恶意软件或攻击者在初次入侵后使用。这些工具的这些侧面用例使攻击者能够逃...
【技术保护点】
1.一种基于多特征融合的恶意命令行检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(1)中,通过建立的去混淆算法对系统日志数据中的命令行数据进行清洗,使得命令行的结构恢复到被混淆之前的结构,然后对具有干净结构的命令行数据进行标准化,以减少命令行结构的复杂性;其具体过程如下:
3.根据权利要求2所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(2)中的规则标签包括path_keyword、command_keyword及parameter_keyword;
...【技术特征摘要】
1.一种基于多特征融合的恶意命令行检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(1)中,通过建立的去混淆算法对系统日志数据中的命令行数据进行清洗,使得命令行的结构恢复到被混淆之前的结构,然后对具有干净结构的命令行数据进行标准化,以减少命令行结构的复杂性;其具体过程如下:
3.根据权利要求2所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(2)中的规则标签包括path_keyword、command_keyword及parameter_keyword;
4.根据权利要求3所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(3)的具体过程如下:
5.根据权利要求4所述的一种基于多特征融合的恶意命令行检测方法,其特征在于,所述(4)中,根据命令分隔符对命令行文本进行令牌化来获得命令行结构的令牌序列,以保证捕获...
【专利技术属性】
技术研发人员:朱添田,郑杰,陈铁明,
申请(专利权)人:浙江工业大学台州研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。