公开(公告)号：CN116611059A

公开(公告)日：2023-08-18

申请号：CN202310089403.7

申请日：2023-02-09

申请人： 中国科学院信息工程研究所

发明人： 姜政伟 ,  韩高奎 ,  汪秋云 ,  汪姝玮 ,  凌辰 ,  刘宝旭

IPC分类号： G06F21/56

摘要： 本发明提出一种基于动态分析技术的恶意PowerShell检测方法及系统。该方法包括以下步骤：在PowerShell配置文件以及CLR中设置监控点，运行PowerShell代码，捕获PowerShell的运行时信息；以进程为单位将单个进程捕获到的所有PowerShell代码运行时信息转换为按照调用先后顺序的形式进行存储，形成行为序列数据集；综合SHAP、Permutation以及Boruta算法发掘行为序列数据集中潜在的恶意行为序列，汇总生成恶意行为特征库；将捕获的待检测PowerShell代码的运行时信息与恶意行为特征库进行对比，从而检测PowerShell的恶意性，如果匹配成功则阻断恶意PowerShell进程的执行。本发明设置的监控点位于PowerShell命令以及CLR中，监控粒度更详细，语义信息更加丰富，便于提取恶意序列实施监控，在PowerShell运行时检测PowerShell的恶意性，能够及时阻断恶意PowerShell的执行。