【CCS2019论文解读】浙江大学李振源博士:针对PowerShell脚本的有效的轻量级去混淆和语义感知攻击检测

2020年8月13日, 在网络空间安全国际学术成果分享(下)活动中 ,浙江大学李振源博士对他们发表在CSS 2019上的论文《 Effective and Light-Weight Deobfuscation and Semantic-Aware Attack Detection for PowerShell Scripts 》进行了解读介绍。

演讲主题:Effective and Light-Weight Deobfuscation and Semantic-Aware Attack Detection for PowerShell Scripts  (本文发表于CCS’19)

内容摘要:

越来越多的报道显示,PowerShell被广泛的用于各种网络攻击。这些攻击包括高级持续性威胁、勒索病毒、网络钓鱼邮件等等。基于PowerShell的攻击,利用了PowerShell的动态性,构造了复杂的混淆模式,绕过了检测。为了克服这一难题,我们提出来第一个轻量且有效的解混淆方案,并基于解混淆后的脚本构造了基于攻击语义的检测系统。实验显示,通过解混淆,我们可以将混淆后脚本和原始脚本之间的相似度从仅0.5%提高到了近80%。同时解混淆过程有效的改善了已有系统的检测效率,Windows Defender和VirusTotal的攻击检测率分别从0.3%和2.65%大幅增加到75.0%和90.0%。

嘉宾介绍:

李振源 浙江大学

李振源,浙江大学在读博士,研究兴趣包括终端安全,入侵检测,威胁分析等。

Bookmark the permalink.

Comments are closed.