基于行为特征的PowerShell恶意代码检测模型

扫码查看

原文链接

NETL
NSTL
万方数据

中文摘要：随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中.为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型.首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列.随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系.最后,使用全连接层实现恶意性检测.实验结果表明,模型能够有效检测PowerShell恶意代码.

作者：

雷鑫焱、高见、王凯悦

展开 >

作者单位：

中国人民公安大学信息网络安全学院北京 100038

安全防范与风险评估公安部重点实验室北京 102623

关键词：

PowerShell 恶意代码检测动态分析 API序列深度学习

出版年：

2024

DOI：

10.3969/j.issn.1672-9528.2024.04.012