[發明專利]一種PowerShell惡意腳本的檢測方法及裝置在審

申請號：	202010170489.2	申請日：	2020-03-12
公開（公告）號：	CN111368303A	公開（公告）日：	2020-07-03
發明（設計）人：	范楷朋	申請（專利權）人：	深信服科技股份有限公司
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	深圳市深佳知識產權代理事務所(普通合伙) 44285	代理人：	王兆林
地址：	518055 廣東省深圳市南***	國省代碼：	廣東;44
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種 powershell 惡意腳本檢測方法裝置
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種PowerShell惡意腳本的檢測方法，其特征在于，包括：

確定待檢測PowerShell腳本中的腳本執行命令；

將所述腳本執行命令替換為輸出命令得到目標PowerShell腳本；

通過執行所述目標PowerShell腳本輸出目標腳本代碼，并對所述目標腳本代碼執行惡意腳本檢測操作。

2.根據權利要求1所述檢測方法，其特征在于，確定待檢測PowerShell腳本中的腳本執行命令包括：

利用第一特征庫中的正則表達式確定所述待檢測PowerShell腳本中的腳本執行命令；

其中，所述第一特征庫中的正則表達式包括大小寫混淆正則表達式和/或全拼混淆正則表達式。

3.根據權利要求2所述檢測方法，其特征在于，所述第一特征庫中的正則表達式的生成過程包括：

獲取所述腳本執行命令對應的所有字符大小寫組合的命令簡寫字符串，根據所述命令簡寫字符串生成所述大小寫混淆正則表達式；

和/或，獲取所述腳本執行命令對應的所有字符大小寫組合的命令全拼字符串，根據所述命令全拼字符串生成所述全拼混淆正則表達式。

4.根據權利要求1所述檢測方法，其特征在于，確定待檢測PowerShell腳本中的腳本執行命令包括：

利用第二特征庫中確定所述待檢測PowerShell腳本中的腳本執行命令；

其中，所述第二特征庫包括字符拼接混淆樣本字符串和/或字符拼接混淆正則表達式。

5.根據權利要求4所述檢測方法，其特征在于，構建所述第二特征庫的過程包括：

確定樣本PowerShell惡意腳本中長度小于預設長度的待檢字符串樣本；其中，所述待檢字符串樣本為同一括號內的全部字符串；

利用所述輸出命令模擬執行所述待檢字符串得到輸出結果；

若所述輸出結果為所述腳本執行命令對應的字符串，則判定所述待檢字符串為字符拼接混淆樣本字符串，并將所述字符拼接混淆樣本字符串添加至所述第二特征庫。

6.根據權利要求4所述檢測方法，其特征在于，構建所述第二特征庫的過程包括：

根據所述第二特征庫中字符串相似度對所述字符拼接混淆樣本字符串執行聚類操作得到字符串集合；

判斷所述字符串集合中的字符串數量是否大于預設值；

若否，則生成所述字符串集合中的字符拼接混淆樣本字符串對應的字符拼接混淆正則表達式，并將所述字符拼接混淆正則表達式添加至所述第二特征庫。

7.根據權利要求2至6任一項所述檢測方法，其特征在于，在確定待檢測PowerShell腳本中的腳本執行命令之后，還包括：

利用所述輸出命令模擬執行所述腳本執行命令對應的字符串，得到校驗結果；

若所述校驗結果為預設結果，則判定校驗通過；其中，所述預設結果為標準腳本執行命令對應的字符串；

若所述校驗結果不為預設結果，則判定校驗不通過，并移除檢測到所述腳本執行命令的正則表達式。

8.根據權利要求1所述檢測方法，其特征在于，所述確定待檢測PowerShell腳本中的腳本執行命令包括：

確定所述待檢測PowerShell腳本中長度小于預設長度的待檢字符串；其中，所述待檢字符串為同一括號內的全部字符串；

利用所述輸出命令模擬執行所述待檢字符串得到輸出結果；

若所述輸出結果為所述腳本執行命令對應的字符串，則判定檢測到所述腳本執行命令，并對所述腳本執行命令對應的字符串添加標記；

相應的，將所述腳本執行命令替換為輸出命令得到目標PowerShell腳本包括：

將添加有所述標記的字符串替換為所述輸出命令對應的字符串得到所述目標PowerShell腳本。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司，未經深信服科技股份有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202010170489.2/1.html，轉載請聲明來源鉆瓜專利網。

上一篇：一種基于弱監督學習的聯合信息抽取方法
下一篇：一種盤形銑刀加工雙螺桿泵型線的三維模型建模系統

同類專利

專利分類

G 物理

G06 計算；推算；計數
G06F 電數字數據處理
G06F21-00 防止未授權行為的保護計算機或計算機系統的安全裝置
G06F21-02 .通過保護計算機的特定內部部件
G06F21-04 .通過保護特定的外圍設備，如鍵盤或顯示器
G06F21-06 .通過感知越權操作或外圍侵擾
G06F21-20 .通過限制訪問計算機系統或計算機網絡中的節點
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級VIP會員，免費下載

專利文獻下載

說明：

1、專利原文基于中國國家知識產權局專利說明書；

2、支持發明專利、實用新型專利、外觀設計專利（升級中）；

3、專利數據每周兩次同步更新，支持Adobe PDF格式；

4、內容包括專利技術的結構示意圖、流程工藝圖或技術構造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進行下載，點擊【登陸】【注冊】