公开(公告)号：CN110362996B

公开(公告)日：2021-03-09

申请号：CN201910478849.2

申请日：2019-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 姜荣霞 ,  刘宝旭 ,  姜政伟 ,  汪秋云 ,  江钧 ,  辛丽玲

IPC: G06F21/56

Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有：利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除；提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征；利用距离相关系数对基础特征进行筛选，得到关键特征；利用关键特征训练基于多变量决策树的随机森林检测模型MRF，用于检测PowerShell恶意软件；利用训练好的MRF离线检测PowerShell软件是否恶意，输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF，实现对PowerShell恶意软件的离线检测。

公开(公告)号：CN110362996A

公开(公告)日：2019-10-22

申请号：CN201910478849.2

申请日：2019-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 姜荣霞 ,  刘宝旭 ,  姜政伟 ,  汪秋云 ,  江钧 ,  辛丽玲

IPC: G06F21/56

Abstract: 本发明提供了一种离线的PowerShell恶意软件检测方法与系统。该方法包括的步骤有：利用PowerShell软件的抽象语法树进行PowerShell软件静态混淆去除；提取PowerShell软件的统计特征、结构特征及行为特征作为基础特征；利用距离相关系数对基础特征进行筛选，得到关键特征；利用关键特征训练基于多变量决策树的随机森林检测模型MRF，用于检测PowerShell恶意软件；利用训练好的MRF离线检测PowerShell软件是否恶意，输出检测结果。该系统包括数据预处理模块、特征提取模块、MRF模块、模型训练模块、外部接口调用模块。本发明通过训练基于多变量决策树的随机森林检测模型MRF，实现对PowerShell恶意软件的离线检测。