【摘 要】
:
In recent years, PowerShell has increasingly been reported as appearing in a variety of cyber attacks. However, because the PowerShell language is dynamic by design and can construct script fragments at different levels, state-of-the-art static analysis b
【机 构】
:
College of Computer Science and Technology,Zhejiang University,Hangzhou 310027,China;Department of E
论文部分内容阅读
In recent years, PowerShell has increasingly been reported as appearing in a variety of cyber attacks. However, because the PowerShell language is dynamic by design and can construct script fragments at different levels, state-of-the-art static analysis based PowerShell attack detection approaches are inherently vulnerable to obfuscations. In this paper, we design the first generic, effective, and lightweight deobfuscation approach for PowerShell scripts. To precisely identify the obfuscated script fragments, we define obfuscation based on the differences in the impacts on the abstract syntax trees of PowerShell scripts and propose a novel emulation-based recovery technology. Furthermore, we design the first semantic-aware PowerShell attack detection system that leverages the classic objective-oriented association mining algorithm and newly identifies 31 semantic signatures. The experimental results on 2342 benign samples and 4141 malicious samples show that our deobfuscation method takes less than 0.5 s on average and increases the similarity between the obfuscated and original scripts from 0.5%to 93.2%. By deploying our deobfuscation method, the attack detection rates for Windows Defender and VirusTotal increase substantially from 0.33% and 2.65% to 78.9% and 94.0%, respectively. Moreover, our detection system outperforms both existing tools with a 96.7%true positive rate and a 0%false positive rate on average.
其他文献
目的 探讨老年慢性阻塞性肺疾病(chronic obstructive pulmonary disease,COPD)患者采用呼吸训练联合康复护理对其肺功能及生活质量的影响.方法 选择该院2019年6月—2020年6月收治的150例老年COPD患者,按照随机数表法分为两组.对照组(n=75)采用常规护理,试验组(n=75)则在对照组基础上采用呼吸训练联合康复护理.比较两组干预前后的用力肺活量(forced vital capacity,FVC)、第1秒用力呼气容积(forced expiratory vo
通过闪光对焊方法连接M390高碳马氏体不锈钢与304奥氏体不锈钢.通过室温拉伸试验、显微硬度测试表征了焊接接头的力学性能.采用扫描电镜(SEM)、能谱分析(EDS)和X射线衍射(XRD)分析了焊接接头的微观组织形貌、元素扩散及各区域相组成.结果表明,利用合适的焊接工艺参数,M390与304之间可以形成焊缝形貌美观、抗拉强度最大值为480.62 MPa、断后伸长率为6.2%的闪光对焊焊接接头.焊缝组织由马氏体、奥氏体、M23C6和M7C3组成.M390侧及焊缝中碳化物类型为(Cr,V)碳化物.M390热影响
采用Cu75Pt钎料实现了Ti60钛合金与TC4钛合金的真空钎焊,采用SEM,EDS,XRD分析了钎焊接头显微结构.结果表明,接头典型组织结构为Ti60/Ti2Cu+α-Ti/Ti2Cu/Ti2Cu+Ti3Pt/Ti2Cu/Ti2Cu+α-Ti/TC4.对不同钎焊温度下获得的接头界面组织结构进行了分析,结果表明,随着钎焊温度的增加,扩散反层厚度增加,钎缝中Ti2Cu和Ti3Pt金属间化合物减少,钎缝厚度逐渐减小.接头抗剪强度随钎焊温度的升高先增加后减小,当钎焊温度970℃,保温时间10 min时获得最大抗
定向能量沉积(directed energy deposition,DED)热力仿真是有效预测沉积件残余应力和变形、优化工艺参数的重要方法,其仿真精度取决于输入参数的准确性.针对传统方法难以直接、准确获取输入参数的问题,文中以热源参数为例,提出基于支持向量机和遗传算法的参数反向识别方法,并用于精确构建实际DED工件热力仿真模型.首先基于参数化仿真建模正向获取不同热源参数下单道单层沉积件仿真误差;其次借助支持向量机构建热源参数与仿真误差的定量映射关系,并利用遗传算法反向识别热源参数,在正向-反向实施过程中,
基于Comsol Multiphysics软件,通过建立电磁超声辅助钎焊模型,研究洛伦兹力作用下钎料Sn-9Zn在SiC陶瓷表面的铺展行为.结果表明,在电磁超声作用下,钎料表面出现塌陷并向外铺展,伴随着钎料表面出现振动现象,随后线圈下方的部分钎料断裂并飞溅,中心处钎料收缩.当线圈通入交变电流时,在周边感生出方向呈周期性转换的交变磁场.钎料内部洛伦兹力方向整体指向钎料外部,在钎料边缘处逐渐指向母材表面,线圈下方钎料所受水平和垂直方向的洛伦兹力高于其它部分,最高时分别为63.96和31.2 kN/m3,顶部钎
目的 探究眼球按摩在青光眼滤过术后患者中的应用价值.方法 将该院2019年2月—2020年10月收治的86例青光眼滤过术后患者纳入该次研究,按照随机数字表法分为对照组43例与观察组43例.对照组采用常规护理,观察组采用眼球按摩.对比两组功能性滤过泡形成率、术后康复效果、术后并发症发生率、生活质量.结果 干预后,观察组术后眼压(15.23±3.17)mmHg、疼痛数字评分(2.47±0.39)分均低于对照组的(18.47±5.29)mmHg、(3.11±1.19)分,组间差异有统计学意义(P<0.05).两
轮廓提取作为熔池的基本视觉形态特征,在焊接质量在线监测中起着重要作用.文中建立了非熔化极惰性气体保护电弧焊(tungsten Inert gas welding,TIG)焊接工艺环境下的熔池视觉传感系统,采集了高质量的熔池图像.针对TIG焊不锈钢熔池图像中弱边缘检测的难点提出了一种基于边缘导向算子模板匹配的熔池轮廓提取算法(operator template matching based on edge direction guidance,OTM-EDG),算法中首先基于非线性灰度变换方法增强弱边缘.之
目的 研究康复专科护理规范化流程管理在神经源性膀胱患者中的应用效果.方法 选择该院2019年8月—2020年7月收治的神经源性膀胱患者60例为研究对象,将其随机分为对照组(n=30)和观察组(n=30).对照组采用常规护理,观察组采用康复专科护理规范化流程管理.对比分析两组患者护理后的膀胱功能指标、并发症发生率、满意度及生活质量.结果 比较两组患者的护理总有效率,观察组的96.67%明显高于对照组的73.33%,差异有统计学意义(P<0.05).护理后,观察组患者的膀胱容量大于对照组,最大排尿量多于对照组
目的 探究围术期系统性肺康复训练对胸腔镜肺叶切除术后患者肺功能及呼吸功能的影响.方法 选取该院2019年10月—2020年10月收治的108例肺癌行胸腔镜肺叶切除术后患者为研究对象,按照随机数字表法分为对照组和观察组,每组54例.对照组采用常规康复干预,观察组在对照组基础上采用围术期系统性肺康复训练.比较两组的肺功能、呼吸功能及运动功能.结果 干预前,两组的各项肺功能指标比较,组间差异无统计学意义(P>0.05);干预后,观察组的第1秒用力呼气容积、第1秒用力呼气容积占用力肺活量比值均高于对照组,组间差异
为探究管道环焊缝断裂失效机理,测试了两种不同强度匹配的高铌X80环焊缝接头的组织和性能,并借助数字图像相关法(digital image correlation,DIC)观测了焊接接头在拉伸载荷下的应变行为.结果表明,低强匹配和高强匹配的高铌X80管道环焊接头均具有较好的冲击韧性,二者的夏比冲击吸收能量平均值相当,热影响区韧性离散主要是粗晶区组织不均匀性所致;高铌X80管线钢碳当量CEIIW较低,环焊缝接头热影响区存在一定程度软化.在轴向拉伸载荷下,无论是低强匹配还是高强匹配,应变集中最先出现在环焊缝的根