《娜璋帶你讀論文》系列主要是督促自己閱讀優(yōu)秀論文及聽取學(xué)術(shù)講座，并分享給大家，希望您喜歡。由于作者的英文水平和學(xué)術(shù)能力不高，需要不斷提升，所以還請大家批評指正，非常歡迎大家給我留言評論，學(xué)術(shù)路上期待與您前行，加油。

該文是貴大0624團(tuán)隊論文學(xué)習(xí)筆記，分享者姚迪同學(xué)，未來我們每周至少分享一篇論文筆記。前一篇博客介紹了TIFS’24 基于攻擊表示學(xué)習(xí)的高效內(nèi)存APT獵殺系統(tǒng)（MEGR-APT）。這篇文章將帶來Computers & Security2022的MPSAutodetect，提出一種基于堆疊去噪自編碼器的惡意Powershell腳本檢測模型。本文首次結(jié)合SDA（自編碼器）來提取PowerShell腳本的關(guān)鍵特征，并使用XGBoost進(jìn)行分類。由于我們還在不斷成長和學(xué)習(xí)中，寫得不好的地方還請海涵。希望這篇文章對您有所幫助，這些大佬真值得我們學(xué)習(xí)。fighting！

• 歡迎關(guān)注作者新建的『網(wǎng)絡(luò)攻防和AI安全之家』知識星球（文章末尾）

原文作者：Amal Alahmadi, Norah Alkhraan, Wojdan BinSaeedan
原文標(biāo)題：MPS Autodetect: A Malicious Powershell Script Detection Model Based on Stacked Denoising Auto-Encoder
原文鏈接：https://www.sciencedirect.com/science/article/pii/S0167404822000578
發(fā)表會議：Computers & Security 2022
筆記作者：貴大0624團(tuán)隊 姚迪

---

一.摘要

PowerShell是一個用于自動化管理任務(wù)的重要工具。它是一個預(yù)安裝在Windows機(jī)器上的開源工具，可以在許多其他操作系統(tǒng)上訪問。管理員通常使用PowerShell來執(zhí)行一系列典型的管理任務(wù)，例如添加和刪除帳戶、編輯組以及訪問難以找到的用戶信息。

然而，研究人員最近發(fā)現(xiàn)PowerShell被用來執(zhí)行各種攻擊。這些攻擊利用PowerShell的大量屬性來訪問特權(quán)信息，獲得對整個機(jī)器的控制或在組織中傳播。由于這些惡意腳本的混淆性和復(fù)雜性，檢測成本高昂且困難重重。

在這里，我們提出了惡意PowerShell腳本自動檢測(MPSAutodetect)，這是一種依靠機(jī)器學(xué)習(xí)技術(shù)檢測惡意PowerShell腳本的檢測模型。 我們的模型是通過使用堆疊去噪自編碼器(sda)來提取有意義的特征而構(gòu)建的。這些有價值的、容易獲得的特征被輸入到極端梯度增強(qiáng)（XGBoost）分類器中。收集了兩個實質(zhì)性的數(shù)據(jù)集（已標(biāo)記和未標(biāo)記），以監(jiān)督和半監(jiān)督的方式訓(xùn)練和測試MPSAutodetect。該數(shù)據(jù)集包含惡意和良性混淆腳本。實驗結(jié)果表明，無論從SDA中提取的特征如何，監(jiān)督方法都能獲得更好的檢測效果，其真陽性率顯著達(dá)到98%，假陽性率低至0.6%。因此，對MPSAutodetect的分析表明，該模型在沒有手動特征工程的麻煩過程中取得了令人滿意的性能。

---

二.引言及前置知識

PowerShell是一種流行且功能強(qiáng)大的面向?qū)ο竽_本語言和命令行shell，預(yù)安裝在Windows機(jī)器上。它允許管理員和用戶在操作系統(tǒng)上操縱和運(yùn)行命令。最近，許多報告表明，網(wǎng)絡(luò)犯罪分子已經(jīng)利用PowerShell的能力來實施攻擊。

與Power-Shell相關(guān)的最常見攻擊是Livingoff The Land攻擊（離地攻擊）。這種攻擊是指利用系統(tǒng)的本地工具來攻擊自身，攻擊者使用自動現(xiàn)成的工具反復(fù)混淆腳本，導(dǎo)致檢測方案面臨更大的挑戰(zhàn)。此外，大多數(shù)PowerShell日志記錄在默認(rèn)情況下是禁用的。因此，惡意的腳本很容易傳播。同時，PowerShell命令和文件不會寫入磁盤。網(wǎng)絡(luò)犯罪分子利用這一漏洞幾乎沒有留下任何活動痕跡供法醫(yī)分析。

什么是PowerShell？
PowerShell 是一種跨平臺的任務(wù)自動化解決方案，由命令行 shell、腳本語言和配置管理框架組成。

什么是autoencoder？
autoencoder是一種無監(jiān)督的學(xué)習(xí)算法，主要用于數(shù)據(jù)的降維或者特征的抽取，在深度學(xué)習(xí)中，autoencoder可用于在訓(xùn)練階段開始前，確定權(quán)重矩陣W的初始值。自動編碼器是一種無監(jiān)督的數(shù)據(jù)維度壓縮和數(shù)據(jù)特征表達(dá)方法。在大部分提到自動編碼器的場合，壓縮和解壓縮的函數(shù)是通過神經(jīng)網(wǎng)絡(luò)實現(xiàn)。

• 隱藏層從輸入到隱藏層即為Encoder（編碼器），從隱藏層到輸出即為Decoder（解碼器）。

powershell檢測系統(tǒng)現(xiàn)有工作：

• 利用機(jī)器學(xué)習(xí)算法提出了一個字符級深度神經(jīng)網(wǎng)絡(luò)該網(wǎng)絡(luò)的構(gòu)建和訓(xùn)練是為了在字符級別檢測惡意腳本?？紤]使用統(tǒng)一長度的字符來構(gòu)建字符級的one-hot編碼表示腳本。這種向量表示被輸入到許多卷積神經(jīng)網(wǎng)絡(luò)(CNN)配置以及傳統(tǒng)的自然語言處理(NLP)檢測器中
• 提出了一種使用混合特征檢測惡意PowerShell腳本的方法。他們專注于可以從腳本中提取的特征類型，其中在使用FastText進(jìn)行腳本嵌入的同時呈現(xiàn)了許多手動提取的特征。從惡意程度的角度分析了這些單個特征之間的差異。特征集合被輸入到隨機(jī)森林分類器中

現(xiàn)有方法的局限:

• 攻擊復(fù)雜性與檢測難度的增加，檢測成本高昂且困難重重；
• 惡意腳本種類繁多，行為模式和特征差異很大，使得統(tǒng)一檢測模型的泛化能力受到限制；
• 傳統(tǒng)方法通常需要手動提取特征，這一過程復(fù)雜且耗時，難以應(yīng)對不斷變化的惡意腳本技術(shù)。

本文貢獻(xiàn)可以總結(jié)如下：

• 提出惡意PowerShell腳本自動檢測(MPSAutodetect)，這是一個使用機(jī)器學(xué)習(xí)算法檢測惡意PowerShell腳本的模型，同時消除了手動查找特征的過程。MPSAutodetect依賴于SdA從PowerShell腳本中提取有意義的特征。
• 整合了強(qiáng)大的XGBoost分類算法，利用從SdA結(jié)構(gòu)中獲得的特征。以兩種方式實現(xiàn)MPSAutodetect，比較監(jiān)督和半監(jiān)督方法的效率。
• 通過定義四個具有不同惡意對良性腳本解釋比率的數(shù)據(jù)集來驗證模型的效率。用于訓(xùn)練和評估模型的數(shù)據(jù)集語料庫包含混淆的腳本，本質(zhì)上賦予MPSAutodetect識別PowerShell腳本的能力，即使它具有復(fù)雜的形式。

---

三.本文模型

1.總體架構(gòu)

MPSAutodetect整體框架如下圖所示：

• PowerShell預(yù)處理
• Auto-Encoder模型提取特征
• 梯度增強(qiáng)及分類預(yù)測

---

2.PowerShell預(yù)處理

PowerShell是一種面向?qū)ο蟮哪_本語言，具有跨平臺的命令行shell。它可以與net、COM、WMI和XML對象一起工作，這使PowerShell命令行與其他命令行區(qū)別開來PowerShell中的命令稱為cmdlet，它具有動詞-名詞語法。

攻擊者利用PowerShell的原因有很多，主要是因為它提供了對重要操作系統(tǒng)功能的訪問。預(yù)處理算法如下：

---

3.Auto-Encoder

堆疊自編碼器（Stacked denoising auto-encoder，SDA）結(jié)構(gòu)如下所示：

• 構(gòu)建單層自編碼器
• 逐層堆疊訓(xùn)練
• 反向解碼器構(gòu)建

該結(jié)構(gòu)以一種方式降低了維數(shù)， 即將x維的輸入編碼為h維表示，同時在對輸入進(jìn)行解碼之前保持h < x。這個h維表示層被稱為瓶頸層，將編碼器與解碼器結(jié)構(gòu)分開。當(dāng)SdA用于特征提取時，這一層非常有價值。在這種情況下，省略 了重建過程（解碼器），并從這個瓶頸層中提取特征。

---

4.XGBoost

XGBoost全稱為eXtreme Gradient Boosting，本文利用其進(jìn)行識別惡意Powershell。

---

四.實驗評估

1.數(shù)據(jù)集

PowerShellGallery

• 該數(shù)據(jù)集由5463個良性腳本和6609個惡意腳本和命令組成，這些腳本和命令是在MPSAutode-tect的訓(xùn)練和測試期間使用的。重要的是，該語料庫包含來自惡意類和良性類的混淆腳本，允許MPSAutodetect對實際的腳本表示進(jìn)行訓(xùn)練。該數(shù)據(jù)集的構(gòu)建是為了以監(jiān)督的方式訓(xùn)練和測試模型。
• https://www.powershellgallery.com

Github

• 提供的一些未標(biāo)記腳本來構(gòu)建半監(jiān)督算法，這是通過實現(xiàn)無監(jiān)督預(yù)訓(xùn)練和微調(diào)來實現(xiàn)的。未標(biāo)記的數(shù)據(jù)集由40,765個腳本組成。
• https://www.github.com

---

2.實驗結(jié)果分析

（1）在不同類型的噪聲對MPSAutodetect效率的對比
當(dāng)噪聲因子為0.5時，高斯噪聲的AUC值最高，為0.974；高斯噪聲被證明比隨機(jī)噪聲產(chǎn)生更好的性能。

（2）在不同深度和單元尺寸對MPSAutodetect模型性能對比
1024個單位代表數(shù)據(jù)集的維度，產(chǎn)生了0. 990 AUC分?jǐn)?shù)；單位大小的減小可能會導(dǎo)致維度過于模糊，導(dǎo)致模型表現(xiàn)不佳。

（3）在XGBoost分類器不同參數(shù)對比
參數(shù)調(diào)優(yōu)是優(yōu)化分類器性能的關(guān)鍵部分，它可以提高M(jìn)PSAutodet ect的效率
XGBoost參數(shù)對模型性能有顯著影響。綜合調(diào)整這些參數(shù)，可顯著優(yōu)化模型的性能和魯棒性。

• eta參數(shù)：控制學(xué)習(xí)率，較小值（如0.1）提高AUC分?jǐn)?shù)，優(yōu)化模型精度。
• colsample_bytree參數(shù)：控制特征采樣比例，合適的值（如0.8）可提升分類器穩(wěn)定性和AUC分?jǐn)?shù)。
• alpha和lambda參數(shù)：正則化項防止過擬合，默認(rèn)值1和0效果最佳

（4）在不同數(shù)據(jù)集上監(jiān)督和半監(jiān)督運(yùn)行對比
監(jiān)督和半監(jiān)督兩種方法的AUC值都很高，分別為0.991和0.980，但監(jiān)督模型優(yōu)于半監(jiān)督模型。當(dāng)數(shù)據(jù)集比率相對均勻時，半監(jiān)督方法表現(xiàn)優(yōu)異。

性能比較如下表所示：

---

五.總結(jié)及個人感受

本文提出并驗證了 MPSAutodetect模型，來確定這些腳本的惡意性。

• 該模型利用SdA架構(gòu)來提取分類所需的特征，實現(xiàn)特征提取方法以幫助簡化檢測過程的工作
• 該模型以監(jiān)督和半監(jiān)督的方式實現(xiàn)，旨在利用未標(biāo)記腳本的可用性
• 有監(jiān)督的MPSAutodetect模型顯示出令人滿意的結(jié)果，低0.6%的FPR和高98%的TPR

本文作者提出了未來該方向工作的重點(diǎn)：

• 收集更多的惡意樣本，以確保該模型對攻擊技術(shù)不斷變化的行為保持有效
• 研究將這種方法擴(kuò)展到用不同編程語言編寫的攻擊中
• 計劃增加腳本惡意軟件家族分類的特殊性，并評估是否可以檢測到新惡意軟件家族的引入

2024年4月28日是Eastmount的安全星球——『網(wǎng)絡(luò)攻防和AI安全之家』正式創(chuàng)建和運(yùn)營的日子，該星球目前主營業(yè)務(wù)為 安全零基礎(chǔ)答疑、安全技術(shù)分享、AI安全技術(shù)分享、AI安全論文交流、威脅情報每日推送、網(wǎng)絡(luò)攻防技術(shù)總結(jié)、系統(tǒng)安全技術(shù)實戰(zhàn)、面試求職、安全考研考博、簡歷修改及潤色、學(xué)術(shù)交流及答疑、人脈觸達(dá)、認(rèn)知提升等。下面是星球的新人券，歡迎新老博友和朋友加入，一起分享更多安全知識，比較良心的星球，非常適合初學(xué)者和換安全專業(yè)的讀者學(xué)習(xí)。

目前收到了很多博友、朋友和老師的支持和點(diǎn)贊，尤其是一些看了我文章多年的老粉，購買來感謝，真的很感動，類目。未來，我將分享更多高質(zhì)量文章，更多安全干貨，真心幫助到大家。雖然起步晚，但貴在堅持，像十多年如一日的博客分享那樣，腳踏實地，只爭朝夕。繼續(xù)加油，再次感謝！

(By:Eastmount 2025-01-20 周四夜于貴陽 http://blog.csdn.net/eastmount/ )

---

前文賞析：

• [論文閱讀] (01)拿什么來拯救我的拖延癥？初學(xué)者如何提升編程興趣及LATEX入門詳解
• [論文閱讀] (02)SP2019-Neural Cleanse: Identifying and Mitigating Backdoor Attacks in DNN
• [論文閱讀] (03)清華張超老師 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing
• [論文閱讀] (04)人工智能真的安全嗎？浙大團(tuán)隊外灘大會分享AI對抗樣本技術(shù)
• [論文閱讀] (05)NLP知識總結(jié)及NLP論文撰寫之道——Pvop老師
• [論文閱讀] (06)萬字詳解什么是生成對抗網(wǎng)絡(luò)GAN？經(jīng)典論文及案例普及
• [論文閱讀] (07)RAID2020 Cyber Threat Intelligence Modeling Based on Heterogeneous GCN
• [論文閱讀] (08)NDSS2020 UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats
• [論文閱讀] (09)S&P2019 HOLMES Real-time APT Detection through Correlation of Suspicious Information Flow
• [論文閱讀] (10)基于溯源圖的APT攻擊檢測安全頂會總結(jié)
• [論文閱讀] (11)ACE算法和暗通道先驗圖像去霧算法（Rizzi | 何愷明老師）
• [論文閱讀] (12)英文論文引言introduction如何撰寫及精句摘抄——以入侵檢測系統(tǒng)(IDS)為例
• [論文閱讀] (13)英文論文模型設(shè)計（Model Design）如何撰寫及精句摘抄——以入侵檢測系統(tǒng)(IDS)為例
• [論文閱讀] (14)英文論文實驗評估（Evaluation）如何撰寫及精句摘抄（上）——以入侵檢測系統(tǒng)(IDS)為例
• [論文閱讀] (15)英文SCI論文審稿意見及應(yīng)對策略學(xué)習(xí)筆記總結(jié)
• [論文閱讀] (16)Powershell惡意代碼檢測論文總結(jié)及抽象語法樹（AST）提取
• [論文閱讀] (17)CCS2019 針對PowerShell腳本的輕量級去混淆和語義感知攻擊檢測
• [論文閱讀] (18)英文論文Model Design和Overview如何撰寫及精句摘抄——以系統(tǒng)AI安全頂會為例
• [論文閱讀] (19)英文論文Evaluation（實驗數(shù)據(jù)集、指標(biāo)和環(huán)境）如何描述及精句摘抄——以系統(tǒng)AI安全頂會為例
• [論文閱讀] (20)USENIXSec21 DeepReflect：通過二進(jìn)制重構(gòu)發(fā)現(xiàn)惡意功能（惡意代碼ROI分析經(jīng)典）
• [論文閱讀] (21)S&P21 Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land (經(jīng)典離地攻擊)
• [論文閱讀] (22)圖神經(jīng)網(wǎng)絡(luò)及認(rèn)知推理總結(jié)和普及-清華唐杰老師
• [論文閱讀] (23)惡意代碼作者溯源(去匿名化)經(jīng)典論文閱讀：二進(jìn)制和源代碼對比
• [論文閱讀] (24)向量表征：從Word2vec和Doc2vec到Deepwalk和Graph2vec，再到Asm2vec和Log2vec（一）
• [論文閱讀] (25)向量表征經(jīng)典之DeepWalk：從Word2vec到DeepWalk，再到Asm2vec和Log2vec（二）
• [論文閱讀] (26)基于Excel可視化分析的論文實驗圖表繪制總結(jié)——以電影市場為例
• [論文閱讀] (27)AAAI20 Order Matters: 二進(jìn)制代碼相似性檢測（騰訊科恩實驗室）
• [論文閱讀] (28)李沐老師視頻學(xué)習(xí)——1.研究的藝術(shù)·跟讀者建立聯(lián)系
• [論文閱讀] (29)李沐老師視頻學(xué)習(xí)——2.研究的藝術(shù)·明白問題的重要性
• [論文閱讀] (30)李沐老師視頻學(xué)習(xí)——3.研究的藝術(shù)·講好故事和論點(diǎn)
• [論文閱讀] (31)李沐老師視頻學(xué)習(xí)——4.研究的藝術(shù)·理由、論據(jù)和擔(dān)保
• [論文閱讀] (32)南洋理工大學(xué)劉楊教授——網(wǎng)絡(luò)空間安全和AIGC整合之道學(xué)習(xí)筆記及強(qiáng)推（InForSec）
• [論文閱讀] (33)NDSS2024 Summer系統(tǒng)安全和惡意代碼分析方向相關(guān)論文匯總
• [論文閱讀] (34)EWAS2024 基于SGDC的輕量級入侵檢測系統(tǒng)
• [論文閱讀] (35)TIFS24 MEGR-APT：基于攻擊表示學(xué)習(xí)的高效內(nèi)存APT獵殺系統(tǒng)
• [論文閱讀] (36)C&S22 MPSAutodetect：基于自編碼器的惡意Powershell腳本檢測模型