[发明专利]一种防御PowerShell恶意代码执行的方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种防御PowerShell恶意代码执行的方法及系统。

背景技术

目前使用PowerShell编写的恶意脚本具有无实体文件的特点，这种特点可以突破传统反病毒产品的检测，并被越来越多的攻击者所使用。近年来，更被APT（高级可持续威胁）和勒索软件频繁使用。

目前大部分反病毒软件是基于对实体文件进行提取特征的检测，对无实体恶意代码的检测存在一定程度上的局限性。现有的内存检测更是基于代码基因特征的形式对恶意代码进行检测，而加密型PowerShell脚本并不能使用这种提取代码基因特征的方法进行检测。

发明内容

针对上述技术问题，本发明通过对Powershell恶意代码进行分析，预先生成进程链白名单和进程链黑名单，进而基于进程链关系的匹配，主动防御利用PowerShell执行恶意操作的行为，弥补了传统反病毒产品无法有效检测PowerShell恶意代码的空白。

本发明采用如下方法来实现：一种防御PowerShell恶意代码执行的方法，包括：

获取系统内与PowerShell.exe相关的进程链；

将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；

将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；

若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。

进一步地，所述获取系统内与PowerShell.exe相关的进程链，具体为：

利用进程快照将系统内所有进程记录到进程列表中；

获取进程列表中每个进程的父进程，若无父进程则判定为根进程，进而形成二节点的进程关系；

基于二节点的进程关系得到多节点的进程关系，进而得到系统内各进程链；

筛选与PowerShell.exe相关的进程链。

上述方法中，所述进程链白名单，包括：Explorer.exe->PowerShell.exe；Explorer.exe->cmd.exe->PowerShell.exe。

上述方法中，所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链，包括：

Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe；

Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe；

Explorer.exe->*.EXE->cmd.exe->PowerShell.exe；

Explorer.exe->WINWORD.EXE->PowerShell.exe；

Explorer.exe->EXCEL.EXE->PowerShell.exe；

Explorer.exe->POWERPNT.EXE->PowerShell.exe；

Explorer.exe-> Wscript.exe->PowerShell.exe；

Explorer.exe->*.EXE->PowerShell.exe；其中，所述*.EXE为除cmd.exe之外的其他进程。

本发明可以采用如下系统来实现：一种防御PowerShell恶意代码执行的系统，包括：

进程链获取模块，用于获取系统内与PowerShell.exe相关的进程链；

白名单匹配模块，用于将所述进程链与进程链白名单匹配，若匹配成功则允许操作执行；

黑名单匹配模块，用于将所述进程链与进程链黑名单匹配，若匹配成功则阻止操作执行；

弹窗提示模块，用于若所述进程链与进程链白名单和进程链黑名单均匹配失败，则由用户决定是否允许操作执行。

进一步地，所述进程链获取模块，具体用于：

利用进程快照将系统内所有进程记录到进程列表中；

获取进程列表中每个进程的父进程，若无父进程则判定为根进程，进而形成二节点的进程关系；