Chúc mừng sinh viên ngành An toàn thông tin (Khoa Mạng máy tính và truyền thông) cùng nhóm nghiên cứu InSecLab đã có bài báo nghiên cứu được chấp nhận đăng tại hội nghị khoa học quốc tế International Conference on Multimedia Analysis and Pattern Recognition – MAPR 2025, diễn ra vào ngày 14-15/08/2025 tại Nha Trang, Việt Nam.
Tên bài báo: "PowerGNN: A source code structural and textual awareness approach for identifying malicious PowerShell scripts"
Sinh viên thực hiện:
- Nguyễn Hoàng Tuấn - An toàn thông tin (Chất lượng cao 2020)
- Lê Phan Hữu Nghĩa - An toàn thông tin (Chất lượng cao 2020)
GVHD: ThS. Nghi Hoàng Khoa, ThS. Phan Thế Duy, TS. Phạm Văn Hậu
Thông tin chung: Hội nghị International Conference on Multimedia Analysis and Pattern Recognition - MAPR là hội nghị quốc tế thường niên do Trường Đại học Công Nghệ Thông Tin (UIT) đồng sáng lập và tổ chức. Đây là hội nghị khoa học quốc tế thuộc danh mục Scopus-Index. Hội nghị là diễn đàn khoa học để giới học thuật, nghiên cứu trong và ngoài nước đến giao lưu, trao đổi kinh nghiệm. Hội nghị khuyến khích các nghiên cứu sinh, học viên cao học và những nhà khoa học trẻ tham gia báo cáo, trao đổi kết quả nghiên cứu và học tập của bản thân, và đặc biệt những kết quả nghiên cứu có tính ứng dụng thực tiễn.
Nội dung bài báo:
Khi các cuộc tấn công mạng ngày càng tinh vi, kẻ tấn công ngày càng áp dụng kỹ thuật living-off-the-land để tránh bị phát hiện và khai thác hệ thống nạn nhân, trong đó PowerShell nổi lên như một công cụ chủ yếu. Sự tích hợp sâu của PowerShell với hệ điều hành Windows khiến nó trở thành lựa chọn hấp dẫn cho các tác nhân tấn công. Các phương pháp bảo mật truyền thống, thường dựa trên quy tắc và chữ ký, thường gặp khó khăn trong việc phát hiện các mối đe dọa mới như tấn công zero-day. Để đối phó với thách thức này, những tiến bộ gần đây trong học máy và học sâu đã mở ra các hướng tiếp cận mới nhằm phát hiện các mối đe dọa chưa từng được biết đến bằng cách phân tích đặc trưng của mã kịch bản. Nghiên cứu này giới thiệu PowerGNN, một phương pháp phát hiện mới tận dụng Mạng Nơ-ron Đồ thị (GNN) để phân tích Cây Cú pháp Trừu tượng (AST) của các tập lệnh PowerShell. PowerGNN kết hợp thông tin cấu trúc từ AST với các đặc trưng văn bản phong phú được trích xuất từ vector nhúng fastText. Bằng cách tích hợp hai hướng tiếp cận này, PowerGNN nâng cao khả năng hiểu và phát hiện các tập lệnh độc hại. Chúng tôi kiểm chứng hiệu quả của PowerGNN thông qua các thí nghiệm, cho thấy khả năng vượt trội của nó trong việc phát hiện các tập lệnh PowerShell độc hại.
Abstract: "As cyber attacks become more sophisticated, attackers increasingly employ living-off-the-land techniques to evade detection and exploit victim systems, with PowerShell emerging as a primary tool. PowerShell’s deep integration with the Windows operating system makes it an attractive choice for adversaries. Traditional security approaches, which typically rely on rule-based and signature-based detection methods, often struggle to identify novel threats such as zero-day attacks. In response to this challenge, recent advancements in machine learning and deep learning offer new avenues for detecting previously unknown threats by analyzing script characteristics. This study introduces PowerGNN, a novel detection method that leverages Graph Neural Networks (GNN) to analyze the Abstract Syntax Tree (AST) of PowerShell scripts. PowerGNN combines the structural insights provided by the AST with enriched textual features derived from fastText embeddings. By integrating these two approaches, PowerGNN enhances the understanding and detection of malicious scripts. We validate the effectiveness of PowerGNN through experiments, demonstrating its superior ability to detect malicious PowerShell scripts.
Link hội nghị: https://mapr.uit.edu.vn/
Thông tin chi tiết tại: https://www.facebook.com/share/p/1SpTpLfnZo/
Đông Xanh - Cộng tác viên truyền thông Trường Đại học Công nghệ Thông tin
