基于动态分析的勒索软件检测方法研究
发布时间:2021-10-23 15:33
随着互联网的大规模应用,人们的生活方式发生了巨变,越来越多的个人、政府或企业将重要资产数据暴漏在互联网之中,使得重要资产数据面临着越来越多的威胁。勒索软件作为持续危害用户数据安全的重大威胁之一,给个人和企业用户带来了严重的损失。随着勒索软件即服务产业的发展,更具有威胁性的勒索软件会不断出现,使得勒索软件的检测和解密成为研究热点。本文针对真实的勒索软件样本行为进行分析,结合各种勒索软件分析报告进行补充验证,动态分析勒索软件的行为轨迹和加解密流程,设计了勒索软件检测系统的整体框架,使其同时具有勒索软件检测和解密功能,本文主要有以下三方面研究内容:(1)勒索软件检测系统的整体框架设计:通过对勒索软件的行为特征进行动态分析,并结合各种勒索软件分析报告进行补充验证,设计了整个勒索软件检测系统,动态挂钩勒索软件运行过程中使用的API函数,获取其运行轨迹和使用的加密算法等信息,使用这些数据源,不仅可以提取行为指纹检测勒索软件,而且可以设计相应的解密算法完成数据的恢复,使其同时具有勒索软件检测和解密功能,实时保护用户数据安全;(2)基于序列对比的勒索软件检测方法的研究与实现:通过对勒索软件生命周期行为...
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
序列比对框架图
第四章基于序列比对的勒索软件检测方法36的时间空间复杂度降低。当然对序列去重时,也应该尽量保证两条序列间的相似度不随之产生巨大变动。在序列去重算法中依次设置最大重复子序列长度为1~10,去除相应长度的子序列后得到样本序列的长度情况如图4-6所示。样本序列的长度在去除最大重复子序列长度为3的子序列后逐渐稳定下来,序列长度最多的减少了40000多个,效果极其显著。对去除了最大重复子序列长度为1~3的样本序列以及原始API序列进行相似度计算,用来测试样本序列在去重后的相似度变化情况,如图4-7所示。Cerber家族的两个样本序列之间的相似度都在0.947~0.952范围内,且在去除最大长度为3的重复子序列后,相似度达到最高的0.9518,可见序列去重并不影响Cerber家族样本之间的相似度;Milicry家族的两个样本序列之间的相似度在0.86~0.93范围内,相似度在序列去重后最多下降了0.07,这个误差范围可以被接受;Locky家族的两个样本之间的相似度一直在0.996上下波动,误差在0.001之内,去重后的序列之间的相似度基本没有变化,维持着较高的相似度;而随机选取的Spora家族的两个样本,它们之间的相似度从0.65增长到0.697,随着序列去重的最大重复子序列长度增加,相似度变化的范围不算太大,但也证明序列去重并不影响序列的相似度;Teslacrypt与Wannacry家族的样本序列相似度分别在0.996和0.97上下波动;由此数据情况可知序列去重后不仅极大的减少API序列的长度,而且不影响序列间相似度的变化。因此,选择最大重复子序列长度为3作为序列去重算法的初始配置,用于指纹的提取以及检测。图4-6序列去重后序列长度情况
第四章基于序列比对的勒索软件检测方法38图4-8部分正常软件样本与指纹序列间的相似度图4-9部分cerber家族样本与指纹序列间的相似度在图4-9中,部分Cerber家族样本与自身家族获得的指纹序列间的相似度变化较大一部分样本相似度在0.8之上,而其中少数几个样本的相似度较低,说明一些样本变体的行为出现了极大的转变。而且,Cerber家族样本与其他家族勒索软件的指纹序列间的相似度也较低,不同家族间的样本存在着很大的差异。Milicry家族的部分样本与勒索软件家族指纹库中的指纹序列间的相似度如图4-10所示,可以发现样本与自己家族的指纹序列间的相似度基本都在0.8之上,样本的各种变体间行为特征保持着一致性,并且与其他家族的指纹序列间的相似度在0.5之下,与其他家族样本的行为存在较大差异。
【参考文献】:
期刊论文
[1]基于序列比对的勒索病毒同源性分析[J]. 龚琪,曹金璇,芦天亮. 计算机与现代化. 2018(02)
[2]勒索软件简史[J]. 中国信息安全. 2017(04)
[3]Windows下两种API钩挂技术的研究与实现[J]. 苏雪丽,袁丁. 计算机工程与设计. 2011(07)
[4]基于多序列联配的攻击特征自动提取技术研究[J]. 唐勇,卢锡城,胡华平,朱培栋. 计算机学报. 2006(09)
本文编号:3453442
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
序列比对框架图
第四章基于序列比对的勒索软件检测方法36的时间空间复杂度降低。当然对序列去重时,也应该尽量保证两条序列间的相似度不随之产生巨大变动。在序列去重算法中依次设置最大重复子序列长度为1~10,去除相应长度的子序列后得到样本序列的长度情况如图4-6所示。样本序列的长度在去除最大重复子序列长度为3的子序列后逐渐稳定下来,序列长度最多的减少了40000多个,效果极其显著。对去除了最大重复子序列长度为1~3的样本序列以及原始API序列进行相似度计算,用来测试样本序列在去重后的相似度变化情况,如图4-7所示。Cerber家族的两个样本序列之间的相似度都在0.947~0.952范围内,且在去除最大长度为3的重复子序列后,相似度达到最高的0.9518,可见序列去重并不影响Cerber家族样本之间的相似度;Milicry家族的两个样本序列之间的相似度在0.86~0.93范围内,相似度在序列去重后最多下降了0.07,这个误差范围可以被接受;Locky家族的两个样本之间的相似度一直在0.996上下波动,误差在0.001之内,去重后的序列之间的相似度基本没有变化,维持着较高的相似度;而随机选取的Spora家族的两个样本,它们之间的相似度从0.65增长到0.697,随着序列去重的最大重复子序列长度增加,相似度变化的范围不算太大,但也证明序列去重并不影响序列的相似度;Teslacrypt与Wannacry家族的样本序列相似度分别在0.996和0.97上下波动;由此数据情况可知序列去重后不仅极大的减少API序列的长度,而且不影响序列间相似度的变化。因此,选择最大重复子序列长度为3作为序列去重算法的初始配置,用于指纹的提取以及检测。图4-6序列去重后序列长度情况
第四章基于序列比对的勒索软件检测方法38图4-8部分正常软件样本与指纹序列间的相似度图4-9部分cerber家族样本与指纹序列间的相似度在图4-9中,部分Cerber家族样本与自身家族获得的指纹序列间的相似度变化较大一部分样本相似度在0.8之上,而其中少数几个样本的相似度较低,说明一些样本变体的行为出现了极大的转变。而且,Cerber家族样本与其他家族勒索软件的指纹序列间的相似度也较低,不同家族间的样本存在着很大的差异。Milicry家族的部分样本与勒索软件家族指纹库中的指纹序列间的相似度如图4-10所示,可以发现样本与自己家族的指纹序列间的相似度基本都在0.8之上,样本的各种变体间行为特征保持着一致性,并且与其他家族的指纹序列间的相似度在0.5之下,与其他家族样本的行为存在较大差异。
【参考文献】:
期刊论文
[1]基于序列比对的勒索病毒同源性分析[J]. 龚琪,曹金璇,芦天亮. 计算机与现代化. 2018(02)
[2]勒索软件简史[J]. 中国信息安全. 2017(04)
[3]Windows下两种API钩挂技术的研究与实现[J]. 苏雪丽,袁丁. 计算机工程与设计. 2011(07)
[4]基于多序列联配的攻击特征自动提取技术研究[J]. 唐勇,卢锡城,胡华平,朱培栋. 计算机学报. 2006(09)
本文编号:3453442
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3453442.html
