隨著互聯(lián)網(wǎng)的大規(guī)模應(yīng)用,人們的生活方式發(fā)生了巨變,越來(lái)越多的個(gè)人、政府或企業(yè)將重要資產(chǎn)數(shù)據(jù)暴漏在互聯(lián)網(wǎng)之中,使得重要資產(chǎn)數(shù)據(jù)面臨著越來(lái)越多的威脅。勒索軟件作為持續(xù)危害用戶(hù)數(shù)據(jù)安全的重大威脅之一,給個(gè)人和企業(yè)用戶(hù)帶來(lái)了嚴(yán)重的損失。隨著勒索軟件即服務(wù)產(chǎn)業(yè)的發(fā)展,更具有威脅性的勒索軟件會(huì)不斷出現(xiàn),使得勒索軟件的檢測(cè)和解密成為研究熱點(diǎn)。本文針對(duì)真實(shí)的勒索軟件樣本行為進(jìn)行分析,結(jié)合各種勒索軟件分析報(bào)告進(jìn)行補(bǔ)充驗(yàn)證,動(dòng)態(tài)分析勒索軟件的行為軌跡和加解密流程,設(shè)計(jì)了勒索軟件檢測(cè)系統(tǒng)的整體框架,使其同時(shí)具有勒索軟件檢測(cè)和解密功能,本文主要有以下三方面研究?jī)?nèi)容:（1）勒索軟件檢測(cè)系統(tǒng)的整體框架設(shè)計(jì):通過(guò)對(duì)勒索軟件的行為特征進(jìn)行動(dòng)態(tài)分析,并結(jié)合各種勒索軟件分析報(bào)告進(jìn)行補(bǔ)充驗(yàn)證,設(shè)計(jì)了整個(gè)勒索軟件檢測(cè)系統(tǒng),動(dòng)態(tài)掛鉤勒索軟件運(yùn)行過(guò)程中使用的API函數(shù),獲取其運(yùn)行軌跡和使用的加密算法等信息,使用這些數(shù)據(jù)源,不僅可以提取行為指紋檢測(cè)勒索軟件,而且可以設(shè)計(jì)相應(yīng)的解密算法完成數(shù)據(jù)的恢復(fù),使其同時(shí)具有勒索軟件檢測(cè)和解密功能,實(shí)時(shí)保護(hù)用戶(hù)數(shù)據(jù)安全;（2）基于序列對(duì)比的勒索軟件檢測(cè)方法的研究與實(shí)現(xiàn):通過(guò)對(duì)勒索軟件生命周期行為... 

【文章來(lái)源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：78 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

序列比對(duì)框架圖

第四章基于序列比對(duì)的勒索軟件檢測(cè)方法36的時(shí)間空間復(fù)雜度降低。當(dāng)然對(duì)序列去重時(shí)，也應(yīng)該盡量保證兩條序列間的相似度不隨之產(chǎn)生巨大變動(dòng)。在序列去重算法中依次設(shè)置最大重復(fù)子序列長(zhǎng)度為1~10，去除相應(yīng)長(zhǎng)度的子序列后得到樣本序列的長(zhǎng)度情況如圖4-6所示。樣本序列的長(zhǎng)度在去除最大重復(fù)子序列長(zhǎng)度為3的子序列后逐漸穩(wěn)定下來(lái)，序列長(zhǎng)度最多的減少了40000多個(gè)，效果極其顯著。對(duì)去除了最大重復(fù)子序列長(zhǎng)度為1~3的樣本序列以及原始API序列進(jìn)行相似度計(jì)算，用來(lái)測(cè)試樣本序列在去重后的相似度變化情況，如圖4-7所示。Cerber家族的兩個(gè)樣本序列之間的相似度都在0.947~0.952范圍內(nèi)，且在去除最大長(zhǎng)度為3的重復(fù)子序列后，相似度達(dá)到最高的0.9518，可見(jiàn)序列去重并不影響Cerber家族樣本之間的相似度；Milicry家族的兩個(gè)樣本序列之間的相似度在0.86~0.93范圍內(nèi)，相似度在序列去重后最多下降了0.07，這個(gè)誤差范圍可以被接受；Locky家族的兩個(gè)樣本之間的相似度一直在0.996上下波動(dòng)，誤差在0.001之內(nèi)，去重后的序列之間的相似度基本沒(méi)有變化，維持著較高的相似度；而隨機(jī)選取的Spora家族的兩個(gè)樣本，它們之間的相似度從0.65增長(zhǎng)到0.697，隨著序列去重的最大重復(fù)子序列長(zhǎng)度增加，相似度變化的范圍不算太大，但也證明序列去重并不影響序列的相似度；Teslacrypt與Wannacry家族的樣本序列相似度分別在0.996和0.97上下波動(dòng)；由此數(shù)據(jù)情況可知序列去重后不僅極大的減少API序列的長(zhǎng)度，而且不影響序列間相似度的變化。因此，選擇最大重復(fù)子序列長(zhǎng)度為3作為序列去重算法的初始配置，用于指紋的提取以及檢測(cè)。圖4-6序列去重后序列長(zhǎng)度情況

第四章基于序列比對(duì)的勒索軟件檢測(cè)方法38圖4-8部分正常軟件樣本與指紋序列間的相似度圖4-9部分cerber家族樣本與指紋序列間的相似度在圖4-9中，部分Cerber家族樣本與自身家族獲得的指紋序列間的相似度變化較大一部分樣本相似度在0.8之上，而其中少數(shù)幾個(gè)樣本的相似度較低，說(shuō)明一些樣本變體的行為出現(xiàn)了極大的轉(zhuǎn)變。而且，Cerber家族樣本與其他家族勒索軟件的指紋序列間的相似度也較低，不同家族間的樣本存在著很大的差異。Milicry家族的部分樣本與勒索軟件家族指紋庫(kù)中的指紋序列間的相似度如圖4-10所示，可以發(fā)現(xiàn)樣本與自己家族的指紋序列間的相似度基本都在0.8之上，樣本的各種變體間行為特征保持著一致性，并且與其他家族的指紋序列間的相似度在0.5之下，與其他家族樣本的行為存在較大差異。

【參考文獻(xiàn)】：
期刊論文
[1]基于序列比對(duì)的勒索病毒同源性分析[J]. 龔琪,曹金璇,蘆天亮.  計(jì)算機(jī)與現(xiàn)代化. 2018(02)
[2]勒索軟件簡(jiǎn)史[J].   中國(guó)信息安全. 2017(04)
[3]Windows下兩種API鉤掛技術(shù)的研究與實(shí)現(xiàn)[J]. 蘇雪麗,袁丁.  計(jì)算機(jī)工程與設(shè)計(jì). 2011(07)
[4]基于多序列聯(lián)配的攻擊特征自動(dòng)提取技術(shù)研究[J]. 唐勇,盧錫城,胡華平,朱培棟.  計(jì)算機(jī)學(xué)報(bào). 2006(09)



本文編號(hào)：3453442