隨著互聯(lián)網(wǎng)的大規(guī)模應(yīng)用,人們的生活方式發(fā)生了巨變,越來越多的個人、政府或企業(yè)將重要資產(chǎn)數(shù)據(jù)暴漏在互聯(lián)網(wǎng)之中,使得重要資產(chǎn)數(shù)據(jù)面臨著越來越多的威脅。勒索軟件作為持續(xù)危害用戶數(shù)據(jù)安全的重大威脅之一,給個人和企業(yè)用戶帶來了嚴(yán)重的損失。隨著勒索軟件即服務(wù)產(chǎn)業(yè)的發(fā)展,更具有威脅性的勒索軟件會不斷出現(xiàn),使得勒索軟件的檢測和解密成為研究熱點(diǎn)。本文針對真實(shí)的勒索軟件樣本行為進(jìn)行分析,結(jié)合各種勒索軟件分析報告進(jìn)行補(bǔ)充驗(yàn)證,動態(tài)分析勒索軟件的行為軌跡和加解密流程,設(shè)計了勒索軟件檢測系統(tǒng)的整體框架,使其同時具有勒索軟件檢測和解密功能,本文主要有以下三方面研究內(nèi)容:（1）勒索軟件檢測系統(tǒng)的整體框架設(shè)計:通過對勒索軟件的行為特征進(jìn)行動態(tài)分析,并結(jié)合各種勒索軟件分析報告進(jìn)行補(bǔ)充驗(yàn)證,設(shè)計了整個勒索軟件檢測系統(tǒng),動態(tài)掛鉤勒索軟件運(yùn)行過程中使用的API函數(shù),獲取其運(yùn)行軌跡和使用的加密算法等信息,使用這些數(shù)據(jù)源,不僅可以提取行為指紋檢測勒索軟件,而且可以設(shè)計相應(yīng)的解密算法完成數(shù)據(jù)的恢復(fù),使其同時具有勒索軟件檢測和解密功能,實(shí)時保護(hù)用戶數(shù)據(jù)安全;（2）基于序列對比的勒索軟件檢測方法的研究與實(shí)現(xiàn):通過對勒索軟件生命周期行為... 

【文章來源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：78 頁

【學(xué)位級別】：碩士

【部分圖文】：

序列比對框架圖

第四章基于序列比對的勒索軟件檢測方法36的時間空間復(fù)雜度降低。當(dāng)然對序列去重時，也應(yīng)該盡量保證兩條序列間的相似度不隨之產(chǎn)生巨大變動。在序列去重算法中依次設(shè)置最大重復(fù)子序列長度為1~10，去除相應(yīng)長度的子序列后得到樣本序列的長度情況如圖4-6所示。樣本序列的長度在去除最大重復(fù)子序列長度為3的子序列后逐漸穩(wěn)定下來，序列長度最多的減少了40000多個，效果極其顯著。對去除了最大重復(fù)子序列長度為1~3的樣本序列以及原始API序列進(jìn)行相似度計算，用來測試樣本序列在去重后的相似度變化情況，如圖4-7所示。Cerber家族的兩個樣本序列之間的相似度都在0.947~0.952范圍內(nèi)，且在去除最大長度為3的重復(fù)子序列后，相似度達(dá)到最高的0.9518，可見序列去重并不影響Cerber家族樣本之間的相似度；Milicry家族的兩個樣本序列之間的相似度在0.86~0.93范圍內(nèi)，相似度在序列去重后最多下降了0.07，這個誤差范圍可以被接受；Locky家族的兩個樣本之間的相似度一直在0.996上下波動，誤差在0.001之內(nèi)，去重后的序列之間的相似度基本沒有變化，維持著較高的相似度；而隨機(jī)選取的Spora家族的兩個樣本，它們之間的相似度從0.65增長到0.697，隨著序列去重的最大重復(fù)子序列長度增加，相似度變化的范圍不算太大，但也證明序列去重并不影響序列的相似度；Teslacrypt與Wannacry家族的樣本序列相似度分別在0.996和0.97上下波動；由此數(shù)據(jù)情況可知序列去重后不僅極大的減少API序列的長度，而且不影響序列間相似度的變化。因此，選擇最大重復(fù)子序列長度為3作為序列去重算法的初始配置，用于指紋的提取以及檢測。圖4-6序列去重后序列長度情況

第四章基于序列比對的勒索軟件檢測方法38圖4-8部分正常軟件樣本與指紋序列間的相似度圖4-9部分cerber家族樣本與指紋序列間的相似度在圖4-9中，部分Cerber家族樣本與自身家族獲得的指紋序列間的相似度變化較大一部分樣本相似度在0.8之上，而其中少數(shù)幾個樣本的相似度較低，說明一些樣本變體的行為出現(xiàn)了極大的轉(zhuǎn)變。而且，Cerber家族樣本與其他家族勒索軟件的指紋序列間的相似度也較低，不同家族間的樣本存在著很大的差異。Milicry家族的部分樣本與勒索軟件家族指紋庫中的指紋序列間的相似度如圖4-10所示，可以發(fā)現(xiàn)樣本與自己家族的指紋序列間的相似度基本都在0.8之上，樣本的各種變體間行為特征保持著一致性，并且與其他家族的指紋序列間的相似度在0.5之下，與其他家族樣本的行為存在較大差異。

【參考文獻(xiàn)】：
期刊論文
[1]基于序列比對的勒索病毒同源性分析[J]. 龔琪,曹金璇,蘆天亮.  計算機(jī)與現(xiàn)代化. 2018(02)
[2]勒索軟件簡史[J].   中國信息安全. 2017(04)
[3]Windows下兩種API鉤掛技術(shù)的研究與實(shí)現(xiàn)[J]. 蘇雪麗,袁丁.  計算機(jī)工程與設(shè)計. 2011(07)
[4]基于多序列聯(lián)配的攻擊特征自動提取技術(shù)研究[J]. 唐勇,盧錫城,胡華平,朱培棟.  計算機(jī)學(xué)報. 2006(09)



本文編號：3453442