基于机器学习的MacOS平台加密勒索软件主动防御方案.pdfVIP

文章编号：1007—1423(2017)04—0058—06 DOI：10．3969~．issn．1007—1423．2017．04．013 基于机器学习的MacOS平台加密勒索软件主动防御方案 谭昕 ，周安民 ，张磊 ，陈航 (1．1aJll大学电子信息学院，成都 610065；2．四川无声信息技术有限公司，成都 610041) 摘 要 ： 近年来 ．由加密型勒索软件引起的网络安全事件的数量大幅度增长，受害者广布全球。加密型勒索软件采用高强度加 密算法对用户文件加密．目前对加密型勒索软件没有可靠的事前防御和检测措施 ，用户数据一旦被勒索软件加密 ，传 统的反病毒软件无能为力。为了解决以上问题。从恶意软件主动防御的思想出发，提出一种基于机器学习的针对加密 型勒索软件的防御方案．并在M c0S平台实现。通过对程序的实时行为监控，从文件操作行为的关键数据中提取多 种特征．采用不同的分类方法对加密数据和正常数据进行识别，捕捉加密型勒索软件行为，并采取相应的控制手段。 关键词 ： 勒索软件：文件加密；机器学习；主动防御 ；行为监控；MacOS平台 0 引言 针对加密型勒索软件的主动防御模块 ．并在 MacOS平 台上进行初步实现 从程序对文件的操作行为中提取 勒索软件是一种特殊的恶意软件 ．通常以木马病 各种特征出发 ．训练稳定的行为判别模型 ．在对文件操 毒的形式传播 ．与常规恶意软件最大的不同在于其行 作的实时监控 中利用该模型鉴别正常行为和异常行 为 勒索软件在受害者计算机上运行起来 以后 ．会通过 为 ．并对异常行为做 出反应 锁定操作系统或加密计算机上的档案数据等手段影响 受害者的正常使用．并要求受害者支付赎金以恢复操 1 关键技术 作系统或档案数据 2013年 ．利用难 以追踪的比特币进 1．1基本思想 行勒索的勒索软件 CryptoLoeker出现 以后 ．由勒索软 加密型勒索软件执行在普通用户权限下就可以完 件引起的安全事件数量得到爆发式的增长 成其行为．且 目的性极强。所有加密型勒索软件都是 勒索软件就其行为可以分为非加密型勒索软件和 以要求受害者支付赎金为最终 目的．对用户的文档或 加密型勒索软件 非加密型勒索软件锁定受害者计算 图片等文件进行加密 加密型勒索软件的关键行为是 机 ．影响其正常使用．这种锁定可以通过各种技术手段 对文件的操作 ．主要是对文件 内容的加密和对原始文 进行恢复 加密型勒索软件采用加密算法．对受害者的 件 的改写或破坏 根据这个特点 ．本文采用基于机器 档案 、邮件 、图片等数据进行加密 ，传统的恶意软件检 学习 【的分类方法识别文件操作中的加密行为和正常 测方法无法应对此行为．而对于受害者来说．破解高强 行为．并在主动防御控制模块设置相关策略．监控程序 度加密算法是徒劳无功的 目前针对加密型勒索软件 对文件的改写或破坏行为 的防御技术主要有构建社会关系模型Ⅲ和蜜罐技术I2]。 为了区分程序的加密行为和正常行为．首先需要 能够防御 已存在的加密勒索软件 ．但是都有被其变种 提取能够描述其行为的关键数据[51关键数据可归纳为 绕过 的风险