基于API序列的勒索软件早期检测和防御对策研究.pdf

摘要

近年来，勒索软件攻击已成为网络安全的重要威胁之一，造成了巨大经济

损失和数据泄露风险。数据被勒索软件加密后将难以恢复，因此如何在早期准

确地检测出勒索软件并对其防御成为当前的研究热点。然而动态收集早期运行

的数据和行为模式不足以应对不断演进的勒索软件的变种和未知勒索软件，同

时也缺乏专门针对勒索软件的防御对策，防御策略的不足导致了系统在面对未

知攻击时的脆弱性，使得安全专业人员难以有效地阻止和应对勒索软件威胁。

本文聚焦于勒索软件预加密阶段，通过分析勒索软件动态行为中调用的应

用程序编程接口（ApplicationProgrammingInterface，API），创新性地应用了沃

瑟斯坦生成对抗网络技术（WassersteinGenerativeAdversarialNetworkwith

GradientPenalty，WGAN-GP）用于数据增强，提高早期检测的准确性和鲁棒性。

同时，对特定API调用与安全知识源之间的关系进行深入研究，构建了勒索软

件安全本体，并设计了推理规则推导出防御对策。从API调用着手防御勒索软

件，为勒索软件的防御提供了全新的思路和方法，具有广泛的应用前景。本文

主要内容如下所述：

（1）针对动态检测方法中采集API序列数据集的局限性，提出一种基于

WGAN-GP的勒索软件早期检测方法。动态收集勒索软件预加密阶段和正常软

件的API序列，使用n-gram和词频-逆文档频率算法（TermFrequency-Inverse

DocumentFrequency，TF-IDF）生成特征向量，并利用WGAN-GP模型对API

序列进行数据增强，使用机器学习分类算法对增强前后数据进行训练以检测出

勒索软件，实验结果表明WGAN-GP较其他GAN模型生成API序列数据质量更

好，并且提高了检测模型的鲁棒性和准确性。

（2）研究了多源安全知识与API调用的融合方法，并构建了勒索软件安全

本体。首先分析勒索软件中调用的API与攻击技术之间的映射关系以及多源安

全知识库之间的链接，将这些API以及多源安全知识之间的映射为关系链接。

其次分析勒索软件行为特征与多源安全知识并构建一个勒索软件安全本体。以

描述异构安全知识与勒索软件之间的相关性，对后续防御对策推理等提供了理

论与数据基础。

（3）针对缺乏应对勒索软件的防御对策问题，提出了一种基于语义本体和

规则逻辑的知识推理方法，使用基于构建的勒索软件安全本体和语义Web规则

语言设计推理规则，实现从多源安全知识与数据中推理出针对勒索软件的防御

对策。最后通过在Pellet推理机对勒索软件调用的API实例推理出其防御对策，

并在Neo4j图数据库中可视化。

关键词：勒索软件；早期检测；WGAN-GP；本体论；知识推理

Abstract

Inrecentyears,ransomwareattackshavebecomeoneoftheimportantthreatstonetwork

security,causinghugeeconomiclossesanddataleakagerisks.Dataencryptedbyransomware

willbedifficulttorecover,sohowtoaccuratelydetectransomwareatanearlystageanddefend

againstithasbecomeacurrentresearchhotspot.However,thedynamiccollectionofearly

runningdataandbehaviorpatternsisnotenoughtodealwiththeevolvingransomwarevariants

andunknownransomware.Thereisalsoalackofdefensestrategiesspecificallytargetedat

ransomware.Thelac