序論:在您撰寫淺談勒索軟件檢測(cè)技術(shù)時(shí),參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度��。
摘要:勒索軟件是指通過鎖定設(shè)備�����、加密或損毀文件等攻擊形式進(jìn)行金錢勒索的惡意軟件���。近年來,全球勒索攻擊呈爆發(fā)式增長(zhǎng)�,為遏制勒索攻擊的高發(fā)勢(shì)態(tài),安全研究人員提出諸多檢測(cè)技術(shù)��,以實(shí)現(xiàn)對(duì)勒索軟件的快速研判響應(yīng)����。本文對(duì)現(xiàn)有研究工作進(jìn)行系統(tǒng)歸納總結(jié)�����,并根據(jù)勒索軟件的發(fā)展趨勢(shì)�,討論檢測(cè)技術(shù)未來可行的研究方向���。
關(guān)鍵詞:勒索軟件�;攻擊檢測(cè)�����;網(wǎng)絡(luò)安全
隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展�,針對(duì)數(shù)字資產(chǎn)的勒索攻擊已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的重要威脅。據(jù)安恒信息威脅情報(bào)中心統(tǒng)計(jì)��,僅2021年上半年��,全球至少發(fā)生了1200起勒索軟件攻擊事件�����,所造成的直接經(jīng)濟(jì)損失高達(dá)300億美元[1]�。2022年����,哥斯達(dá)黎加成為首個(gè)因勒索攻擊而宣布進(jìn)入“緊急狀態(tài)”的國家���,三星、英偉達(dá)�����、豐田等大型企業(yè)機(jī)構(gòu)也紛紛遭受勒索攻擊[2]���,足以說明勒索攻擊已成為席卷政府���、制造、交通等多行業(yè)的全球性安全威脅�。而早發(fā)現(xiàn)、早響應(yīng)是遏制勒索攻擊�����,降低資產(chǎn)損失的重要手段�,為實(shí)現(xiàn)對(duì)勒索攻擊的快速響應(yīng),國內(nèi)外安全研究人員在梳理勒索軟件攻擊流程的基礎(chǔ)上�,開展了大量的勒索軟件檢測(cè)技術(shù)研究。
1勒索軟件攻擊流程
勒索軟件主要可分為三種類型:恐嚇型��、鎖屏型和加密型?����?謬樞屠账鬈浖?huì)彈出威脅消息�����,利用被害者的恐懼心理來實(shí)施勒索����,但一般不會(huì)對(duì)系統(tǒng)造成實(shí)際性破壞。鎖屏型勒索軟件會(huì)鎖定設(shè)備屏幕或鍵盤�,但通常可采用進(jìn)入安全模式后開啟殺毒軟件的方式進(jìn)行查殺�。加密型勒索軟件會(huì)對(duì)受害者的數(shù)據(jù)資產(chǎn)實(shí)施加密,以解密數(shù)據(jù)為要挾來索要贖金�,是作案范圍最廣、造成經(jīng)濟(jì)損失最嚴(yán)重的勒索攻擊形式�����。因此�,本文將重點(diǎn)介紹加密型勒索軟件的一般化攻擊流程�。
1.1入侵嘗試
勒索軟件采用系統(tǒng)漏洞�����、網(wǎng)頁掛馬�����、遠(yuǎn)程桌面協(xié)議(RemoteDesktopProtocol��,RDP)暴力破解等方式來實(shí)現(xiàn)入侵���。勒索軟件所利用的系統(tǒng)漏洞可分為零日漏洞和未修補(bǔ)漏洞,零日漏洞是尚未被公開披露��,無補(bǔ)丁的安全漏洞�,因此具備滲透成功率高、影響范圍大的特性���;未修補(bǔ)漏洞存在官方補(bǔ)丁����,但由于大量機(jī)構(gòu)疏于安全管理��,漏洞未被及時(shí)修復(fù)���,因此可被勒索軟件重復(fù)利用���。在網(wǎng)頁掛馬攻擊中����,攻擊者會(huì)在網(wǎng)頁中嵌入惡意代碼�,當(dāng)用戶訪問網(wǎng)頁時(shí),代碼會(huì)自動(dòng)執(zhí)行勒索軟件的下載與運(yùn)行操作��。RDP暴力破解會(huì)掃描Windows主機(jī)的3389端口���,如端口開啟����,則證明當(dāng)前主機(jī)允許遠(yuǎn)程連接���,之后再采用字典攻擊去嘗試猜測(cè)登錄密碼���,以實(shí)現(xiàn)對(duì)Windows系統(tǒng)的非法訪問。鑒于后疫情時(shí)代下常態(tài)化遠(yuǎn)程辦公模式的影響�,RDP暴力破解已成為勒索軟件的首要攻擊切入點(diǎn)[3]�。
1.2信道建立與橫向滲透
多數(shù)勒索軟件在實(shí)現(xiàn)入侵后�,會(huì)與命令與控制服務(wù)器(Command-and-Controlserver��,C&Cserver)建立連接�,以實(shí)現(xiàn)加強(qiáng)控制、傳遞數(shù)據(jù)���、獲取密鑰等目的��。例如勒索軟件會(huì)將用戶數(shù)據(jù)回傳至服務(wù)器��,后續(xù)以泄露數(shù)據(jù)為威脅���,強(qiáng)化勒索效果;或根據(jù)C&C服務(wù)器下發(fā)指令執(zhí)行潛伏操作���,有效躲避安全軟件監(jiān)測(cè)��。此外��,在機(jī)構(gòu)內(nèi)網(wǎng)環(huán)境中�����,勒索軟件還會(huì)以當(dāng)前主機(jī)為跳板���,利用從C&C服務(wù)器中下載的惡意載荷來實(shí)現(xiàn)橫向滲透�����,不斷擴(kuò)大攻擊的影響范圍���。
1.3文件加密
勒索軟件會(huì)嘗試尋找系統(tǒng)中的高價(jià)值數(shù)據(jù),例如根據(jù)文件擴(kuò)展名�����,將.doc����、.pdf等類型的用戶文件作為加密目標(biāo)。出于效率考慮�,多數(shù)勒索軟件會(huì)采用對(duì)稱加密與非對(duì)稱加密相結(jié)合的混合加密模式。以WannaCry勒索軟件為例���,其采用AES與RSA相結(jié)合的加密方式�,先根據(jù)文件數(shù)量���,隨機(jī)生成等量的AES密鑰����,對(duì)受害人文件進(jìn)行加密�;再提取攻擊者預(yù)先生成、內(nèi)嵌在代碼中的RSA公鑰�,采用兩級(jí)RSA加密的方式加密AES密鑰,并將加密結(jié)果寫回對(duì)應(yīng)加密文件頭部[4]�。除非獲取到攻擊者預(yù)先生成的RSA私鑰,否則無法解密被加密文件��。
1.4勒索實(shí)施
在完成加密操作后�����,勒索軟件會(huì)在系統(tǒng)明顯位置展示勒索警告�����,告知被害者需繳納的贖金數(shù)額與支付方式����。而加密貨幣的匿名與去中心化特性能大幅降低贖金被追蹤定位的可能,因此��,近年來勒索軟件多通過匿名網(wǎng)絡(luò)向被害者提供加密貨幣贖金地址。此外����,勒索軟件還會(huì)采用設(shè)定支付時(shí)限、發(fā)布攻擊公告���、公開部分?jǐn)?shù)據(jù)等威脅方式來施加壓力���,迫使受害者盡快妥協(xié)并支付贖金。
2勒索軟件檢測(cè)技術(shù)分析
安全人員提出了諸多檢測(cè)方法來實(shí)現(xiàn)對(duì)勒索軟件的快速響應(yīng)與阻斷��。根據(jù)檢測(cè)方法的特性�,本文將檢測(cè)方法劃分為靜態(tài)特征檢測(cè)、動(dòng)態(tài)沙箱檢測(cè)�、蜜罐觸發(fā)、網(wǎng)絡(luò)行為分析����、文件行為分析五類,以下將進(jìn)行分類介紹����。
2.1靜態(tài)特征檢測(cè)
靜態(tài)特征檢測(cè)指在不運(yùn)行程序的情況下,通過提取分析程序文件結(jié)構(gòu)��、調(diào)用函數(shù)、字符串常量等靜態(tài)特征來判定程序?qū)傩缘囊环N檢測(cè)方法�����。靜態(tài)特征檢測(cè)多采用特征碼匹配的方式�,會(huì)利用勒索軟件中的字節(jié)序列、字符串集等信息生成特征庫����;在檢測(cè)時(shí)�,掃描獲取軟件的相關(guān)特性,并與特征庫中的信息進(jìn)行匹配���,如匹配成功���,則證明其為勒索軟件。靜態(tài)特征檢測(cè)的優(yōu)勢(shì)是檢測(cè)速度快���,至今仍是安全軟件中運(yùn)用最為廣泛的檢測(cè)方法�;劣勢(shì)是泛化能力差�,勒索軟件可通過加殼、代碼混淆��、多態(tài)實(shí)現(xiàn)等方式來改變程序靜態(tài)特征,進(jìn)而逃避檢測(cè)��。
2.2動(dòng)態(tài)沙箱檢測(cè)
沙箱檢測(cè)是指在安全隔離或受控虛擬環(huán)境中運(yùn)行可疑軟件�,通過監(jiān)控并分析軟件運(yùn)行產(chǎn)生的多維行為數(shù)據(jù)來判定軟件惡意屬性的一種檢測(cè)技術(shù)。沙箱的監(jiān)控是細(xì)粒度的���,能獲取注冊(cè)表��、文件���、內(nèi)存、網(wǎng)絡(luò)等資源訪問關(guān)鍵行為與API調(diào)用序列��。許多沙箱還內(nèi)置了檢測(cè)模型��,能自動(dòng)化開展勒索軟件檢測(cè)����,例如360發(fā)布的沙箱云產(chǎn)品。此外����,部分沙箱還提供交互服務(wù)功能,能為安全人員開展后續(xù)分析提供數(shù)據(jù)來源����,例如文獻(xiàn)[5]基于ANY.RUN沙箱所采集的勒索軟件運(yùn)行API序列進(jìn)行特征向量轉(zhuǎn)換�����,并建立機(jī)器學(xué)習(xí)算法模型開展檢測(cè)����,實(shí)驗(yàn)結(jié)果顯示模型對(duì)于未知勒索軟件樣本的檢出率可達(dá)96.7%��。沙箱檢測(cè)主要有兩項(xiàng)缺陷:一是易被規(guī)避�,近年來的Colossus���、PyLocky等勒索軟件內(nèi)置了用戶交互行為檢測(cè)����、延時(shí)啟動(dòng)�����、真實(shí)系統(tǒng)特征查詢等沙箱規(guī)避技術(shù)���,將大幅降低沙箱的檢測(cè)效果�����;二是沙箱的細(xì)粒度監(jiān)控所帶來的系統(tǒng)性能高負(fù)載與檢測(cè)結(jié)果高延遲���,導(dǎo)致其難以適用于實(shí)時(shí)檢測(cè)場(chǎng)景����。
2.3蜜罐觸發(fā)
蜜罐觸發(fā)是一種基于欺騙的檢測(cè)方法����,蜜罐是部署在真實(shí)環(huán)境中的虛假高價(jià)值目標(biāo),旨在吸引勒索軟件率先對(duì)蜜罐實(shí)施入侵����,并在入侵發(fā)生后,利用監(jiān)控系統(tǒng)對(duì)攻擊行為進(jìn)行記錄�����、識(shí)別與阻斷��。蜜罐的可定制化程度高�,能根據(jù)部署場(chǎng)景進(jìn)行靈活變更,例如在機(jī)構(gòu)內(nèi)網(wǎng)環(huán)境中可被設(shè)定為關(guān)鍵應(yīng)用數(shù)據(jù)庫���,而在用戶系統(tǒng)中可被設(shè)定為敏感路徑下的誘餌文件�。文獻(xiàn)[6]實(shí)現(xiàn)了Windows平臺(tái)上基于誘餌文件的勒索軟件檢測(cè),核心思想是在系統(tǒng)關(guān)鍵位置動(dòng)態(tài)部署誘餌文件���,同時(shí)監(jiān)視針對(duì)誘餌文件的可疑訪問行為�����,將修改誘餌文件的進(jìn)程判定為勒索軟件���。蜜罐觸發(fā)檢測(cè)方法有兩點(diǎn)優(yōu)勢(shì):一是誤報(bào)率低,蜜罐作為誘騙陷阱����,基本不會(huì)被正常用戶訪問�,因此針對(duì)蜜罐的訪問或操作均可被認(rèn)為是異常行為;二是可以檢測(cè)未知威脅����,因?yàn)槊酃薇O(jiān)控入侵結(jié)果,而不關(guān)注入侵行為的具體實(shí)現(xiàn)方式���,所以可檢出采出新變種的勒索軟件�。但缺陷在于檢測(cè)效果極度依賴于勒索軟件的攻擊路徑選擇,而當(dāng)勒索軟件未觸發(fā)蜜罐或觸發(fā)時(shí)刻較晚時(shí)���,系統(tǒng)就會(huì)遭受較大損失���,因此該方法在檢出率和實(shí)時(shí)性上的表現(xiàn)欠佳。
2.4網(wǎng)絡(luò)流量分析
多數(shù)勒索軟件會(huì)在入侵后嘗試與C&C服務(wù)器建立連接��,因此C&C服務(wù)器域名檢測(cè)技術(shù)成為識(shí)別勒索軟件的關(guān)鍵一環(huán)�。域名黑名單可攔截傳統(tǒng)的硬編碼域名,但無法將利用域名生成算法(DomainGenerationAlgorithm���,DGA)生成的大量備選域名全部添加到黑名單中���。當(dāng)前的DGA域名識(shí)別技術(shù)利用了信息熵、域名長(zhǎng)度���、字符轉(zhuǎn)移概率等特征的傳統(tǒng)機(jī)器學(xué)習(xí)方法和深度學(xué)習(xí)模型��,并取得了較好的檢測(cè)效果�����。但研究發(fā)現(xiàn)勒索軟件正逐步使用DNS加密協(xié)議來傳輸DGA域名����,這將導(dǎo)致以明文DNS請(qǐng)求為數(shù)據(jù)源的域名檢測(cè)方法失效。此外�����,由于勒索軟件會(huì)執(zhí)行獲取加密密鑰���、上傳機(jī)密數(shù)據(jù)等操作而產(chǎn)生異常網(wǎng)絡(luò)流量�����,因此�,對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的端口號(hào)���、目的IP�、通信協(xié)議等多維特征開展分析的流量識(shí)別技術(shù)能運(yùn)用于勒索軟件檢測(cè)�����。例如文獻(xiàn)[7]通過識(shí)別TCP連接中顯著增加的RST與ACK包��,檢測(cè)出Locky勒索軟件��。當(dāng)前�����,針對(duì)非加密流量的檢測(cè)研究已取得一定成果����,但針對(duì)加密流量的檢測(cè)研究多集中于特定類型的加密協(xié)議,因此���,勒索軟件可采用未知協(xié)議和加密方式來規(guī)避檢測(cè)����。
2.5文件行為分析
勒索軟件會(huì)在文件加密攻擊階段進(jìn)行大量文件操作����,因此可采用基于異常的檢測(cè)方式,即設(shè)定正常系統(tǒng)中的文件讀寫���、刪除����、類型更改等行為閾值,并監(jiān)視當(dāng)前系統(tǒng)中的文件操作��,如超出閾值則判定存在勒索軟件���。此外�����,勒索軟件還會(huì)修改文件內(nèi)容���,因此低文件相似度與高熵值數(shù)據(jù)寫入也是判定勒索軟件的重要指標(biāo)。前者指加密操作會(huì)完全修改原文件內(nèi)容��,導(dǎo)致加密文件與原文件相似度趨近于0�����,異常于修改或新增部分文件內(nèi)容的正常操作�;后者指加密后數(shù)據(jù)相比于明文,擁有更強(qiáng)的隨機(jī)性��,因此信息熵值更高��,勒索軟件將表現(xiàn)出寫入高熵值加密數(shù)據(jù)的特性����。文獻(xiàn)[8]通過文件過濾驅(qū)動(dòng)來收集上述文件行為,并利用樸素貝葉斯����、隨機(jī)森林等多種算法開展特征學(xué)習(xí),生成勒索軟件實(shí)時(shí)檢測(cè)器�,實(shí)驗(yàn)結(jié)果顯示分類準(zhǔn)確率可達(dá)96%,但會(huì)給系統(tǒng)帶來8%的額外開銷���。該檢測(cè)方法的缺陷在于難以檢出只進(jìn)行少量文件內(nèi)容加密的勒索軟件�����,例如Unlock92勒索軟件僅對(duì)文件頭部進(jìn)行加密修改�,但能規(guī)避上述檢測(cè)機(jī)制��;此外��,文件加密壓縮���、文件批處理等行為可能會(huì)觸發(fā)誤報(bào)���。
3勒索軟件發(fā)展趨勢(shì)
3.1攻擊目標(biāo)多元化
攻擊者試圖研發(fā)跨平臺(tái)勒索軟件來感染盡可能多的設(shè)備�、擴(kuò)大攻擊的影響范圍����。近年來,勒索軟件在繼續(xù)主攻Windows系統(tǒng)的同時(shí)���,還向Linux�����、Android等平臺(tái)擴(kuò)散蔓延���,例如Tycoon能同時(shí)針對(duì)Windows和Linux平臺(tái)發(fā)動(dòng)攻擊。而物聯(lián)網(wǎng)設(shè)備廣泛存在的弱口令���、暴露面廣�、漏洞修復(fù)緩慢等安全問題�,正在促使其成為勒索軟件的下一個(gè)攻擊目標(biāo)。目前����,VedereLabs安全研究機(jī)構(gòu)已展示了物聯(lián)網(wǎng)勒索軟件攻擊的概念證明[9],一旦該類勒索軟件開始流行�,不僅會(huì)導(dǎo)致攻擊事件激增���,還會(huì)給經(jīng)濟(jì)民生、社會(huì)穩(wěn)定乃至國家安全帶來巨大威脅�。此外���,勒索軟件攻擊還呈現(xiàn)出普遍性與針對(duì)性并存的特征���,即在通過廣撒網(wǎng)攻擊手法對(duì)個(gè)人用戶、中小型企業(yè)造成威脅的同時(shí)���,還向政府�、大型企業(yè)機(jī)構(gòu)發(fā)動(dòng)定制化攻擊��,以破壞關(guān)鍵基礎(chǔ)設(shè)施或機(jī)密數(shù)據(jù)為要挾來勒索高額贖金�����?��?梢灶A(yù)見�,勒索軟件在未來一段時(shí)間內(nèi)會(huì)繼續(xù)在多平臺(tái)���、多場(chǎng)景中發(fā)動(dòng)攻擊��,將給全球網(wǎng)絡(luò)安全造成更大的威脅����。
3.2勒索軟件即服務(wù)主流化
勒索軟件的高收益特性驅(qū)使勒索軟件向產(chǎn)業(yè)化、鏈條化方向演進(jìn)�����,勒索軟件即服務(wù)(Ransomware-as-a-Service�,RaaS)應(yīng)運(yùn)而生。RaaS是一種由開發(fā)者制作勒索軟件�、多級(jí)分銷者擴(kuò)散分發(fā)軟件、攻擊者實(shí)施入侵�,并由三者共同參與贖金分配的黑產(chǎn)營(yíng)銷模式。RaaS中的攻擊者無須任何編程基礎(chǔ)��,就能直接依靠開發(fā)者提供的全套解決方案來實(shí)現(xiàn)勒索攻擊����,大幅降低了勒索攻擊門檻。而RaaS中的開發(fā)者在提供核心技術(shù)���、獲取高額收益的同時(shí)���,卻擁有極低的暴露風(fēng)險(xiǎn)��。這給相關(guān)部門的打擊治理帶來了挑戰(zhàn)�,且一旦上游未被完全摧毀����,整條產(chǎn)業(yè)極易死灰復(fù)燃�����。近年來����,RaaS在勒索軟件中得到了廣泛運(yùn)用,諸如REvil��、Conti等廣泛傳播的勒索軟件均采用了該模式�,這也標(biāo)志著勒索攻擊已呈現(xiàn)出系統(tǒng)化、便捷化的發(fā)展趨勢(shì)��。
3.3多重勒索模式興起
早期勒索軟件大都單純以恢復(fù)被加密數(shù)據(jù)為要挾�,但隨著越來越多的企業(yè)和個(gè)人開始定期備份數(shù)據(jù),此類勒索方式的威脅效力大幅下降�����。因此,勒索攻擊正逐步演進(jìn)為兼具竊取與加密數(shù)據(jù)行為���,并威脅目標(biāo)如不繳納贖金則公開數(shù)據(jù)的“雙重勒索”模式����。攻擊者會(huì)在暗網(wǎng)上宣傳攻擊事件和贖金繳納期限�,并通過泄露少量機(jī)密數(shù)據(jù)予以佐證,為目標(biāo)施加數(shù)據(jù)泄露壓力���。近年來�����,佳能��、富士康等知名公司均遭受了“雙重勒索”��,也因拒絕繳納贖金���,承受了數(shù)據(jù)泄露所帶來的巨額損失。自2021年以來,勒索攻擊還出現(xiàn)“三重勒索”���、“四重勒索”模式����,即針對(duì)目標(biāo)���,采用分布式拒絕服務(wù)攻擊破壞網(wǎng)站可用性�,或向其商業(yè)伙伴����、客戶宣傳攻擊事件�,不斷制造壓力來迫使目標(biāo)支付贖金。勒索攻擊追求利益最大化的特性��,將促使其采用多樣化手段來增加目標(biāo)支付贖金的可能��,因此����,多重勒索將成為下階段勒索軟件的主要運(yùn)作模式。
3.4供應(yīng)鏈攻擊成新目標(biāo)
軟件供應(yīng)鏈涵蓋上游的開發(fā)工具�����、開源代碼等外部依賴與下游的軟件下載更新,涉及組件多����,一旦其中某環(huán)節(jié)遭到入侵,將導(dǎo)致所有使用該軟件的系統(tǒng)均面臨安全風(fēng)險(xiǎn)��。這種“入侵一點(diǎn)����,威脅一片”的攻擊模式,在近年來備受勒索軟件青睞��。例如在2021年7月���,REvil勒索軟件團(tuán)隊(duì)利用運(yùn)維管理平臺(tái)軟件KaseyaVSA中的零日漏洞發(fā)布惡意更新包���,成功在所有搭載該軟件的本地客戶端中部署了勒索軟件,影響范圍涉及17個(gè)國家與1500家下游廠商��。相較于傳統(tǒng)入侵模式���,供應(yīng)鏈攻擊具備暴露攻擊面廣����、傳播效率高、隱匿性強(qiáng)����、影響范圍大等優(yōu)勢(shì),必將成為勒索攻擊的新型威脅手段����。
4未來研究方向
4.1端點(diǎn)檢測(cè)響應(yīng)技術(shù)端點(diǎn)檢測(cè)響應(yīng)(EndpointDetectionandResponse,EDR)是一種在云端威脅情報(bào)信息的支撐下���,對(duì)本地終端行為數(shù)據(jù)進(jìn)行自動(dòng)化監(jiān)測(cè)分析���,并及時(shí)阻止惡意行為的主動(dòng)式端點(diǎn)安全防護(hù)技術(shù)。EDR能與勒索軟件就端點(diǎn)入侵展開對(duì)抗��,且相較于沙箱�、蜜罐等檢測(cè)方法�����,具有實(shí)時(shí)響應(yīng)���、全系統(tǒng)監(jiān)控�����、抗逃逸性強(qiáng)等優(yōu)勢(shì)���;但也存在一些發(fā)展難點(diǎn)��,如終端數(shù)據(jù)采集的性能開銷大����、檢測(cè)精度有待提升�。對(duì)于前者,鉤子技術(shù)(hook)雖能收集全系統(tǒng)的行為語義���,但全局hook會(huì)極大影響程序的運(yùn)行效率�,且在Windows7版本后���,內(nèi)核hook不再被微軟官方支持���;而系統(tǒng)原生事件雖是端點(diǎn)上的可信數(shù)據(jù)源,但存在語義缺失����、數(shù)據(jù)量過大等缺陷��,因此�,如何實(shí)時(shí)��、低負(fù)載地對(duì)系統(tǒng)原生事件進(jìn)行語義還原和去冗�,是當(dāng)前研究中亟須解決的關(guān)鍵問題。在構(gòu)建高精度檢測(cè)模型方面�����,機(jī)器學(xué)習(xí)方法已成為新的研究熱點(diǎn)����。
4.2機(jī)器學(xué)習(xí)
機(jī)器學(xué)習(xí)能獲取勒索軟件與正常軟件的特征區(qū)別,并根據(jù)訓(xùn)練所生成的分類模型開展檢測(cè)�,而擺脫了對(duì)規(guī)則庫的依賴,能更好地應(yīng)對(duì)當(dāng)下日益泛濫的勒索攻擊��。目前����,相關(guān)研究工作所利用的特征有:可執(zhí)行文件的字節(jié)碼��、指紋灰度圖等靜態(tài)統(tǒng)計(jì)特征,API調(diào)用序列��、程序執(zhí)行流程圖等動(dòng)態(tài)行為模式�����,及程序運(yùn)行中產(chǎn)生的網(wǎng)絡(luò)流量等�。但機(jī)器學(xué)習(xí)檢測(cè)模型也面臨諸多挑戰(zhàn),例如準(zhǔn)確率極度依賴于訓(xùn)練數(shù)據(jù)���,如數(shù)據(jù)出現(xiàn)偏差����,會(huì)導(dǎo)致模型的魯棒性����、泛化性欠佳。攻擊者也可通過修改勒索軟件的部分特征或采用新行為模式來實(shí)施逃逸攻擊����,如Cerber勒索軟件就曾利用內(nèi)存注入技術(shù)繞過檢測(cè);或通過污染訓(xùn)練數(shù)據(jù)來改變模型的分類邊界�����,實(shí)現(xiàn)數(shù)據(jù)投毒攻擊。綜上所述���,當(dāng)前針對(duì)機(jī)器學(xué)習(xí)檢測(cè)模型的安全攻防對(duì)抗正在激烈上演��。
4.3零信任體系建設(shè)
零信任技術(shù)強(qiáng)調(diào)網(wǎng)絡(luò)中的所有身份�����、設(shè)備和行為均不可信����,應(yīng)當(dāng)建立以身份為中心����、基于認(rèn)證和授權(quán)的訪問控制信任基礎(chǔ),對(duì)訪問者行為進(jìn)行持續(xù)跟蹤與分析����,以動(dòng)態(tài)調(diào)整訪問控制策略。零信任將網(wǎng)絡(luò)防御的重點(diǎn)從傳統(tǒng)分布式網(wǎng)絡(luò)環(huán)境下的邊界安全轉(zhuǎn)移到用戶與資產(chǎn)上�,以“持續(xù)驗(yàn)證”理念來應(yīng)對(duì)當(dāng)下遠(yuǎn)程辦公、物聯(lián)網(wǎng)設(shè)備接入所帶來的網(wǎng)絡(luò)邊界弱化問題�,是遏制勒索軟件攻擊的有效手段。在零信任場(chǎng)景下,即便勒索軟件已通過供應(yīng)鏈或系統(tǒng)漏洞等方式入侵至內(nèi)網(wǎng)環(huán)境�����,也會(huì)在零信任的最小權(quán)限與資源受控安全訪問機(jī)制的限制下���,無法訪問敏感數(shù)據(jù)或向更關(guān)鍵節(jié)點(diǎn)移動(dòng),而勒索軟件的異常訪問行為也會(huì)因觸發(fā)安全機(jī)制而被檢出����,因此能將攻擊損失限定在較小范圍。零信任作為一種全新的網(wǎng)絡(luò)安全理念����,相關(guān)解決方案離規(guī)模化落地尚有一定距離�,因此,開展零信任產(chǎn)品化探索是下階段檢測(cè)工作的重點(diǎn)研究?jī)?nèi)容����。
5結(jié)束語
后疫情時(shí)代下的遠(yuǎn)程辦公模式將會(huì)暴露出更多的安全風(fēng)險(xiǎn),因此勒索攻擊在未來一段時(shí)間內(nèi)仍會(huì)是全球網(wǎng)絡(luò)安全的主要威脅�����。本文系統(tǒng)總結(jié)了現(xiàn)有的檢測(cè)工作成果,并根據(jù)近年來勒索軟件在攻擊目標(biāo)�、運(yùn)作方式、勒索形式等方面的變化���,給出了檢測(cè)工作的未來研究重點(diǎn):端點(diǎn)檢測(cè)響應(yīng)技術(shù)����、融合機(jī)器學(xué)習(xí)的檢測(cè)模型與零信任技術(shù)的落地應(yīng)用���。
參考文獻(xiàn):
[1]獵影實(shí)驗(yàn)室.2021年上半年全球勒索軟件趨勢(shì)報(bào)告[R].2021.
[2]360政企安全集團(tuán)高級(jí)威脅研究分析中心.2022年03月勒索病毒流行態(tài)勢(shì)分析[R].2022.
[3]360高級(jí)威脅研究分析中心.2021年勒索病毒流行勢(shì)態(tài)報(bào)告[R].2022.
[4]郭春生�����,程光.基于APIHooking勒索軟件WannaCry的解密方法[J].網(wǎng)絡(luò)空間安全����,2018�,9(1):8-14.
[5]陳長(zhǎng)青,郭春���,崔允賀��,等.基于API短序列的勒索軟件早期檢測(cè)方法[J].電子學(xué)報(bào)�,2021,49(3):586-595
[6]傅建明����,劉暢,解夢(mèng)飛���,等.基于誘捕的軟件異常檢測(cè)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào),2022���,8(1):15-29.
[7]田鋒����,周安民�����,劉亮�,等.ARS:基于文件行為的勒索軟件主動(dòng)防御技術(shù)研究[J].四川大學(xué)學(xué)報(bào)(自然科學(xué)版),2021�,58(2):91-99.
作者:阮琳琦 梁桂花 李宇航 單位:浙江警察學(xué)院
