论文部分内容阅读
近几年来,ransomware开始在全球肆虐,给用户带来巨大的安全威胁。Ransomware主要通过加密用户文件或者将用户机器锁屏的方式使受害者无法使用自己的机器,并以此为条件,向用户勒索钱财。Ransomware已经给许多企业、政府、组织和个人带来了极大的危害,造成了巨大的经济损失,成为了互联网安全最严重的威胁之一。当前,业界的相关研究人员提出了多个检测和阻止ransomware的技术方案。然而,当前技术方案存在着一些共有的局限性,这主要包括:第一,检测系统和ransomware处于同一个操作系统中,容易遭到具有系统级权限的ransomware的攻击,被其绕过;第二,当前检测系统仅仅利用ransomware的文件行为特征进行检测,而由于ransomware的文件操作行为和某些良性应用相似,容易造成误报。针对当前检测系统的局限性,本文提出了一种基于虚拟机自省(Virtual Machine Introspection,VMI)技术的大规模ransomware防御系统。该系统利用VMI技术捕获虚拟机中与文件和网络操作相关的系统调用,解析系统调用参数,获取当前进程上下文信息,从而实现对虚拟机文件系统和网络的监控。然后在监控信息的基础上,依据ransomware文件和网络活动的行为模式和合理的检测策略实现对ransomware的检测和阻止。该系统能够很好的克服当前系统的局限性:首先,由于它采用了VMI技术,防御系统处于虚拟机外部的虚拟机监视器中,虚拟机中的ransomware无法对原型系统进行攻击。其次,通过研究发现,大多数的ransomware同时具有文件活动和网络活动,该系统通过同时对进程的文件活动和网络活动进行监控,并且在制定检测策略时同时考虑ransomware的文件活动和网络活动特征,能够大大提升系统检测ransomware的精确度。论文通过对一些已知类型的ransomware样本进行测试,分析并总结出了ransomware的3种文件操作模式和2种网络操作模式;然后基于KVM hypervisor设计并实现了原型系统。为了测试原型系统的有效性和性能,本文收集了2767个类型未被标记的恶意软件样本集,对原型系统进行了大规模的功能测试。测试结果表明,原型系统从2767个未知样本中成功检测出了534个ransomware样本并对它们进行了阻止,且误报率为0。性能测试结果表明,本文原型系统所带来的性能损耗较低(平均<6%)。