田 鋒， 周安民， 劉 亮， 張 磊

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院， 成都 610065)

1 引 言

勒索軟件是一種通過劫持受害者數(shù)字資產(chǎn)后索要贖金以牟取利益的惡意代碼[1].勒索軟件攻擊會對受害者的數(shù)字資產(chǎn)安全造成嚴(yán)重危害，并且這類攻擊呈現(xiàn)一種上升趨勢[2]，急需研究有效的防御措施.

針對勒索軟件攻擊，Brewer將勒索軟件攻擊劃分為5個(gè)階段：傳播感染、執(zhí)行、破壞備份、執(zhí)行加密和勒索，并預(yù)測未來勒索軟件攻擊將會更普遍，且更具破壞性[3].Kharraz等通過對2006年到2014年出現(xiàn)的1 359個(gè)勒索軟件樣本分析發(fā)現(xiàn)，勒索軟件與正常軟件訪問文件系統(tǒng)的請求方式有顯著的不同，可以通過監(jiān)控一些敏感函數(shù)及文件系統(tǒng)檢測勒索軟件[4].Luo等提出通過規(guī)范企業(yè)安全管理策略及提高使用者安全意識能減少勒索軟件攻擊，但并未從技術(shù)層面提出解決方案[5].Andronio設(shè)計(jì)的Heldroid系統(tǒng)在安卓平臺上實(shí)現(xiàn)勒索軟件檢測，通過監(jiān)控有關(guān)加密的系統(tǒng)調(diào)用及勒索信息檢測勒索軟件[6]，勒索信息提取自靜態(tài)資源及運(yùn)行時(shí)網(wǎng)絡(luò)流量中的文本信息，對這些文本信息進(jìn)行自然語言處理，通過機(jī)器學(xué)習(xí)提取勒索信息特征，利用這些特征來檢測勒索軟件，但在桌面系統(tǒng)這些措施很容易被繞過.Cabaj等對CryptoWall和Locky勒索軟件家族的樣本HTTP數(shù)據(jù)包分析后，提出使用HTTP流量特征檢測有網(wǎng)絡(luò)行為的加密類勒索軟件[7]，設(shè)計(jì)出SDN勒索軟件快速檢測系統(tǒng)，但并未證明該方法是否能有效檢測未知勒索軟件.Moore提出利用蜜罐技術(shù)快速檢測勒索軟件，通過監(jiān)控誘餌文件判定程序是否為勒索軟件，但該方法會存在較高的漏報(bào)率[8].殷明等提出固態(tài)硬盤的防范技術(shù)，利用固態(tài)存儲設(shè)備數(shù)據(jù)非原位更新、修改垃圾回收等策略進(jìn)行數(shù)據(jù)備份[9]. Lee等設(shè)計(jì)實(shí)現(xiàn)基于云平臺的CloudRPS勒索軟件防御系統(tǒng)，通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)、文件和服務(wù)器等信息檢測勒索軟件，能夠減少因?yàn)槔账鬈浖粼斐傻膿p失[10].Kim等設(shè)計(jì)一種結(jié)合社會工程學(xué)的勒索軟件檢測系統(tǒng)，能夠分析其靜態(tài)和動(dòng)態(tài)特征[11].Kharraz等在已有研究基礎(chǔ)上，通過監(jiān)控文件系統(tǒng)活動(dòng)及屏幕的變化，利用文本分析技術(shù)快速檢測勒索軟件，設(shè)計(jì)了UNVEIL自動(dòng)檢測系統(tǒng)，實(shí)驗(yàn)證明該系統(tǒng)有較高的準(zhǔn)確率及較低的假陽性率[12].趙翠镕等提出基于語義API依賴圖的真機(jī)動(dòng)態(tài)分析方法，運(yùn)用集成學(xué)習(xí)-隨機(jī)深林進(jìn)行惡意代碼分類，該方法同樣可用于勒索軟件檢測[13].Scaife等對14個(gè)家族496個(gè)勒索軟件樣本進(jìn)行分析，總結(jié)出勒索軟件家族基因是其加密用戶文件這一行為，設(shè)計(jì)以用戶數(shù)據(jù)為中心的勒索軟件主動(dòng)防御系統(tǒng)CryptoDrop，但該系統(tǒng)會造成部分文件丟失[14].然而，上述方法基于特征碼的方式更新速度相對較慢，能通過加殼、混淆等方式繞過；啟發(fā)式掃描會因?yàn)槔账鬈浖恍薷淖员?，也沒有注入等行為，不適應(yīng)于勒索軟件檢測[15]；沙箱的系統(tǒng)開銷較大，監(jiān)控加密函數(shù)不能發(fā)現(xiàn)使用自有加密算法的勒索軟件，便會導(dǎo)致誤報(bào).

與上述工作不同，本文提出一種基于文件行為的勒索軟件主動(dòng)防御技術(shù)——ARS，從寫時(shí)拷貝技術(shù)和惡意代碼分類得到啟發(fā)，通過分類算法在運(yùn)行時(shí)判定程序是否為勒索軟件，利用文件過濾驅(qū)動(dòng)技術(shù)備份程序運(yùn)行過程中修改的文件，既能有效地檢測勒索軟件也能防止勒索軟件運(yùn)行所帶來的危害.提出的反勒索框架不依賴?yán)账鬈浖o態(tài)特征；也無需部署蜜罐系統(tǒng)來捕捉勒索軟件行為；同時(shí)不通過算法逆向的方式來恢復(fù)被加密的文件.利用提取的勒索軟件運(yùn)行時(shí)特征，能夠在勒索軟件運(yùn)行初期阻止其繼續(xù)執(zhí)行，使用戶文件得到保護(hù).主要工作和貢獻(xiàn)包括以下幾方面.

(1) 提出一種基于運(yùn)行時(shí)文件行為的勒索軟件主動(dòng)防御框架.針對勒索軟件檢測問題，在現(xiàn)有惡意代碼分類方法的基礎(chǔ)上，受(Copy-On-Write, COW)技術(shù)的啟發(fā)，提出一種勒索軟件運(yùn)行時(shí)分類方法的檢測框架.該系統(tǒng)可以根據(jù)勒索軟件文件行為特征生成勒索軟件通用檢測規(guī)則，并根據(jù)新樣本動(dòng)態(tài)更新行為規(guī)則模型.

(2) 在未知勒索軟件檢測方面，ARS通過文件行為特征生成檢測規(guī)則，在程序運(yùn)行時(shí)通過同樣的方式提取文件行為特征與之前的規(guī)則進(jìn)行匹配，采用多算法Bagging方式將支持向量機(jī)SVM，決策樹DT，樸素貝葉斯NB以及隨機(jī)森林RF算法作為候選算法集合進(jìn)行多數(shù)投票，以此判斷該程序是否為勒索軟件.

(3) 設(shè)計(jì)實(shí)現(xiàn)ARS原型系統(tǒng)并進(jìn)行測試評估，利用文件過濾驅(qū)動(dòng)備份程序在運(yùn)行時(shí)修改的文件，能夠及時(shí)回滾勒索軟件對文件的操作，根據(jù)檢測的結(jié)果判斷是否還原文件，即使檢測結(jié)果出現(xiàn)漏報(bào)也不會造成文件丟失；不會影響系統(tǒng)與用戶正常的文件操作，降低了因?yàn)槔账鬈浖羲斐傻膿p失；另外，在勒索軟件運(yùn)行階段檢測，僅包含幾個(gè)Windows內(nèi)核模塊，不需要在用戶網(wǎng)絡(luò)中添加其它設(shè)備且與原有的殺毒軟件共存，同時(shí)框架各模塊具備良好的擴(kuò)展性.測試結(jié)果表明，ARS能夠有效檢測勒索軟件，并恢復(fù)被修改的文件且對系統(tǒng)效率影響較小.

2 基于文件行為的勒索軟件主動(dòng)防御框架

2.1 概 述

由于勒索軟件與正常軟件在文件行為特征上存在差異，ARS通過文件過濾和驅(qū)動(dòng)來收集行為特征，并對特征熵進(jìn)行歸一化處理，從而實(shí)現(xiàn)分類器的輸入.訓(xùn)練采用貝葉斯分類、決策樹、支持向量機(jī)和隨機(jī)森林等多種算法進(jìn)行特征學(xué)習(xí)并生成勒索軟件檢測分類器.利用主動(dòng)防御的方式檢測勒索軟件，即勒索軟件在加密文件之前被檢測到，且在勒索軟件執(zhí)行過程中使用COW技術(shù)保護(hù)文件.

ARS主動(dòng)防御框架由三部分組成：勒索軟件行為規(guī)則學(xué)習(xí)模塊、主動(dòng)防御模塊和文件保護(hù)模塊.總體技術(shù)框架如圖1所示.

圖1 基于文件行為的勒索軟件主動(dòng)防御框架Fig.1 Ransomware active defense framework based on file behavior

在圖1中，勒索軟件行為規(guī)則學(xué)習(xí)模塊根據(jù)勒索軟件與正常軟件的文件行為特征生成勒索軟件檢測分類器.通過文件過濾驅(qū)動(dòng)收集勒索軟件樣本與正常程序的動(dòng)態(tài)文件行為IRP記錄作為訓(xùn)練集，經(jīng)過分析后提取文件行為相關(guān)信息，利用多種監(jiān)督機(jī)器學(xué)習(xí)算法訓(xùn)練生成檢測分類器.

文件保護(hù)模塊負(fù)責(zé)文件備份及還原功能，主動(dòng)防御模塊負(fù)責(zé)運(yùn)行時(shí)監(jiān)控并記錄程序文件行為，利用行為規(guī)則學(xué)習(xí)模塊生成的分類模型動(dòng)態(tài)判定程序行為，終止勒索軟件運(yùn)行，并依據(jù)程序行為特征與文件保護(hù)模塊進(jìn)行交互，根據(jù)當(dāng)前程序是否為勒索軟件決定是否恢復(fù)備份文件.

2.2 勒索軟件行為規(guī)則學(xué)習(xí)

2.2.1 特征記錄 通過ARS中的文件過濾驅(qū)動(dòng)模塊收集勒索軟件與正常軟件的文件特征，過濾驅(qū)動(dòng)通過在系統(tǒng)中注冊文件行為操作回調(diào)函數(shù)，在回調(diào)函數(shù)中通過解析文件操作IRP請求包，記錄文件操作請求行為.具體文件操作記錄項(xiàng)如表1所示.

表1 文件操作特征項(xiàng)

在表1中，進(jìn)程號和進(jìn)程名稱用于確定當(dāng)前文件操作的程序，文件操作類型通過IRP請求包中的Major Function及Minor Function表示.

經(jīng)過加密的數(shù)據(jù)流一般和完全隨機(jī)的數(shù)據(jù)流相似，即被加密的數(shù)據(jù)比原始數(shù)據(jù)表現(xiàn)出更大的不確定性，用信息熵表示值就更大[16].假設(shè)每一個(gè)寫入緩沖文件塊中的字節(jié)成均勻分布，則寫入熵即香農(nóng)信息熵計(jì)算公式如式(1)所示.

(1)

其中，d表示一個(gè)文件I/O數(shù)據(jù)塊隨機(jī)事件；p(i)表示d中的n個(gè)字符中，其中第i個(gè)出現(xiàn)的概率.取8位計(jì)算一次，總共有256種可能，則熵值取值范圍為0到8之間，為計(jì)算方便，最后的平均熵值結(jié)果除以8進(jìn)行歸一化處理.

2.2.2 特征處理方法 在勒索軟件攻擊執(zhí)行的過程中，需要進(jìn)行大量文件操作，如遍歷文件夾、文件讀寫，以及寫入高熵值加密數(shù)據(jù)等操作[17]，通過對勒索軟件與正常軟件原始文件行為操作數(shù)據(jù)進(jìn)行分析后，本文基于勒索軟件文件行為統(tǒng)計(jì)異常特征選擇檢測特征，設(shè)計(jì)檢測方法.其中，正常軟件與勒索軟件寫入熵值數(shù)據(jù)核心密度估計(jì)(Kernel Density Estimate, KDE)如圖2所示，而勒索軟件與正常軟件行為特征核心密度估計(jì)如圖3所示.

由圖2和圖3(a)～(d)可以發(fā)現(xiàn)勒索軟件與正常軟件的文件行為存在很大的不同，正常軟件的文件操作行為基本都在一個(gè)接近0的水平，而勒索軟件的文件操作行為在各個(gè)區(qū)間都有，基本都高于正常軟件，因此，利用這個(gè)區(qū)別和特點(diǎn)，可以基于文件行為的構(gòu)建勒索軟件分析模型.

圖2 正常軟件與勒索軟件寫入熵值數(shù)據(jù)核心密度圖

(a) 文件讀時(shí)核心密度

(b) 文件寫時(shí)核心密度

(c)文件目錄控制核心密度

(d)文件信息設(shè)置核心密度

勒索軟件要加密用戶文件必然有相關(guān)文件行為特征，本文主要選取5個(gè)文件行為特征，包括：讀、寫.用于基于文件行為的勒索軟件檢測，最后得到基于文件行為的特征集：File_Op_Feature={R,W,D,S,E}，各個(gè)特征具體含義如表2所示.

大部分勒索軟件在執(zhí)行加密用戶文件的過程中，會在短時(shí)間內(nèi)有大量文件操作行為.如果使用基于單位時(shí)間的文件行為進(jìn)行勒索軟件行為歸一化，會因?yàn)槔账鬈浖用芩惴?、?jì)算機(jī)性能等因素，導(dǎo)致各個(gè)文件行為特征在不同計(jì)算機(jī)上不同，同一時(shí)間內(nèi)的特征頻率相差很大，最終會影響訓(xùn)練生成的分類器的分類效果.因此，本文采用基于主機(jī)現(xiàn)有文件及文件夾總數(shù)的歸一化方法，雖然文件或文件夾總數(shù)在不同主機(jī)也不相同，但是基于文件或文件總數(shù)的歸一化方法能夠反應(yīng)勒索軟件加密用戶文件的趨勢，將數(shù)據(jù)統(tǒng)一在同一個(gè)量綱區(qū)間，消除特征量綱的影響，使特征均在同一個(gè)參考系下.使用正確歸一化方法處理后的特征訓(xùn)練的分類器能夠更快收斂，加快梯度下降求解最優(yōu)解的速度并且有可能提高分類精度.

表2 文件操作特征項(xiàng)

2.2.3 檢測算法 惡意代碼檢測領(lǐng)域的分類問題一般都是二分類問題[18]，目前已有很多分類算法被成功應(yīng)用到惡意代碼檢測領(lǐng)域，常用的分類算法包括貝葉斯分類、決策樹、支持向量機(jī)和隨機(jī)森林等[19].

本文選用多算法Bagging的方式，因?yàn)樗茉鰪?qiáng)對小數(shù)據(jù)集的處理能力，對噪聲或異常值的敏感性較低，而且并行結(jié)構(gòu)的方式便于高效實(shí)現(xiàn)(如算法1所示)，算法1將支持向量機(jī)SVM，決策樹DT，樸素貝葉斯NB以及隨機(jī)森林RF算法作為候選算法集合.將收集的勒索軟件特征數(shù)據(jù)集D抽取出T個(gè)含有n個(gè)訓(xùn)練樣本的集合.在每個(gè)訓(xùn)練集上訓(xùn)練出分類器.在對預(yù)測輸入進(jìn)行整合時(shí)，本文選用多數(shù)投票(Majority vote)方式，對分類器進(jìn)行選擇.

2.3 文件保護(hù)

文件保護(hù)模塊主要完成文件寫時(shí)備份與文件恢復(fù)功能，受寫時(shí)拷貝技術(shù)啟發(fā)[20-21]，當(dāng)發(fā)現(xiàn)有新的以寫或刪除句柄的方式打開文件時(shí)，文件保護(hù)系統(tǒng)會將該文件拷貝至安全存儲空間SafeDrive，SafeDrive通過建立信任程序的方式拒絕其它非受信進(jìn)程文件操作請求來保證只讀存儲空間的安全性，SafeDrive可以是本地硬盤空間也可以是移動(dòng)磁盤空間，用戶可以自由設(shè)置，文件保護(hù)流程如圖4所示.

算法1 Bagging算法

輸入勒索軟件訓(xùn)練集D={x1,x2,…,xm}；

基學(xué)習(xí)算法集L= {SVM,DT,NB,RF}；

訓(xùn)練輪數(shù)N；

輸出最佳算法R(x)

1) forL∈{SVM,DT,NB,RF} do

2) forn= 1,2,…,Ndo

3)hn=L(D,Dbs);

4) end for

6) addH(x) toR

7) end for

（3）可操作性原則。制作的課件，操作要盡量簡便、靈活、可靠，便于教師控制。有的教師在制作課件時(shí)，一味地追求“高科技”，用Flash或其他非常用軟件制作，中間設(shè)置許多超鏈接，把教學(xué)課件搞得“機(jī)關(guān)重重”。一旦上起課來，由于緊張或不熟練，常常忘了其中的“機(jī)關(guān)”，按錯(cuò)按鈕，弄得牛頭不對馬嘴，洋相百出。

9) end

通過FltRegisterFilter注冊與IRP_MJ_CREATE相關(guān)聯(lián)的后操作回調(diào)函數(shù)，在后操作回調(diào)函數(shù)中通過解析PFLT_CALLBACK_DATA結(jié)構(gòu)體中的Iopb成員屬性判斷當(dāng)前文件操作是否為以寫或刪除權(quán)限打開文件，具體判斷條件為

FlagOn(

Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess,

FILE_WRITE_DATA | FILE_APPEND_DATA |

DELETE | FILE_WRITE_ATTRIBUTES | FILE_WRITE_EA |

WRITE_DAC | WRITE_OWNER | ACCESS_SYSTEM_SECURITY )

由于在備份文件的過程中也需要使用FltCreateFile打開文件，與應(yīng)用層打開文件一樣也會產(chǎn)生文件操作IRP請求，如果不過濾這種文件操作IRP請求會循環(huán)嵌套造成死循環(huán).因此，通過宏FLT_IS_FS_FILTER_OPERATION判斷是否為過濾驅(qū)動(dòng)發(fā)送的數(shù)據(jù)，如果為過濾驅(qū)動(dòng)數(shù)據(jù)則直接返回FLT_PREOP_SUCCESS_NO_CALLBACK，不對該IRP請求進(jìn)行處理同時(shí)也不會調(diào)用該過濾驅(qū)動(dòng)的后操作回調(diào)函數(shù).

圖4 文件保護(hù)工作流程Fig.4 File protection workflow

2.4 主動(dòng)防御

主動(dòng)防御模塊主要負(fù)責(zé)文件保護(hù)模塊與行為規(guī)則學(xué)習(xí)模塊之間的聯(lián)動(dòng)，通過讀取行為學(xué)習(xí)模塊生成的檢測規(guī)則判斷程序是否為勒索軟件，然后決定是否還原備份文件，各個(gè)模塊緊密耦合聯(lián)動(dòng)，主動(dòng)防御模塊與其它模塊交互，如圖5所示.主要功能為文件監(jiān)控、勒索軟件檢測與清除，模塊具體實(shí)現(xiàn)分為應(yīng)用層與內(nèi)核層驅(qū)動(dòng)模塊，應(yīng)用層負(fù)責(zé)根據(jù)文件行為規(guī)則檢測程序是否為勒索軟件，內(nèi)核層負(fù)責(zé)文件行為監(jiān)控與清除勒索軟件.

圖5 主動(dòng)防御與其他模塊的關(guān)系

為減小因監(jiān)控文件操作對系統(tǒng)效率的影響，對于耗時(shí)的操作，如計(jì)算寫入信息熵利用單獨(dú)內(nèi)核線程異步計(jì)算，記錄完成后直接將記錄結(jié)果發(fā)往應(yīng)用層統(tǒng)一處理.歸一化因子主要包括當(dāng)前系統(tǒng)文件及文件夾總數(shù)，在文件監(jiān)控模塊啟動(dòng)時(shí)通過單獨(dú)內(nèi)核線程遍歷當(dāng)前磁盤，獲得當(dāng)前系統(tǒng)文件及文件夾總數(shù)量.為防止勒索軟件通過創(chuàng)建大量文件及文件夾的方式影響分類特征，歸一化因子非實(shí)時(shí)更新，采用定期更新的方式，間隔時(shí)間為30 min.

應(yīng)用層在接收到內(nèi)核層發(fā)送的程序文件操作信息后根據(jù)進(jìn)程名及進(jìn)程號，對各個(gè)進(jìn)程的文件操作進(jìn)行特征處理.

3 測試評估與分析

搭建測試環(huán)境時(shí)，勒索軟件文件行為獲取環(huán)境基于Cuckoo沙盒及文件記錄模塊搭建而成[22]，沙盒會模擬用戶操作鼠標(biāo)等.虛擬機(jī)中的操作系統(tǒng)為Windows 7(x64)，系統(tǒng)中初始安裝常用軟件，如瀏覽器、辦公軟件等并放入常用文件如doc、jpg等，環(huán)境盡量接近真實(shí)使用的計(jì)算機(jī)，每次執(zhí)行60 min， 執(zhí)行完后取出文件行為日志并恢復(fù)虛擬機(jī)快照.

本文收集到542個(gè)正常程序和6種勒索軟件家族共計(jì)244個(gè)勒索軟件樣本文件行為特征，勒索軟件本主要來自VirusShare、Malwr及相關(guān)安全論壇收集，最終的244個(gè)樣本均為存活的勒索軟件樣本，勒索軟件樣本分布及特征記錄情況如表3所示.

表3 勒索軟件樣本分布及特征記錄

圖6 文件行為特征記錄Fig.6 Document behavior record

3.2 分類檢測評估

以進(jìn)程為單位提取其文件行為5元組特征，包括文件寫頻率、文件讀頻率、文件夾遍歷頻率、修改文件屬性頻率及文件平均寫入熵值，最終經(jīng)過處理的文件行為5元組{R,W,D,S,E}的特征格式如圖6所示，最后一位為標(biāo)識位，1表示勒索軟件進(jìn)程，0表示正常軟件進(jìn)程.

表4 檢測實(shí)驗(yàn)結(jié)果

因?yàn)樘崛〉降奈募袨樘卣骷^小，所以未選擇對樣本集要求較大的分類算法，如k鄰近算法等.對提取到的特征集合分別采用支持向量機(jī)、決策樹、樸素貝葉斯及隨機(jī)森林方法進(jìn)行訓(xùn)練，采用10折交叉驗(yàn)證對基于文件行為統(tǒng)計(jì)異常的訓(xùn)練生成的分類器進(jìn)行驗(yàn)證，設(shè)勒索軟件為陽性，正常軟件為陰性，最終驗(yàn)證結(jié)果如表4所示.

使用sklearn.metrics提供的roc_curve方法，做出10折交叉驗(yàn)證ROC曲線如圖7所示.

通過表4的分類效果及圖7的ROC曲線，表明測試所使用的分類算法對特征都具有較好的分類效果，準(zhǔn)確率均達(dá)到0.96以上且FPR均控制在0.03以下.支持向量機(jī)與決策樹取得了相同的TPR值，但是其FPR值達(dá)到了0.029.從實(shí)驗(yàn)結(jié)果可知，樸素貝葉斯效果最不理想.這是由于各個(gè)特征存在一定的相關(guān)性，而樸素貝葉斯算法假定各個(gè)特征獨(dú)立不相關(guān)，模型較為簡單，不能學(xué)習(xí)各個(gè)文件特征之間的相關(guān)性，所以有較低的TPR和較高的FPR值，而在隨機(jī)森林算法中，這個(gè)問題得到一定緩解.在準(zhǔn)確率和 TPR值上，隨機(jī)森林有著最好的結(jié)果，但是Bagging集成算法有著更低的FPR為1.2%.在惡意代碼檢測實(shí)踐中，更低的FPR意味著更少的漏報(bào).由于與勒索軟件對抗過程中，少量的漏報(bào)也能帶來巨大的數(shù)據(jù)損失，從而在實(shí)際應(yīng)用中算法集成方法具有減少風(fēng)險(xiǎn)的良好效果.

圖7 檢測分類結(jié)果10折ROC曲線Fig.7 10-fold ROC curve of detection classification results

在10折ROC曲線圖中，所有分類算法的AUC均值都在0.97以上，與表4中反應(yīng)的結(jié)果一樣，所有算法都有不錯(cuò)的效果.但是不同算法的10折ROC曲線的變化不同，由于隨機(jī)森林算法為集成算法，內(nèi)部采用多顆決策樹進(jìn)行分類學(xué)習(xí).最后，采用所有分類結(jié)果最多的類作為最后的結(jié)果，算法容錯(cuò)能力較好，因此分類結(jié)果波動(dòng)較小.而其他算法均為非集成分類算法，分類容錯(cuò)能力較差，而造成這個(gè)問題的根本原因是由于勒索軟件樣本中存在一些有注入行為的樣本，導(dǎo)致以進(jìn)程為單位進(jìn)行篩選勒索軟件文件行為特征時(shí)出現(xiàn)錯(cuò)誤，使最終訓(xùn)練集合中出現(xiàn)了噪聲數(shù)據(jù)，影響了其他分類算法的分類效果.

3.3 文件保護(hù)測試

在實(shí)驗(yàn)1進(jìn)行勒索軟件檢測測試的同時(shí)，同步測試文件備份還原功能，在測試系統(tǒng)中部署783個(gè)勒索軟件常用攻擊文件并保存初始md5值，在測試后還原被加密的文件，最后經(jīng)過分析所有文件都被正確還原，ARS保護(hù)文件保護(hù)文件能力達(dá)到100%.然后對文件保護(hù)功能進(jìn)行安全性測試，保證備份空間不被其它應(yīng)用程序訪問、修改及刪除操作，測試是將C:SafeDrive設(shè)置為備份空間，測試過程和結(jié)果如表5所示.

表5 文件保護(hù)攻擊測試

3.4 系統(tǒng)性能測試

ARS系統(tǒng)主要通過在文件系統(tǒng)驅(qū)動(dòng)層上添加一層過濾驅(qū)動(dòng)層實(shí)現(xiàn)監(jiān)控文件操作，所有的文件操作IRP均要通過文件過濾驅(qū)動(dòng)，因此效率測試實(shí)驗(yàn)主要通過在安裝ARS原型系統(tǒng)及未安裝ARS原型系統(tǒng)進(jìn)行相關(guān)文件操作，最后對比所需要的時(shí)間，對比安裝ARS后對系統(tǒng)文件操作效率的影響，具體實(shí)驗(yàn)及實(shí)驗(yàn)結(jié)果如圖8所示.

在圖8中，安裝ARS原型系統(tǒng)后，由于會對系統(tǒng)文件操作進(jìn)行監(jiān)控，相比原系統(tǒng)有一定效率損失，但是因?yàn)閷臅r(shí)操作均使用單獨(dú)的內(nèi)核線程執(zhí)行，因此對系統(tǒng)總體效率影響不大，全部測試文件操作時(shí)間增加7.9%，但是分散到每一個(gè)文件的帶來的效率損失幾乎可以忽略不計(jì)，能保證加載ARS模塊后的系統(tǒng)可用性.

圖8 ARS原型系統(tǒng)對文件操作效率測試Fig.8 ARS System operation efficiency test

4 結(jié) 論

本文針對勒索軟件的危害和防御檢測存在的問題，提出一種基于文件行為的勒索軟件主動(dòng)防御框架ARS，在運(yùn)行時(shí)利用監(jiān)控到的程序文件行為檢測勒索軟件并對其修改的文件進(jìn)行備份保護(hù)，降低因?yàn)槔账鬈浖羲斐傻膿p失.根據(jù)設(shè)計(jì)ARS勒索軟件主動(dòng)防御框架開發(fā)原型系統(tǒng)并進(jìn)行相關(guān)測試，測試結(jié)果表明，ARS能夠有效檢測勒索軟件，恢復(fù)被修改的文件，并且對系統(tǒng)效率影響較小.在未來的工作中將對框架改進(jìn)以適用對文件的緩慢攻擊類的勒索軟件檢測，同時(shí)增加區(qū)分勒索軟件和正常加密軟件的機(jī)制.