基于內核指令檢測技術的勒索病毒防護研究
網絡安全與數據治理
靳京
奇安信網神信息技術(北京)股份有限公司
摘要: 勒索病毒的核心和本質是對數據的加密操作,其在內核指令級的序列特征相對固定并有規律可循。對典型加密算法核心指令的基礎特征進行了歸納和建模,形成基于特定CPU體系架構的典型加密算法匯編語言指令集。同時,采用基于Trie的遞歸行進算法對內存中指令代碼序列進行動態解析分析,對運行中的加密算法指令及其序列特征進行匹配檢測,可對典型加密算法核心操作實現指令級的實時監測和預警,從而提高對勒索病毒攻擊過程中防護的準確性和有效性。實驗證明,在某ARM架構平臺中對使用特定加密算法指令的勒索病毒具有良好的檢測效果。
中圖分類號:TP309.5文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2025.08.002
引用格式:靳京. 基于內核指令檢測技術的勒索病毒防護研究[J].網絡安全與數據治理,2025,44(8):10-16.
引用格式:靳京. 基于內核指令檢測技術的勒索病毒防護研究[J].網絡安全與數據治理,2025,44(8):10-16.
Research on ransomware protection based on kernel instruction detection technology
Jin Jing
Qi′anxin Wangshen Information Technology (Beijing) Co., Ltd.
Abstract: The core and essence of ransomware is the encryption operation of data. Its sequence characteristics at the kernel instruction level are relatively fixed and regular. The basic features of the core instructions of typical encryption algorithms are summarized and modeled to form a typical encryption algorithm assembly language instruction set based on a specific CPU architecture. At the same time, a Trie-based recursive marching algorithm is used to dynamically parse and analyze the instruction code sequence in memory, match and detect the running encryption algorithm instructions and their sequence characteristics. It can achieve real-time monitoring and early warning of the core operations of typical encryption algorithms at the instruction level, thereby improving the accuracy and effectiveness of protection against ransomware attacks. Experimental results have shown that it has a good detection effect on ransomware viruses using specific encryption algorithm instructions on a certain ARM architecture platform.
Key words : instruction detection; recursive marching algorithm; ransomware protection; cybersecurity
引言
近年來,勒索病毒的廣泛傳播逐步成為網絡安全威脅的重要組成和發展趨勢,且其攻擊仍保持著強勁增長勢頭,同時已有從傳統的加密勒索向數據泄露轉變的跡象,對廣大企業正常經營和社會穩定造成嚴峻挑戰。
根據NCC Group的數據,2024年共發生了不少于5 263起成功攻擊,成為勒索軟件攻擊數量最多的一年[1]。Chainalysis的報告顯示,數據泄露網站上的披露數量也不斷上升[1]。世界財富50強企業、美國藥品分銷巨頭Cencora甚至向“黑暗天使”(Dark Angels)勒索軟件組織支付了創紀錄的7 500萬美元(約合人民幣5.28億元)[1]。
相應地,越來越多網絡安全企業投入到了反勒索病毒的技術和產品研發之中。然而,目前針對勒索病毒軟件的防護思路主要集中在依靠監測勒索攻擊的準備和投遞環節,結合威脅情報,在病毒攻擊的前期滲透階段進行預警和阻斷[2-3],而對于攻擊進行中的實時檢測和分析機制相對較少,特別是針對勒索病毒的本質和核心技術[4]——加密行為的指令級監測和預警方法尚未見提及和應用。
根據對已知勒索病毒軟件技術原理和攻擊過程的研究,勒索攻擊前期的準備和投遞環節主要體現為滲透擴散、遍歷檢索、代碼偽裝等行為,病毒不斷進行相應調整和改變生成新的變種,以應對主流的檢測方法,但其核心加密算法卻不會出現大的變化。因而對核心加密行為的識別和攔截才是對病毒攻擊中期的防護關鍵。
本文詳細內容請下載:
http://www.shi-ke.cn/resource/share/2000006645
作者信息:
靳京
(奇安信網神信息技術(北京)股份有限公司,北京100085)
此內容為AET網站原創,未經授權禁止轉載。