《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 基于內(nèi)核指令檢測技術的勒索病毒防護研究
基于內(nèi)核指令檢測技術的勒索病毒防護研究
網(wǎng)絡安全與數(shù)據(jù)治理
靳京
奇安信網(wǎng)神信息技術(北京)股份有限公司
摘要: 勒索病毒的核心和本質(zhì)是對數(shù)據(jù)的加密操作,其在內(nèi)核指令級的序列特征相對固定并有規(guī)律可循。對典型加密算法核心指令的基礎特征進行了歸納和建模,形成基于特定CPU體系架構的典型加密算法匯編語言指令集。同時,采用基于Trie的遞歸行進算法對內(nèi)存中指令代碼序列進行動態(tài)解析分析,對運行中的加密算法指令及其序列特征進行匹配檢測,可對典型加密算法核心操作實現(xiàn)指令級的實時監(jiān)測和預警,從而提高對勒索病毒攻擊過程中防護的準確性和有效性。實驗證明,在某ARM架構平臺中對使用特定加密算法指令的勒索病毒具有良好的檢測效果。
中圖分類號:TP309.5文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2025.08.002
引用格式:靳京. 基于內(nèi)核指令檢測技術的勒索病毒防護研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2025,44(8):10-16.
Research on ransomware protection based on kernel instruction detection technology
Jin Jing
Qi′anxin Wangshen Information Technology (Beijing) Co., Ltd.
Abstract: The core and essence of ransomware is the encryption operation of data. Its sequence characteristics at the kernel instruction level are relatively fixed and regular. The basic features of the core instructions of typical encryption algorithms are summarized and modeled to form a typical encryption algorithm assembly language instruction set based on a specific CPU architecture. At the same time, a Trie-based recursive marching algorithm is used to dynamically parse and analyze the instruction code sequence in memory, match and detect the running encryption algorithm instructions and their sequence characteristics. It can achieve real-time monitoring and early warning of the core operations of typical encryption algorithms at the instruction level, thereby improving the accuracy and effectiveness of protection against ransomware attacks. Experimental results have shown that it has a good detection effect on ransomware viruses using specific encryption algorithm instructions on a certain ARM architecture platform.
Key words : instruction detection; recursive marching algorithm; ransomware protection; cybersecurity

引言

近年來,勒索病毒的廣泛傳播逐步成為網(wǎng)絡安全威脅的重要組成和發(fā)展趨勢,且其攻擊仍保持著強勁增長勢頭,同時已有從傳統(tǒng)的加密勒索向數(shù)據(jù)泄露轉(zhuǎn)變的跡象,對廣大企業(yè)正常經(jīng)營和社會穩(wěn)定造成嚴峻挑戰(zhàn)。

根據(jù)NCC Group的數(shù)據(jù),2024年共發(fā)生了不少于5 263起成功攻擊,成為勒索軟件攻擊數(shù)量最多的一年[1]。Chainalysis的報告顯示,數(shù)據(jù)泄露網(wǎng)站上的披露數(shù)量也不斷上升[1]。世界財富50強企業(yè)、美國藥品分銷巨頭Cencora甚至向“黑暗天使”(Dark Angels)勒索軟件組織支付了創(chuàng)紀錄的7 500萬美元(約合人民幣5.28億元)[1]。

相應地,越來越多網(wǎng)絡安全企業(yè)投入到了反勒索病毒的技術和產(chǎn)品研發(fā)之中。然而,目前針對勒索病毒軟件的防護思路主要集中在依靠監(jiān)測勒索攻擊的準備和投遞環(huán)節(jié),結合威脅情報,在病毒攻擊的前期滲透階段進行預警和阻斷[2-3],而對于攻擊進行中的實時檢測和分析機制相對較少,特別是針對勒索病毒的本質(zhì)和核心技術[4]——加密行為的指令級監(jiān)測和預警方法尚未見提及和應用。

根據(jù)對已知勒索病毒軟件技術原理和攻擊過程的研究,勒索攻擊前期的準備和投遞環(huán)節(jié)主要體現(xiàn)為滲透擴散、遍歷檢索、代碼偽裝等行為,病毒不斷進行相應調(diào)整和改變生成新的變種,以應對主流的檢測方法,但其核心加密算法卻不會出現(xiàn)大的變化。因而對核心加密行為的識別和攔截才是對病毒攻擊中期的防護關鍵。


本文詳細內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006645


作者信息:

靳京

(奇安信網(wǎng)神信息技術(北京)股份有限公司,北京100085)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。