譚昕，周安民，張磊，陳航

（1.四川大學(xué)電子信息學(xué)院，成都 610065；2.四川無聲信息技術(shù)有限公司，成都 610041）

基于機(jī)器學(xué)習(xí)的Mac OS平臺加密勒索軟件主動(dòng)防御方案

譚昕1，周安民1，張磊2，陳航2

（1.四川大學(xué)電子信息學(xué)院，成都 610065；2.四川無聲信息技術(shù)有限公司，成都 610041）

近年來，由加密型勒索軟件引起的網(wǎng)絡(luò)安全事件的數(shù)量大幅度增長，受害者廣布全球。加密型勒索軟件采用高強(qiáng)度加密算法對用戶文件加密，目前對加密型勒索軟件沒有可靠的事前防御和檢測措施，用戶數(shù)據(jù)一旦被勒索軟件加密，傳統(tǒng)的反病毒軟件無能為力。為了解決以上問題，從惡意軟件主動(dòng)防御的思想出發(fā)，提出一種基于機(jī)器學(xué)習(xí)的針對加密型勒索軟件的防御方案，并在Mac OS平臺實(shí)現(xiàn)。通過對程序的實(shí)時(shí)行為監(jiān)控，從文件操作行為的關(guān)鍵數(shù)據(jù)中提取多種特征，采用不同的分類方法對加密數(shù)據(jù)和正常數(shù)據(jù)進(jìn)行識別，捕捉加密型勒索軟件行為，并采取相應(yīng)的控制手段。

勒索軟件；文件加密；機(jī)器學(xué)習(xí)；主動(dòng)防御；行為監(jiān)控；Mac OS平臺

0 引言

勒索軟件是一種特殊的惡意軟件，通常以木馬病毒的形式傳播，與常規(guī)惡意軟件最大的不同在于其行為。勒索軟件在受害者計(jì)算機(jī)上運(yùn)行起來以后，會(huì)通過鎖定操作系統(tǒng)或加密計(jì)算機(jī)上的檔案數(shù)據(jù)等手段影響受害者的正常使用，并要求受害者支付贖金以恢復(fù)操作系統(tǒng)或檔案數(shù)據(jù)。2013年，利用難以追蹤的比特幣進(jìn)行勒索的勒索軟件CryptoLocker出現(xiàn)以后，由勒索軟件引起的安全事件數(shù)量得到爆發(fā)式的增長。

在本研究中，我們以高表達(dá)her-2的NCI-N87胃癌細(xì)胞株為研究對象，通過研究不同濃度的槐耳清膏在處理細(xì)胞不同時(shí)間后，對NCI-N87細(xì)胞增殖、凋亡及相關(guān)自噬蛋白表達(dá)的影響。

勒索軟件就其行為可以分為非加密型勒索軟件和加密型勒索軟件。非加密型勒索軟件鎖定受害者計(jì)算機(jī)，影響其正常使用，這種鎖定可以通過各種技術(shù)手段進(jìn)行恢復(fù)。加密型勒索軟件采用加密算法，對受害者的檔案、郵件、圖片等數(shù)據(jù)進(jìn)行加密，傳統(tǒng)的惡意軟件檢測方法無法應(yīng)對此行為，而對于受害者來說，破解高強(qiáng)度加密算法是徒勞無功的。目前針對加密型勒索軟件的防御技術(shù)主要有構(gòu)建社會(huì)關(guān)系模型[1]和蜜罐技術(shù)[2]，能夠防御已存在的加密勒索軟件，但是都有被其變種繞過的風(fēng)險(xiǎn)。

鑒于以上問題，本文設(shè)計(jì)了一種基于機(jī)器學(xué)習(xí)的針對加密型勒索軟件的主動(dòng)防御模塊，并在Mac OS平臺上進(jìn)行初步實(shí)現(xiàn)。從程序?qū)ξ募牟僮餍袨橹刑崛「鞣N特征出發(fā)，訓(xùn)練穩(wěn)定的行為判別模型，在對文件操作的實(shí)時(shí)監(jiān)控中利用該模型鑒別正常行為和異常行為，并對異常行為做出反應(yīng)。

1 關(guān)鍵技術(shù)

1.1 基本思想

由于最近我認(rèn)真復(fù)習(xí)，模擬考試一連幾次都是“優(yōu)”，尤其是數(shù)學(xué)，連考了好幾次一百分。我想：只要自己繼續(xù)努力，期末一定能考出好成績。想到這些，我的心里甜甜的。

加密型勒索軟件執(zhí)行在普通用戶權(quán)限下就可以完成其行為，且目的性極強(qiáng)。所有加密型勒索軟件都是以要求受害者支付贖金為最終目的，對用戶的文檔或圖片等文件進(jìn)行加密。加密型勒索軟件的關(guān)鍵行為是對文件的操作，主要是對文件內(nèi)容的加密和對原始文件的改寫或破壞。根據(jù)這個(gè)特點(diǎn)，本文采用基于機(jī)器學(xué)習(xí)[3-4]的分類方法識別文件操作中的加密行為和正常行為，并在主動(dòng)防御控制模塊設(shè)置相關(guān)策略，監(jiān)控程序?qū)ξ募母膶懟蚱茐男袨椤?/p>

為了區(qū)分程序的加密行為和正常行為，首先需要提取能夠描述其行為的關(guān)鍵數(shù)據(jù)[5]。關(guān)鍵數(shù)據(jù)可歸納為關(guān)系描述元素和數(shù)據(jù)描述元素兩類。關(guān)系描述元素是能夠表述程序執(zhí)行流程或依賴關(guān)系的元素，如函數(shù)調(diào)用序列、程序控制流程、數(shù)據(jù)依賴關(guān)系等。數(shù)據(jù)描述元素是程序執(zhí)行流程中實(shí)際操作的數(shù)據(jù)，如程序執(zhí)行的系統(tǒng)調(diào)用及其參數(shù)、程序?qū)ο到y(tǒng)資源的操作情況等。根據(jù)程序的關(guān)系描述元素提取特征并訓(xùn)練有效的判別模型通常需要對大量的樣本程序進(jìn)行系統(tǒng)性的分析，考慮到目前勒索軟件樣本數(shù)量較少的情況，本文將關(guān)鍵數(shù)據(jù)定位為程序執(zhí)行關(guān)鍵系統(tǒng)調(diào)用的數(shù)據(jù)元素。對加密型勒索軟件來說即是程序執(zhí)行文件操作中的數(shù)據(jù)，通過提取文件操作過程中所操作數(shù)據(jù)的多個(gè)特點(diǎn)作為區(qū)別加密數(shù)據(jù)和非加密數(shù)據(jù)的主要特征[6]。

模8校驗(yàn)根據(jù)絕大部分加密算法的密鑰長度是一個(gè)8字節(jié)的倍數(shù)這個(gè)特點(diǎn)對文件數(shù)據(jù)的長度進(jìn)行特征提取。主要衡量兩個(gè)指標(biāo)：數(shù)據(jù)經(jīng)過操作以后字節(jié)長度是否是8的倍數(shù)，數(shù)據(jù)經(jīng)過操作以后字節(jié)長度改變量是否是8的倍數(shù)。采用模8校驗(yàn)的布爾型結(jié)果作為數(shù)據(jù)是否被加密的一個(gè)輔助特征。

2.3 訓(xùn)練結(jié)果

控制模塊通過監(jiān)控程序執(zhí)行過程中的關(guān)鍵系統(tǒng)調(diào)用獲取其行為[7-8]，控制策略捕捉對文件的改寫或破壞行為，根據(jù)判別模型判定程序行為是否異常，并采取對應(yīng)的措施。為了保證時(shí)效性，主動(dòng)防御模塊作為內(nèi)核擴(kuò)展運(yùn)行在ring0級權(quán)限。

馬克思主義群眾史觀的確立為國際共產(chǎn)主義運(yùn)動(dòng)指明了方向，一個(gè)半世紀(jì)以來，在東西方的無產(chǎn)階級革命斗爭中、在“三個(gè)國際”的奮斗歷程中充分展示了理論魅力和實(shí)踐效應(yīng)。與此同時(shí)，馬恩的后繼者們也在不斷地進(jìn)行著把馬克思主義群眾史觀與本國國情相結(jié)合的具體化工作，不斷豐富和發(fā)展著馬克思主義的群眾史觀。到目前為止，馬克思主義群眾史觀的共識性理念已基本形成，具體來說，主要包括以下三個(gè)方面：

1.2 模塊架構(gòu)

本文選取J48決策樹，SVM兩種主流分類方法對樣本數(shù)據(jù)進(jìn)行分類與識別，以兩種分類方法的準(zhǔn)確度、靈敏度、特異度三種評價(jià)指標(biāo)作為為主動(dòng)防御模塊選取分類策略的依據(jù)。在本實(shí)驗(yàn)中，準(zhǔn)確率反映的是分類器對全部樣本的綜合判別性能，靈敏度反映的是分類器預(yù)測非加密數(shù)據(jù)為非加密數(shù)據(jù)的能力，特異度反映的是分類器預(yù)測加密數(shù)據(jù)為加密數(shù)據(jù)的能力。

圖1 主動(dòng)防御模塊架構(gòu)

2 數(shù)據(jù)分類與識別

良好的板書設(shè)計(jì)能力，能夠讓教師的課更加受學(xué)生歡迎。誰都會(huì)喜歡美觀、設(shè)計(jì)感強(qiáng)的東西。如果教師的板書在內(nèi)容上高度概括，在語言上簡潔明了，在書寫上清晰整潔，在形式上具有審美價(jià)值，那么學(xué)生便會(huì)更加喜歡上課，同時(shí)教師在無形中也會(huì)給學(xué)生起到潛移默化的示范作用。

為了便于特征提取，本文以加密型勒索軟件的主要目標(biāo)文件對象作為數(shù)據(jù)樣本。樣本正例為包括壓縮文件在內(nèi)的正常文件，具體為大小、數(shù)量均勻的.ppt、. pptx、.doc、.docx、.pdf、.xls、.xlsx、.csv、.jpg、.png、.gif等多種擴(kuò)展類型的檔案數(shù)據(jù)類文件1200個(gè)以及對這些文件采用gzip、bzip、lzma壓縮算法進(jìn)行壓縮以后的文件總計(jì)4800個(gè)。反例為對原始文件數(shù)據(jù)進(jìn)行AES、DES、RSA不同位數(shù)秘鑰加密算法進(jìn)行加密以后的加密文件4800個(gè)，采用交叉驗(yàn)證的方法進(jìn)行分類與測試。

小學(xué)老師都有一顆長不大的心，只有這樣才能和小學(xué)生親近。小學(xué)生都是好動(dòng)的。在課堂上，他們不會(huì)放棄一點(diǎn)點(diǎn)可以動(dòng)的機(jī)會(huì)，那么老師就可以充分運(yùn)用小學(xué)生的這一點(diǎn)心理，在動(dòng)中教會(huì)他們知識。如在漢語拼音第6課教j、q、x的兒歌時(shí)，老師可以和學(xué)生一起做動(dòng)作來加深印象：星期天（一起做7的手勢），洗衣裳（做兩手搓衣服的動(dòng)作）；洗衣機(jī)，嗡嗡響（加入手指轉(zhuǎn)動(dòng)的動(dòng)作）；媽媽洗衣，我?guī)兔Γ▋墒址旁谛乜?，做“我”的?dòng)作）。除了動(dòng)作，面部表情也蘊(yùn)含了大量的情感信息，老師和學(xué)生一起運(yùn)用表情和動(dòng)作來增進(jìn)課堂教學(xué)的情感交流，使拼音教學(xué)課堂充滿生機(jī)！

表1 樣本正例類別及數(shù)量

表2 樣本反例類別及數(shù)量

2.2 特征提取

本文從多個(gè)角度以提取信息量、卡方校驗(yàn)、蒙特卡羅方法、模8校驗(yàn)這4種方法提取每個(gè)文件數(shù)據(jù)的結(jié)構(gòu)特征。

信息量即熵，對文件數(shù)據(jù)來說就是通過統(tǒng)計(jì)數(shù)據(jù)內(nèi)容中每個(gè)字符出現(xiàn)的數(shù)量來反映該文件的信息密度。計(jì)算熵的公式如式（1）所示。

根據(jù)表4所示的分類結(jié)果可知，采用J48和SVM分類算法識別加密數(shù)據(jù)和非加密數(shù)據(jù)的準(zhǔn)確率都達(dá)到了95%以上，比較可靠。而從主動(dòng)防御思想的關(guān)鍵指標(biāo)特異性的角度來說，SVM分類算法要優(yōu)于J48分類算法。

在重慶，沙千里曾與何懼創(chuàng)辦工廠，并曾任建國機(jī)器廠經(jīng)理、建成實(shí)業(yè)公司經(jīng)理、和春麥粉廠經(jīng)理等職，與重慶的工商界有一定的聯(lián)系。當(dāng)時(shí)重慶的不少中、小資本家對“四大家族”的壓迫和吞并十分不滿，沙千里就團(tuán)結(jié)他們反對國民黨腐敗的經(jīng)濟(jì)制度。沙千里還組織基層公務(wù)員和企業(yè)職工討論物價(jià)上漲、生活困難的原因，指明這是和“四大家族”在經(jīng)濟(jì)上的掠奪有密切關(guān)系。

蒙特·卡羅方法是一種基于概率統(tǒng)計(jì)理論的一類數(shù)值計(jì)算方法，主要是利用隨機(jī)數(shù)以一種“部分估計(jì)整體”的思想來解決計(jì)算問題，往往用于求解某種隨機(jī)事件出現(xiàn)的概率，或者是某個(gè)隨機(jī)變量的期望值。本文利用蒙特·卡羅求解π的思想來提取數(shù)據(jù)中字節(jié)分布的隨機(jī)性特征。將文件中的數(shù)據(jù)按字節(jié)分為X={x1，x2，x3，…，xn}和Y={y1，y2，y3，…，yn}兩個(gè)序列作為坐標(biāo)集，統(tǒng)計(jì)位于半徑為字節(jié)排列總數(shù)256的單位圓內(nèi)的坐標(biāo)個(gè)數(shù)，記為C，若X和Y為高隨機(jī)性序列，則C近似于nπ/4。因此由（3）式可以計(jì)算C與的偏差，偏差越低表明該數(shù)據(jù)的字節(jié)分布越隨機(jī)。

例如，我在高中數(shù)學(xué)基本初級函數(shù)的第一課指數(shù)函數(shù)教學(xué)中就運(yùn)用了微課程。在網(wǎng)絡(luò)上找到優(yōu)秀的相關(guān)內(nèi)容教學(xué)視頻并下載下來，在課堂教學(xué)中適時(shí)地加以利用。比傳統(tǒng)的板書教學(xué)更加形象和容易讓學(xué)生接受，學(xué)生很快就熟練掌握了函數(shù)的定義圖像等知識點(diǎn)。并且微視頻短小精悍，內(nèi)容直奔主題，收放自如，對于教學(xué)中重點(diǎn)知識又能給予充足且詳細(xì)的講解。指數(shù)函數(shù)課堂教學(xué)中使用微課程取得了非常明顯的成果，學(xué)生也更愿意接受這樣的方式。

對提取出來的每個(gè)特征計(jì)算信息增益以衡量其對分類效果的貢獻(xiàn)程度。信息增益被廣泛用于特征篩選，其計(jì)算公式下：

在（4）式中，H為式（1）中的熵函數(shù)，X表示樣本集，Z表示一個(gè)特征。一個(gè)特征的信息增益可以直觀表示該特征對分類算法提供了多少信息，簡而言之，若特征Z對分類效果毫無貢獻(xiàn)，即Z與X相互獨(dú)立，H（X）= H（X|Z），則特征Z不會(huì)為分類算法提供任何信息，即信息增益為0。

diff=(parent_diff+(parent_diff/2048 * max(1- (block_timestampparent_timestamp)/10,-99)))+ 2^(periodCount-2)

表3為對9600個(gè)樣本計(jì)算每種特征方法所提取特征的信息增益?？梢钥吹剑@些特征都對分類效果有一定貢獻(xiàn)程度，都反映出了加密數(shù)據(jù)和非加密數(shù)據(jù)的差異，其中以信息量最為顯著。

第二，電永磁吸附式上部裝配平臺：電永磁吸附式上部平臺（見圖1右側(cè)部分）主要用于搭接及對接激光焊接試驗(yàn)，可以實(shí)現(xiàn)厚度為3mm+2mm或以上組合不銹鋼搭接試板的壓緊。電永磁吸盤通過螺栓連接固定在下部支撐框架平臺上，連接可靠拆卸方便。導(dǎo)磁塊安裝于電永磁吸盤上，安裝好后進(jìn)行整體加工，加工后導(dǎo)磁塊厚度為20mm，最后進(jìn)行表面鍍鉻處理。鍍鉻處理后，鍍層附著良好，不會(huì)出現(xiàn)脫落剝離現(xiàn)象。

表3 特征的信息增益

本文的學(xué)術(shù)貢獻(xiàn)有3點(diǎn)：第一，研究視角上，專門論證了簽證政策對入境旅游的影響，從而為簽證政策的進(jìn)一步改革提供理論支撐；第二，研究內(nèi)容上，對過境免簽政策進(jìn)行梳理并進(jìn)行有效性論證，分析過境免簽政策的動(dòng)態(tài)效應(yīng)及其在時(shí)間上的變化趨勢；第三，研究方法上，首次將更為前沿的傾向得分匹配—雙重差分法（PSM-DID）引入旅游政策的論證中，有助于推進(jìn)旅游管理與旅游經(jīng)濟(jì)研究的深入開展。本文后續(xù)安排如下：第二部分概述過境免簽政策并確定研究對象；第三部分進(jìn)行研究設(shè)計(jì)；第四部分為實(shí)證結(jié)果；第五部分為結(jié)論和建議。

主動(dòng)防御模塊的基本框架如圖1所示，模塊主要分為兩個(gè)階段：訓(xùn)練階段和控制階段。訓(xùn)練階段主要完成對樣本數(shù)據(jù)的特征提取和對樣本的訓(xùn)練，其中特征提取部分選取多種方法提取所需的特征，以便于分類算法訓(xùn)練分類器，方法包括提取信息量、卡方校驗(yàn)[9]、蒙特卡羅方法[10]、模8校驗(yàn)。樣本訓(xùn)練部分根據(jù)樣本特征通過多分類算法訓(xùn)練、集成分類器?？刂齐A段即監(jiān)控程序的文件操作行為，模塊采取系統(tǒng)調(diào)用表劫持和Mac OS平臺固有的內(nèi)核授權(quán)系統(tǒng)（Kauth）結(jié)合的方案。系統(tǒng)調(diào)用表是內(nèi)核系統(tǒng)調(diào)用的地址索引集合，程序運(yùn)行期間產(chǎn)生的各種操作一般都要通過內(nèi)核系統(tǒng)調(diào)用來實(shí)現(xiàn)，因此，通過修改系統(tǒng)調(diào)用表文件操作相關(guān)的系統(tǒng)調(diào)用函數(shù)地址為主動(dòng)防御模塊函數(shù)地址來使主動(dòng)防御模塊接管內(nèi)核系統(tǒng)調(diào)用，達(dá)到監(jiān)控和阻止異常行為的目的?；蛘咄ㄟ^內(nèi)核授權(quán)系統(tǒng)標(biāo)記不可信程序，盡量減少了系統(tǒng)負(fù)擔(dān)。

將2.2節(jié)描述的4種特征作為組合特征，采用10折交叉驗(yàn)證進(jìn)行分類。分類結(jié)果如表4所示：

表4 分類結(jié)果

卡方校驗(yàn)主要用于統(tǒng)計(jì)樣本的實(shí)際觀測值與理論推斷值之間的偏離程度，實(shí)際觀測值與理論推斷值之間的偏離程度就決定卡方值的大小?？ǚ綑z驗(yàn)根據(jù)樣本構(gòu)造統(tǒng)計(jì)量，再由卡方分布建立檢驗(yàn)規(guī)則。統(tǒng)計(jì)學(xué)家卡爾·皮爾遜提出的卡方檢驗(yàn)統(tǒng)計(jì)量公式如式（2）所示，其中pi為由理論分布確定的個(gè)體概率，則npi為樣本的理論頻數(shù)，fi為樣本實(shí)際頻數(shù)，該統(tǒng)計(jì)量服從自由度為k-1的卡方分布。本文對實(shí)際文件中的字節(jié)數(shù)據(jù)進(jìn)行卡方校驗(yàn)以提取能夠體現(xiàn)加密數(shù)據(jù)和非加密數(shù)據(jù)差異性的關(guān)鍵特征。

3 主動(dòng)防御模塊

3.1 實(shí)現(xiàn)流程

主動(dòng)防御模塊的功能實(shí)現(xiàn)分為兩個(gè)階段：事件標(biāo)記階段和行為控制階段。流程如圖2所示：

第1步模塊初始化，構(gòu)造白名單列表和監(jiān)聽列表。檢測系統(tǒng)中二進(jìn)制可執(zhí)行文件是否具有官方簽名，將有官方簽名的可執(zhí)行文件添加至白名單列表。

制度不是掛在墻上看的，只有切切實(shí)實(shí)的執(zhí)行，才能真正見效。鄉(xiāng)鎮(zhèn)財(cái)政所要積極促進(jìn)資金監(jiān)管工作的有序開展，將分配涉及群眾切身利益的各項(xiàng)財(cái)政補(bǔ)助資金，切實(shí)納入涉農(nóng)資金公開范圍，公開分配結(jié)果，將資金使用情況公開化、透明化，接受群眾監(jiān)督。堅(jiān)持自查與整改相結(jié)合，建立健全事前、事中、事后相結(jié)合的監(jiān)督機(jī)制。倡導(dǎo)鄉(xiāng)鎮(zhèn)財(cái)政干部增強(qiáng)財(cái)經(jīng)法規(guī)意識，強(qiáng)化依法理財(cái)意識，自覺遵守財(cái)經(jīng)法紀(jì)。發(fā)現(xiàn)問題，嚴(yán)格責(zé)任追究，確保財(cái)政資金監(jiān)管的權(quán)威性。例如，針對這次巡查，泰安市對在巡查中發(fā)現(xiàn)的問題，及時(shí)研究解決處理意見，并對存在問題的單位下達(dá)整改通知書，發(fā)現(xiàn)涉及違紀(jì)違規(guī)的按相關(guān)規(guī)定辦理。同時(shí)，與審計(jì)、紀(jì)檢等部門建立巡查結(jié)果共享機(jī)制。

第2步事件標(biāo)記階段監(jiān)聽系統(tǒng)中所有程序的文件資源請求，根據(jù)白名單辨別其是否是系統(tǒng)合法程序。有文件資源請求的非白名單程序及其請求操作的目標(biāo)文件將被加入監(jiān)聽列表。

2.1 樣本選取

第3步行為控制階段對監(jiān)聽列表中的程序和程序操作目標(biāo)進(jìn)一步監(jiān)控，判斷其是否存在向操作目標(biāo)寫入加密數(shù)據(jù)或生成加密文件并破壞原始文件等符合加密型勒索軟件特點(diǎn)的可疑行為。

第4步如果未知程序存在第3步中的可疑行為，行為控制模塊立刻處理并隔離該程序。

第5步程序的文件操作行為結(jié)束以后，更新監(jiān)聽列表。

圖2 主動(dòng)防御模塊實(shí)現(xiàn)流程

3.2 事件標(biāo)記階段

為了降低誤報(bào)率和減少對系統(tǒng)造成的負(fù)擔(dān)，事件標(biāo)記階段根據(jù)系統(tǒng)程序白名單實(shí)時(shí)對系統(tǒng)中存在文件打開請求的程序進(jìn)行分類，并將無官方簽名的程序加入監(jiān)聽列表。這一階段的監(jiān)聽主要通過擴(kuò)展Mac OS系統(tǒng)的強(qiáng)制訪問控制框架中內(nèi)核授權(quán)子系統(tǒng)來實(shí)現(xiàn)。

強(qiáng)制訪問控制框架是Mac OS系統(tǒng)的一項(xiàng)安全特性[11]，限制特定進(jìn)程針對具體文件或資源的訪問權(quán)限，是Mac OS和iOS系統(tǒng)沙盒機(jī)制的基礎(chǔ)。內(nèi)核授權(quán)子系統(tǒng)最初是為了實(shí)現(xiàn)強(qiáng)制訪問控制框架中的訪問控制列表組件，訪問控制列表對程序的進(jìn)程跟蹤、文件操作、節(jié)點(diǎn)操作等訪問系統(tǒng)資源的請求進(jìn)行過濾，并根據(jù)策略拒絕非法資源請求或者授權(quán)合法資源請求。因此可以通過內(nèi)核授權(quán)系統(tǒng)的內(nèi)核接口擴(kuò)展訪問控制策略，以便于反病毒擴(kuò)展的開發(fā)。本文通過注冊監(jiān)聽器，擴(kuò)展內(nèi)核授權(quán)子系統(tǒng)以監(jiān)聽系統(tǒng)中所有程序?qū)ξ募Y源的句柄打開請求。

3.3 行為控制模塊

行為控制階段以程序的行為作為控制策略的核心，主要關(guān)注加密型勒索軟件的惡意行為，如向文件寫入加密數(shù)據(jù)或生成加密文件并破壞原始文件的行為。本文在Mac OS系統(tǒng)上通過修改系統(tǒng)調(diào)用表中文件操作類系統(tǒng)調(diào)用函數(shù)地址，接管相應(yīng)的內(nèi)核系統(tǒng)調(diào)用以對3.1節(jié)所述監(jiān)聽列表中程序的文件操作進(jìn)行監(jiān)控。對程序持續(xù)跟蹤，根據(jù)第3章所述的分類方法識別正常數(shù)據(jù)和加密數(shù)據(jù)，并在加密數(shù)據(jù)破壞原始文件之前主動(dòng)阻止，以達(dá)到主動(dòng)防御的目的。圖3以部分文件操作相關(guān)的系統(tǒng)調(diào)用為例展示行為控制模塊工作方式。

圖3 控制模塊工作方式

Mac OS系統(tǒng)為了防止內(nèi)核內(nèi)存被修改[13]主要采用了兩種保護(hù)機(jī)制，內(nèi)核地址隨機(jī)化和內(nèi)核內(nèi)存寫保護(hù)。內(nèi)核地址隨機(jī)化使系統(tǒng)在每次啟動(dòng)時(shí)，內(nèi)核空間加載在不同的基地址上，通過一個(gè)有效內(nèi)核地址遍歷內(nèi)核地址空間可以找到準(zhǔn)確的內(nèi)核基地址，比如通過指令rdmsr讀取MSR_IA32_LSTAR寄存器中保存的地址信息。內(nèi)核內(nèi)存寫保護(hù)防止內(nèi)核內(nèi)存被修改，可以通過修改控制寄存器CR0的寫保護(hù)位（WP位）以關(guān)閉。

本文采用Pedro Vilaca在2015年發(fā)布的概念證明性加密型勒索軟件Gopher對主動(dòng)防御模塊進(jìn)行測試。從系統(tǒng)控制臺中獲取的模塊日志信息如圖4所示，可以看到在程序?qū)σ粋€(gè)26KB的文件進(jìn)行操作的過程中，行為控制模塊的分析和控制過程總共額外耗時(shí)在5毫秒以內(nèi)，沒有給系統(tǒng)造成過多負(fù)擔(dān)。

圖4 系統(tǒng)日志信息

4 結(jié)語

本文從分析加密數(shù)據(jù)和非加密數(shù)據(jù)的信息量、差異性、隨機(jī)性等特點(diǎn)出發(fā)，采用機(jī)器學(xué)習(xí)中的決策樹，支持向量機(jī)兩種分類方法，基于惡意軟件主動(dòng)防御思想，提出了一種針對Mac OS平臺加密型勒索軟件的主動(dòng)防御方案，并進(jìn)行了初步的實(shí)現(xiàn)。實(shí)驗(yàn)和測試結(jié)果表明采用支持向量機(jī)分類方法對加密數(shù)據(jù)和非加密數(shù)據(jù)的分類有較高準(zhǔn)確度，主動(dòng)防御方案能夠以此識別加密型勒索軟件的文件加密行為，并在行為發(fā)生之前高效主動(dòng)阻斷加密型勒索軟件。

[1]Sittig D F,Singh H.A Socio-Technical Approach to Preventing,Mitigating,and Recovering from Ransomware Attacks[J].Applied Clinical Informatics,2016,7(2):624-632.

[2]Moore C.Detecting Ransomware with Honeypot Techniques[C].Cybersecurity and Cyberforensics Conference.2016:77-81.

[3]Pedregosa F,Varoquaux,Ga&#,Gramfort A,et al.Scikit-learn:Machine Learning in Python[J].Journal of Machine Learning Research, 2013,12(10):2825-2830.

[4]Rieck K,Trinius P,Willems C,et al.Automatic Analysis of Malware Behavior Using Machine Learning[J].Journal of Computer Security,2011,19(4):639-668.

[5]Wang R,Feng D G,Yang Y,et al.Semantics-Based Malware Behavior Signature Extraction and Detection Method[J].Journal of Software,2012,23(2):378-393.

[6]Ng W K,Ravishankar C V.Data Compression and Encryption System and Method Representing Records as Differences Between Sorted Domain Ordinals that Represent Field Values:US,US 5678043 A[P].1997.

[7]Nguyen N,Reiher P,Kuenning G H.Detecting Insider Threats by Monitoring System Call Activity[C].Information Assurance Workshop,2003.IEEE Systems,Man and Cybernetics Society.IEEE,2003:45-52.

[8]Jia C F,Zhong A M,Zhou X,et al.Research on Syscall-based Intrusion Detection Technology for Linux System[J].Application Research of Computers,2007,24(4):147-150.

[9]Fred B.Bryant,Albert Satorra.Principles and Practice of Scaled Difference Chi-Square Testing[J].Structural Equation Modeling A Multidisciplinary Journal,2012,19(3):372-398.

[10]Sen S K,Agarwal R P,Ali Shaykhian G.Golden Ratio Versus pi as Random Sequence Sources for Monte Carlo Integration[J].Mathematical&Computer Modelling An International Journal,2008,48(1-2):161-178.

[11]Levin J.Mac OS X and iOS Internals[J].Wiley John+Sons,2012.

[12]Wang F,Zhou D S.Design and Implementation of Active Defense System Based on White list[J].Computer Engineering&Design, 2011,32(7):2241-2240.

[13]Argyroudis P,Glynos D.Protecting the Core Kernel Exploitation Mitigations[J].

Ransomware Active Defense Method for Mac OS Platform Based on Machine Learning

TAN Xin1，ZHOU An-min1，ZHANG Lei2，CHEN Hang2

(1.College of Electronics Information Engineering,Sichuan University,Chengdu 610065；2.Silent Information Technology Co.,Ltd,Chengdu 610041)

In recent years,due to the rapidly increasing number of cyber security incidents caused by ransomware,the victims spreading worldwide. Ransomware uses high-intensity encryption algorithm to encrypt user’s files.There are no reliable pre-defense and detection measures for ransomware.The traditional anti-virus software is inability to do anything once user’s data is encrypted.In view of the above problems,based on the idea of active defense against malicious software,proposes an active defense method based on machine learning for ransomware and implements on the Mac OS platform.Extracts a variety of features from the key data information of the file operation behavior through the real-time behavior monitoring of the program,uses different classification methods to identify the encryption data and normal data,captures the behaviors of ransomware and takes corresponding control measures.

Ransomware;File Encryption;Machine Learning;Active Defense;Behavior Monitoring;Mac OS Platform

1007-1423（2017）04-0058-06

10.3969/j.issn.1007-1423.2017.04.013

譚昕（1990-），男，四川成都人，碩士研究生，研究方向?yàn)閻阂獯a檢測

2016-12-06

2017-01-19

周安民（1963-），男，四川成都人，研究員，研究方向?yàn)樾畔⑾到y(tǒng)安全保護(hù)技術(shù)