基于序列比对的勒索病毒同源性分析

doi:10.3969/j.issn.1006-2475.2018.02.001

计算机与现代化

• 网络与通信 • 下一篇

基于序列比对的勒索病毒同源性分析

（中国人民公安大学信息技术和网络安全学院,北京100076）

收稿日期:2017-08-07 出版日期:2018-03-08 发布日期:2018-03-09
作者简介:龚琪(1993-),女,湖南怀化人,中国人民公安大学信息技术和网络安全学院硕士研究生,研究方向:网络安全; 曹金璇(1968-),女,研究方向:网络安全; 芦天亮(1985-),男,讲师,研究方向:网络攻防,恶意代码。
基金资助:
国家重点研发计划“网络空间安全”重点专项(2017YFB0802804); 国家自然科学基金资助项目(61602489); 赛尔网络下一代互联网技术创新项目(NGII20160405)

Homology Analysis of Ransomware Based on Sequence Alignment

(School of Information Technology & Network Security, Peoples Public Security University of China, Beijing 100076, China)

Received:2017-08-07 Online:2018-03-08 Published:2018-03-09

摘要/Abstract

摘要： 勒索病毒近年来数量呈爆发式增长，但其中真正的新型家族并不多，多数为已有家族变种。通过研究恶意代码行为特征，提出一种基于序列比对的同源性分析方法。使用沙箱提取勒索病毒动态行为特征，抽取API调用类别，并进行编码、去重，结合序列比对算法计算不同恶意代码之间的相似性，从而分析同源性。数据集选取6类勒索家族及其变种。实验结果表明该方法能较好地分析勒索病毒同源性，并能很好地区分正常软件和勒索病毒。

关键词: 勒索软件, 动态检测, 沙箱, API序列, 序列比对

Abstract: The number of ransomware is increasing rapidly while few belong to new family, most of them are mutations. A new homologous analysis approach based on API sequence of ransomware is proposed. The paper uses sandbox to extract ransomwares dynamic behavior for analyzing API category, and then encodes the feature as well as removes the repetition. Also, the sequence alignment algorithm is used to calculate the similarity between different ransomware. The dataset for the experiment contains 6 different families of ransomware and their variants. The result shows that proposed method performs well in analyzing the homology of ransomware which can be used to distinguish unknown software.

Key words: ransomware, dynamic detection, sandbox, API sequence, sequence alignment

中图分类号:

TP393.08

龚琪,曹金璇,芦天亮. 基于序列比对的勒索病毒同源性分析[J]. 计算机与现代化, doi: 10.3969/j.issn.1006-2475.2018.02.001.

GONG Qi, CAO Jin-xuan, LU Tian-liang. Homology Analysis of Ransomware Based on Sequence Alignment[J]. Computer and Modernization, doi: 10.3969/j.issn.1006-2475.2018.02.001.

参考文献

1］ Sgandurra D，Muoz-González L， Mohsen R, et al. Automated dynamic analysis of ransomware: Benefits, limitations and use for detection［J］. Computer Science, 2016: arXiv:1609.03020.
［2］ Cyber Threat Alliance. Lucrative Ransomware Attacks: Analysis of the Cryptowall Version 3 Threat［EB/OL］. http://www.doc88.com/p-7714530017104.html, 2016-01-13.
［3］ McAfee. Part of Intel Security. McAfee Labs Threats Report: September［EB/OL］. https://www.mcafee.com/us/resou-rces/reports/rp-quarterly-threats-sep-2016.〖KG-*5〗pdf, 2016-09-30.
［4］ Altschul S F, Gish W, Miller W, et al. Basic local alignment search tool［J］. Journal of Molecular Biology, 1990,215(3):403-410.
［5］ Cohen J. Bioinformatics_an introduction for computer scientists［J］. ACM Computing Surveys (CSUR), 2004,36(2):122-158.
［6］ Yakup K. Automated detection and classification of malware used in targeted attacks via machine learning［D］. Bilkent University, 2015.
［7］ Kirda E. UNVEIL: A large-scale, automated approach to detecting ransomware (keynote)［C］// IEEE 24th International Conference on Software Analysis, Evolution and Reengineering. 2017:1.
［8］ Cho I K, Kim T G, Shim Y J, et al. Malware similarity analysis using API sequence alignments［J］. Journal of Internet Service and Information Security, 2014,4(4):103-114.
［9］ Kim H, Kim J, Kim I. Implementation of malware detection system based on behavioral sequences［C］// Security Technology 2016. 2016,139:348-353.
［10］Cho I K, Im E G. Malware family recommendation using multiple sequence alignment［J］. Journal of Molecular Evolution, 2016,43(3):289-295.
［11］刘阳,王小磊,李江域,等. 局部序列比对算法及其并行加速研究进展［J］. 军事医学, 2012,36(7):556-560.
［12］Smith T F, Waterman M S. Identification of common molecular subsequences［J］. Journal of Molecular Biology, 1981,147(1):195-197.
［13］Rossow C, Dietrich C J, Grier C, et al. Prudent practices for designing malware experiments: Status quo and outlook［C］// IEEE Security & Privacy. 2012:65-79.

[1]	肖航, 李鹏, 马荟平, 朱枫, . 基于随机Petri网的RFID系统安全性分析模型[J]. 计算机与现代化, 2023, 0(09): 105-114.
[2]	代锐锋. 基于SSL虚拟技术的高校网络安全体系模型构建[J]. 计算机与现代化, 2020, 0(08): 122-126.
[3]	张羽1,2，郭春1,2，申国伟1,2，平源3. 一种基于信息熵的IDS告警预处理方法[J]. 计算机与现代化, 2020, 0(05): 111-.
[4]	蒋万明1,2，郭春1,2，蒋朝惠1,2. 一种基于BiLSTM的低速率DDoS攻击检测方法[J]. 计算机与现代化, 2020, 0(05): 120-.
[5]	曹永明. 一种无安全信道的模糊关键字搜索加密方案[J]. 计算机与现代化, 2020, 0(04): 42-.
[6]	王垚,李为,吴克河,崔文超. GBDT与LR融合模型在加密流量识别中的应用[J]. 计算机与现代化, 2020, 0(03): 93-.
[7]	秦璐璐，周李京，王敏. 支持多关键字搜索的条件代理重加密[J]. 计算机与现代化, 2020, 0(01): 100-.
[8]	周李京,王敏,秦璐璐. 多属性授权机构下属性可撤销的CP-ABE方案[J]. 计算机与现代化, 2019, 0(11): 60-.
[9]	宋紫华1,2,郭春1,2,蒋朝惠1,2. 一种基于网络流量分析的快速木马检测方法[J]. 计算机与现代化, 2019, 0(06): 9-.
[10]	吴东1,2,郭春1,2,申国伟1,2. 一种基于多因素的告警关联方法[J]. 计算机与现代化, 2019, 0(06): 30-.
[11]	曾琦，韩笑，曹永明. 结合公钥加密和关键字可搜索加密的加密方案[J]. 计算机与现代化, 2019, 0(04): 103-.
[12]	弭乾坤1，吴斌2，杜宁1，秦晰1. 基于不完全信息博弈模型的信息系统安全风险评估方法[J]. 计算机与现代化, 2019, 0(04): 118-.
[13]	连耿雄. 基于区块链的可信移动应用市场[J]. 计算机与现代化, 2019, 0(03): 58-.
[14]	孙远，廖小平. 基于智能蝙蝠算法的异常数据检测方法[J]. 计算机与现代化, 2019, 0(03): 62-.
[15]	韩笑，曾琦，曹永明. 一种有效的带关键字搜索的代理重加密方案[J]. 计算机与现代化, 2019, 0(03): 117-.

基于序列比对的勒索病毒同源性分析

Homology Analysis of Ransomware Based on Sequence Alignment

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价