文档名:基于API潜在语义的勒索软件早期检测方法
摘要:加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(ApplicationProgrammingInterface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(DynamicLinkLibrary,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(InitialPhaseofOperation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(RansomwareEarlyDetectionMethodbasedonAPILatentSemantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(TermFrequency-InverseDocumentFrequency)算法以及潜在语义分析(LatentSemanticAnalysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.
Abstract:Cryptographicransomwareextortsaransombyencryptinguserfiles.Existingearlydetectionmethodsbasedonthefirstencryption-relatedapplicationprogramminginterface(API)cannotdetectransomwarebeforeitexecutesencryptionbehavior.Becausethepointatwhichdifferentransomwarefamiliesbeginexecutingtheirencryptionbehaviorvaries,existingearlydetectionmethodsbasedonfixedtimethresholdscanonlyaccuratelydetectasmallfractionofransom-warebeforeitexecutesencryptionbehavior.Tofurtherimprovethetimelinessofransomwaredetection,thisarticlepropos-esaconceptthatcharacterizesthetimeperiodfromthestartofsoftwareoperationtothefirstcallofencryption-relateddy-namic-linklibraries(DLLs),namelytheinitialphaseofoperation(IPO).BasedontheanalysisofDLLandAPIcallbehaviorintheearlyoperationalphaseofseveralransomwares,thisarticlepresentsamethodbasedontheAPIsequencesgeneratedbythesoftwarewithintheIPOasthedetectionobject,namelytheransomwareearlydetectionmethodbasedonAPIlatentseman-tics(REDMALS).REDMALScapturestheAPIsequenceswithintheIPO,usesthetermfrequency-inversedocumentfrequen-cyalgorithmandthelatentsemanticanalysisalgorithmtogeneratefeaturevectorsonthecapturedAPIsequencesandtoex-tractpotentialsemanticstructures,respectively,andthenusesamachinelearningalgorithmtoconstructadetectionmodelforransomwaredetection.TheexperimentalresultsshowthatREDMALSusingtherandomforestalgorithmachieves97.7%and96.0%accuracyontheconstructedvarianttestsetandunknowntestset,respectively,and83%and76%oftheransom-waresamplesinbothtestsets,respectively,canbedetectedbeforetheyperformanyencryptionbehavior.
作者:罗斌 郭春 申国伟 崔允贺 陈意 平源 Author:LUOBin GUOChun SHENGuo-wei CUIYun-he CHENYi PINGYuan
作者单位:贵州大学计算机科学与技术学院公共大数据国家重点实验室,贵州贵阳550025许昌学院信息工程学院,河南许昌461000
刊名:电子学报 ISTICEIPKU
Journal:ActaElectronicaSinica
年,卷(期):2024, 52(4)
分类号:TP309
关键词:勒索软件 早期检测 API TF-IDF 潜在语义分析 随机森林
Keywords:ransomware earlydetection API TF-IDF latentsemanticanalysis randomforest
机标分类号:TP3G202S
在线出版日期:2024年6月26日
基金项目:基于API潜在语义的勒索软件早期检测方法[
期刊论文] 电子学报--2024, 52(4)罗斌 郭春 申国伟 崔允贺 陈意 平源加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(ApplicationProgrammingInterface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行...参考文献和引证文献
参考文献
引证文献
本文读者也读过
相似文献
相关博文
基于API潜在语义的勒索软件早期检测方法 Ransomware Early Detection Method Based on API Latent Semantics
基于API潜在语义的勒索软件早期检测方法.pdf
- 文件大小:
- 5.25 MB
- 下载次数:
- 60
-
高速下载
|
|
