PDF
研究文章|开放获取
Sanggeun歌,Sangjun Bongjoon Kim Lee, ”有效预防Ransomware Android平台上使用过程监控技术”,移动信息系统, 卷。2016年, 文章的ID2946735, 9 页面, 2016年。 https://doi.org/10.1155/2016/2946735
有效预防Ransomware Android平台上使用过程监控技术
文摘
由于最近ransomware无差别攻击,损害例,包括加密用户的重要文件不断增加。现有疫苗的系统容易受到攻击的新模式ransomware因为他们只能检测ransomware现有的模式。更有效的方法是需要防止ransomware修改。本文提出了一种有效的方法来防止恐怖袭击修改ransomware在Android平台上。拟议的技术规定和集中监控流程和具体文件目录使用统计方法基于处理器的使用,内存使用量和I / O率,这样的过程能被探测到的异常行为。如果进程运行检测到可疑ransomware时,该系统将停止过程和采取措施确认程序与过程相关的删除用户。怀疑和特殊过程确认用户的信息存储在数据库中。该技术可以检测ransomware即使你不拯救它的模式。检测它的速度是非常快的,因为它可以在Android源代码实现相反的移动应用程序。此外,它可以有效地确定修改模式ransomware和伤害最小的情况下提供保护。
1。介绍
Ransomware [1]是一种类型的恶意软件,它使用恶意代码入侵系统用户注意到它之前,对重要的文件进行加密,使用加密的文件需要金钱作为人质,并给货币赔偿给用户。移动通信市场的快速增长的主要目标使用ransomware黑客获取非法收入。韩国的Android操作系统的市场份额大约是总数的80%的智能手机市场份额如表所示1。等其他操作系统iOS相比,Windows Phone,或黑莓手机,Android拥有高市场份额接近垄断,而其他人则结合在移动设备市场不到15%的份额(2]。Android平台的比例是如此之高,平台是ransomware攻击的主要目标。最近使用android操作系统的智能手机的伤害案件不断增长。
|
||||||||||||||||||||||||||||||||||||||||||||||||
传统疫苗系统可以检测系统是否感染ransomware和治疗。然而,它不能阻止攻击ransomware ransomware没有获取信息。此外,文件不能恢复没有加密密钥文件已经加密,即使传统的疫苗系统可以消除ransomware [3]。用户可以通过更新疫苗避免感染系统的时候。然而,这种方法效果有限。现有的疫苗系统可以使用基于文件的入侵检测方法检测ransomware [4]。然而,这种方法不能检测修改ransomware与新模式,因为它只能防止ransomware ransomware基于分析信息。因此,一个积极的而不是被动的预防方法是迫切需要的。
摘要ransomware预防技术提出了在Android平台上。该方法可以监视文件时发生的事件ransomware访问和复制文件。这种技术可以检测并移除ransomware使用CPU和I / O使用情况以及信息存储在数据库中。该方法可以检测修改ransomware ransomware没有获取信息的模式。此外,它可以实现在Android内核和框架的来源,以便它可以检测ransomware相对比其他程序,运行在应用程序级别。此外,它可以持续监测ransomware没有单独下载或更新。
本文的其余部分组织如下。相关工作简要讨论的部分2。我们建议的方法中描述的部分3。建议的方法给出的评价部分4。最后,给出一些结论部分5。
2。相关研究
2.1。Ransomware
Ransomware传播方法类似于特洛伊木马的恶意代码(5),其中包含恶意程序和假装是一个正常的程序。Ransomware侵入用户的设备后假装特洛伊木马等作为一个正常的应用程序。Ransomware限制使用入侵系统后系统以不同的方式。它主要分为以下三种类型:伪安全软件,锁屏,加密6]。
(我)伪安全软件。它告诉用户,设备已被感染恶意代码。这表明购买假冒反病毒程序来对待他们。从用户最终使用钱。
(2)锁定屏幕。禁用用户的电脑。它锁系统,用户不能运行时,操作系统执行系统。当用户运行自己的系统,它禁用操作系统和发送的消息,你的电脑有非法内容,你将被罚款由冒充联邦调查局或政府机构。
(3)加密。这是最严重的ransomware类型。它可以防止重要文件的使用你的设备通过加密。使用钱通过加密用户的个人电脑中的文件,让用户把赎金文件到虚拟账户来解密。
Ransomware访问用户和给它们以不同的方式伤害。例如,CryptoLocker [7)可以在电脑加密文件。Reveton [8,9联邦调查局等)将扮演执法机构。SimpleLocker [10)目标Android智能手机的用户环境。这个ransomware可以严重的安全威胁云计算(11),因为它成为信息系统的基础设施。
2.2。现有技术
2.2.1。过程使用散列信息
CryptoLocker的处理方法是比较散列信息。CryptoLocker生成文件加密”。加密”12]。加密的文件被添加到散列信息。签名公钥值,他们的尺寸将会增加。通常用于处理CryptoLocker恢复工具。它们包括不同感染用户解密密钥索引信息。恢复工具比较哈希和加密文件数据文件的信息,确认验证密钥的密钥索引信息存储在其中,然后进行解码(13]。
通过查看加密文件的恢复方法用于现有的疫苗,这些方法获得一个样品通过反编译ransomware并执行使用解密密钥解密发现样品的代码分析(14]。有可能当一个新的ransomware出现时,用户必须等到安全公司发现解密键值通过示例分析。智能传感技术要求检测新模式ransomware因为ransomware不断威胁着移动设备的安全。
系统的行为检测技术(15)是检测的基础上出现的一些行为在一个计算机系统。它执行“完整性检查”和“行为阻断”(16,17]。完整性检查技术进行频繁的检查以确认计算系统的完整性。这种方法计算和写的哈希值执行文件和目录放在干净的电脑系统不被恶意软件感染。行为阻断技术监控计算机系统内的所有操作。当一个可疑的行动恶意感染发生在同样的方式,这种方法跟踪的原因可执行文件和代码块的执行可疑的行动,没有进步。
2.2.2。使用CPU和I / O使用过程
统计技术是一个恶意软件分析技术来检测异常行为分析系统的资源。奈兹(下一代入侵检测专家系统)18斯里兰卡的(斯坦福研究所)国际是一个典型的基于统计技术的系统。奈兹集的目标检测异常行为发生在系统分析技术在收集处理器使用的I / O速度,内存使用,等等,在很长一段时间。韩国电子和电信研究院使用这项技术使用CPU或内存使用的平均差为了提供可靠服务的主机(19,20.]。然而,这种技术只针对DDoS攻击的。本文提出了一种技术,以防止入侵的ransomware Android平台基于统计方法的使用过程,记忆和存储I / O使用情况。
2.3。Android应用程序权限分析
Android市场应用需求Android系统权限来执行正确的操作。在官方注册的应用程序商店下载时显示用户权限要求。然而,普通用户可能无意中下载或运行应用程序没有仔细地看着他们。Ransomware分销商将分发Ransomware,假装作为一个正常的应用程序商店进行正式使用这个安全弱点。
设计方法,不同的权限和功能ransomware所需的Android系统和权限进行了分析。权限影响Android系统主要分为系统、短信、联系人,和位置(21]。不同权限之间Ransomware应用和正常应用如表所示2。总共14种ransomware出现在2014.01和2015.09之间基于virustotal的报告22比较(表中2)。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
相应权限的功能不一定是安全的。这些权限访问大量的信息,包括设备的配置信息,应用程序的列表,资源统计数据和个人信息,如位置信息和短信信息。正常的应用程序使用这些权限。因此,用户通常同意安装应用程序毫无疑问,即使是ransomware需要的权限系统,短信,联系人,和位置。
3所示。拟议的技术
有高效的实现,提出了技术设计了三个模块:配置、监视和处理(图1)。配置模块生成监控名单表一个该方法的运行平稳。它的模块初始设置。监控模块负责监控处理器、内存和存储I / O使用每一过程的实时基于统计技术。最后,处理模块决定了处理过程的疑似ransomware的监控模块,使异常或隔离的过程。
该技术实现了配置模块,监控模块,处理模块使用Android平台的框架和内核如图2。此外,用户添加到Android UI部分设置和数据库配置模块中使用的框架内实现。在内核中,一部分生成I / O信息监控实现的过程,通过它产生一个内核映像。
算法1显示了业务流程的基本技术提出了。细节描述在不同的主题。
|
||||||||||||||||||||||
3.1。配置模块
配置模块基本设置应用ransomware当拟议的技术检测到。在这篇文章中,默认设置值的信息流程或应用程序默认安装在Android平台上保存在数据库中。最重要的配置模块的作用是指定文件的位置需要ransomware免受攻击。这些重要的文件被称为优先保护区域(以下PPA)。如果该技术是正确运行,它将收集的信息PPA,登记他们的观察名单表监测模块,实时和保护相应的文件。第二个角色是注册用户的处理疑似过程监控模块检测到的数据库和维护处理。如果用户最后决定了流程ransomware,它存储的信息相应的过程。它会自动检测并删除过程根据用户的反馈。如果用户决定过程正常,它记录的信息流程和部队系统维护过程没有终止的过程即使过程是慢慢的。
3.2。监控模块
监控模块负责检测ransomware通过监测PPA区域和过程。监控模块主要由两个模块(文件监控和过程监控)基于角色。
(我)文件监控模块。它不断监视的状态输入/输出活动,比如阅读、写作、复制和删除的文件属于PPA配置中设置模块和检测ransomware的攻击。算法2显示文件的操作流程监控模块提出了。
|
||||||||||||||||||||||||||||||||
(2)过程监控模块。它不断监视处理器共享的过程中,内存使用,I / O数,存储I / O数等等,检测ransomware。算法3显示了业务流程的流程监视模块提出了。
|
||||||||||||||||||||||||||||||||
检测疑似过程,它还处理恶意或特殊过程在数据库配置模块中的应用。进程注册为恶意进程,监控模块将停止目前的过程检测和自动删除过程。注册为一个特殊过程的过程,它将允许正常执行,因为它是由用户指定的安全。
3.2.1之上。文件事件监控
监控模块监控文件和目录的修改和删除事件现有PPA。监控路径通常是通过外部存储设备。基本的监视路径表所示3。
|
||||||||||||||||||||
观察者是安排事件监视器文件在每个目录。文件事件监视使用观察者模式的基础上ransomware后生成加密文件读取和写入目标文件和删除原始文件。观察者可以检测到的事件ransomware删除和修改的文件ransomware没有获取数据。观察员负责监视修改和删除事件,发生在每个路径,而设备。如果文件的事件发生,观察者会将文件事件信息传递给监控模块和发现过程产生的一个事件。检查过程发现的《观察家报》主要是通过一个特殊处理的过程。如果过程不是在一个列表中,它是作为一个过程决定ransomware可疑。这个过程将会停止。技术查询用户后续的处理过程。根据用户的决心,处理过程的数据库将被更新和管理。
3.2.2。过程监控
监控模块使用信息,如处理器共享为每个流程,内存使用,I / O数和存储I / O数检测疑似过程中运行的进程。它还检测到可疑的过程监控文件的事件。过程监控的操作是基于恶意/特殊过程的信息存储在数据库的配置模块。它利用这一事实ransomware流程使用大量的系统资源存储在加密文件的过程中。拟议的技术检查是否处理器,内存使用,I / O数和存储I / O数超过阈值基于统计方法。它将传输的信息时相应的过程分为处理模块高于阈值。
为了证明处理器使用情况的变化,一个示例ransomware运行。相应的名称ransomware过程称为com . example。”采样”。图3显示过程当潜在ransomware过程的状态。处理器共享显示0 - 1%,这样用户不会注意到它。
图4显示了该潜在ransomware情况认真执行加密文件。目前处理器使用情况改为11%的加密。它达到了46%的峰值。
I / O过程使用相同的ransomware延迟如图5。图的顶部是初始阶段的流程执行。读取的字节数量相对较小。
I / O过程使用相同的潜在ransomware执行主动加密图所示6。如图6,文件I / O的使用急剧增加,因为数据读取和写入的文件是加密的。急剧增加的CPU使用率和I / O使用可以用来检测ransomware。
3.3。处理模块
处理模块强行停止可疑的ransomware过程监控模块和查询用户的适当的处理过程。一旦确定,处理相应的过程的信息将存储在随后使用的数据库和配置模块。处理模块中使用的数据库表结构如表所示4。
|
|||||||||||||||||||||||||||||||||||||
ID用于每个元组的数量。PackageName是应用程序的名称。RiskType标志来确定是否安全/不安全。评论是准备在一个单独的解释是必要的。
处理模块还警告用户通过Android ransomware许可的风险分析。
(我)系统权限。ransomware系统的权限。它抓住设备权限的管理员和防止用户操作该设备。这个许可涉及的风险ransomware浏览用户的个人文件存储在设备未经用户许可。它使用管理员的许可。
(2)短信许可。而正常的应用程序提供了方便的用户短信许可,ransomware截获接收信息用于非法目的通过使用SMS的许可。
(3)合同许可。权限访问联系人存储在设备。不利用这个许可的典型例子是钓鱼和短信诈骗。
(四)网络许可。允许自动找到网络连接到设备,允许ransomware操作。Ransomware抓住设备的许可,以便用户不能操作该设备。它的风险拦截用户的个人信息存储在设备。
处理模块查询用户是否保留或删除相应的程序停止后怀疑ransomware过程。如果用户显示他打算删除应用程序,当相同的过程出现后,自动删除没有询问用户的想法,因为用户ransomware识别相应的应用程序。如果他决定了过程正常,其安全性是保证过程不会强行停在拟议的技术。此外,该技术将让用户知道的任何部分过程是脆弱的。的权限表中列出5。
|
||||||||||||||||||||||||||||||||||||||
3.4。用户界面
用户界面如图7为用户提供方便地访问该方法。UI配备了Android的基本格式。它提供了一个接口的配置模块。提出的系统功能可以在任何时间打开和关闭使用相应的接口。在底部,包的名字可以检查数据库中的注册到目前为止。信息的添加、修改和删除存储也是可行的。
4所示。评价
未知ransomware用于评价该方法的系统相比,现有的疫苗。一个加密文件ransomware 40-byte键使用AES算法进行测试。这个示例ransomware功能打开输入路径上的所有文件和加密。
在图的左边8跑后的运行结果测试ransomware V3移动一个疫苗系统在韩国很有名。右边的图8运行后结果停住在捷克共和国。这些疫苗项目没有新的ransomware信息。他们未能检测到未知ransomware。因此,在/下载文件加密。是不可能治愈他们要么因为没有解密密钥值。
为了验证该技术,PPA被设置为/下载目录使用配置模块。图9显示了运行相同的结果示例ransomware激活后提出的技术。在设备使用方法,用户的文件之前,因为它发现ransomware加密保护。因此,它阻止了ransomware过程和询问用户的想法删除。
结果评价现有疫苗的系统相比,该技术如表所示6。拟议的技术可以处理ransomware修改或新模式,因为它可以检测ransomware使用信息,比如处理器共享内存使用或I / O数和存储I / O数。然而,现有技术需要ransomware检测的信息。而传统的疫苗需要不时更新检测模式,该方法不需要如此多的更新,因为它可以探测到ransomware基于其行为。它不需要安装一个应用程序,如现有疫苗是Android源代码实现。在这项研究中,我们发现略有退化的设备在使用该技术的性能,以保护敏感信息。
|
||||||||||||||||||||||||||||||||
5。结论
本文提出了一种技术来减少造成的损害未知ransomware攻击Android设备。该方法可以有效地减少造成的损害ransomware有修改或新模式没有ransomware获取信息。它使用文件输入/输出事件和处理器基于ransomware的行为状态信息,与现有的技术,需要ransomware信息。它可以自动阻止这种ransomware袭击造成的损害后发现ransomware根据收集的信息。可以使用该方法在所有基于Android系统的智能手机,因为这种技术添加到开源的Android源文件。这种技术将允许用户造成的损害最小化攻击ransomware现有疫苗的系统无法检测。
相互竞争的利益
作者宣称没有利益冲突。
确认
这项研究受到了基础科学研究项目通过韩国国家研究基金会(NRF)由韩国政府资助(MSIP) (NRF - 2015 r1d1a1a01057680)。
引用
- x罗和廖问:“Ransomware:一个新的网络劫持威胁企业”手册的研究信息安全和保证,2009年IGI全球。视图:谷歌学术搜索
- “全球季度手机追踪,”IDC的数据,2015年8月,http://www.idc.com/tracker/showproductinfo.jsp?prod_id=37。视图:谷歌学术搜索
- 趋势科技,Ransomware Definition-Security情报美国德克萨斯州,趋势科技,欧文,2015年,http://www.trendmicro.com/。
- d·金和美国金”,设计量化模型的赎金器皿防止”,世界工程和技术杂志》上,3卷,不。3、203 - 207年,2015页。视图:出版商的网站|谷歌学术搜索
- d . Lim“治疗和对策的恶意软件,”它收敛SMB学会杂志》上,5卷,不。1,十三至十八页,2015。视图:谷歌学术搜索
- n . Andronio s Zanero f .美极,“移动ransomware HelDroid:解剖和检测,”研究攻击、入侵防御卷,9404在计算机科学的课堂讲稿施普林格,页382 - 404年,2015年。视图:出版商的网站|谷歌学术搜索
- a . Beuhring和k . Salous“超越黑名单:网络防御的时代先进的持续威胁,”IEEE安全与隐私,12卷,不。5,90 - 93年,2014页。视图:出版商的网站|谷歌学术搜索
- p . Ducklin”Reveton /联邦调查局ransomware-exposed,解释和消除,”NakedSecurity, 2012年8月,https://nakedsecurity.sophos.com/。视图:谷歌学术搜索
- j . Milletary“Citadel木马恶意软件分析,”戴尔安全对抗威胁单位工作™情报服务,戴尔安全工作,2012年9月。视图:谷歌学术搜索
- t . m . Marengereke和k . Sornalakshmi“android智能手机,基于云安全解决方案”《IEEE国际会议电路、电源和计算技术(ICCPCT 15),页1 - 6,Nagercoil,印度,2015年3月。视图:出版商的网站|谷歌学术搜索
- y, y l .太阳,j . Ryoo s Rizvi和A . v . Vasilakos“安全和隐私的调查在云计算的挑战:解决方案和未来的发展方向,”计算科学与工程杂志》上,9卷,不。3、119 - 133年,2015页。视图:出版商的网站|谷歌学术搜索
- Ahnlab安全问题,如何攻击我们?,Ransomware‘CryptoLocker’ That Hit South Korea2015(韩国),http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=23630。
- Ahnlab安全报告,“最新的手机ransomware应用及对策”,65卷,2015年7月(韩国),http://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=23834。视图:谷歌学术搜索
- Ahnlab ASEC博客,“模仿的ransomware,”讲(国家安全局),2015年2月(韩国),http://asec.ahnlab.com/1025。视图:谷歌学术搜索
- m·e·瓦格纳行为导向的恶意代码在运行时检测佛罗里达理工学院,2004。
- p . Szor计算机病毒的艺术研究和国防赛门铁克出版社;addison - wesley专业,2005年。
- j .额寇卡计算机病毒和恶意软件,施普林格科学与商业媒体,第22卷,2006年。
- 安德森,t . Frivold,巴尔德斯,“下一代入侵检测专家系统(奈兹):总结,“技术。众议员SRI - csl - 95 - 07年度,SRI国际,1995年计算机科学实验室。视图:谷歌学术搜索
- k . Daewon”自动控制方法和装置的DDoS攻击预防政策使用CPU和内存的状态,“电子和电信研究所(韩国),我们的专利,我们2012/0054823 A1, 2012。视图:谷歌学术搜索
- j·l·李和c . s .香港“非参数对DDoS攻击检测方法,”朝鲜应用统计学杂志》上,26卷,不。2、291 - 305年,2013页。视图:出版商的网站|谷歌学术搜索
- “系统权限,API指南,Android开发者,http://developer.android.com/intl/ko/guide/topics/security/permissions.html。视图:谷歌学术搜索
- virustotal,https://www.virustotal.com/en-gb/。
版权
版权©2016 Sanggeun歌曲等。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。
