文摘
Ransomware (RW)是一个独特的各种恶意软件加密文件或锁定用户的系统通过保持和扣押他们的文件,用户会导致巨大的经济损失。在本文中,我们提出一个新的模型,提取小说特点的RW数据集和执行分类RW和良性的文件。该模型可以发现大量的RW来自各种家庭和扫描网络,在运行时注册活动,在整个执行和文件系统。api调用系列是处理代表RW的行为特征。在运行时技术提取fourteen-feature矢量和分析它通过应用在线机器学习算法来预测RW。验证有效性和可伸缩性,我们测试78550最近的恶性和良性RW与随机森林和演算法,并比较和测试精度为99.56%。
1。介绍
电脑现在成为一个合法的我们日常生活的一部分,和世界无法想象没有电脑的生活。互联网和计算机应用促进了我们的日常生活中。的发展也给我们带来了一些威胁计算机,即。,恶意软件1]。恶意软件是一个恶意代码,这是由两个字组成的“发作”的意思是恶意和“器具”是指软件。通过电子邮件,这个恶意软件发送一个链接或文件,当用户单击链接或打开文件,恶意软件类型病毒,ransomware (RW)和间谍软件,得到执行(2]。恶意软件包括代码开发的网络攻击者和旨在广泛损害受害人的数据。有许多类型的恶意软件,但最常见的类型是间谍软件,病毒,伪安全软件。间谍软件是用来监视用户的活动。这是一个秘密隐藏应用程序在后台执行受害者的电脑。这种类型的恶意软件收集信息,如信用卡的详细信息、密码和其他敏感信息未经用户许可。计算机病毒是一种常见的恶意软件高度本身受害者的其他文件。它被下载或安装在计算机系统本身。计算机病毒传播迅速的计算机系统。它还破坏计算机系统的主要功能和腐败或锁受害者的系统和文件(3]。第三种类型的恶意软件是伪安全软件,也承认RW,附带了一个高昂的代价。它能够锁定或加密用户数据和限制用户访问他们的数据,直到钱或要求赎金。
RW袭击世界上一些最大的组织。这是有关网络犯罪的主要类型的恶意软件,这是很常见的。这个恶意软件的目标和目的是收集钱作为赎金。RW加密文件或锁定用户的系统由控股和用户文件的人质,导致经济利益4]。在今天的互联网市场,RW是最危险的和重大的安全威胁,并在列表的顶部。RW的历史可以追溯到1980年(5]。在过去的几年里,这种类型的攻击是在世界各地的头条新闻。他们已导致增加新的家庭,例如,Cryptowall RW 3.0是一个家庭中,这被称为成本和有效RW家庭造成约3.25亿美元的损失。索尼RW攻击也是非常危险的,有巨大的媒体头条。这次袭击的幕后策划者是朝鲜,美国政府证实,(6- - - - - -9]。
1.1。类型的Ransomware (RW)
根据当前的到来和每周产生的故事RW,难以识别不同的菌株,他们每个人都以不同的方式传播。他们通常遵循类似的策略来获得用户的安全漏洞和保存数据的人质(10]。有几种形式的RW,有些是这里讨论的细节。
1.1.1。RW坏兔子
坏兔子是伪安全软件的类型,这是在列表的顶部。在东欧和俄罗斯,RW感染不同的组织。RW传播本身通过展示自己是一个假的adobe flash在破坏网站更新。当这个RW感染系统,用户被定向到支付页面显示你被感染或砍,现在你必须支付285美元(10]。
1.1.2。Cerber RW
它是最危险的和强大的RW因为它也适用,即使你没有连接到互联网,如果你的电脑是关着的,甚至,它仍然有效。Cerber功能是编码的文件被感染的用户,然后如果你想给访问你的文件,你需要支付钱。它高度和受感染的Microsoft Office文档通过电子邮件发送给受害者的系统。访问附加文件自动加密文件Rivest-Cipher (RC4)和Rivest-Shamir-Adleman (RSA)算法,更新或修改Cerber扩展(11]。
1.1.3。CryptoLocker RW
加密RW也是一种特殊类型的恶意软件。它就像一个特洛伊木马,还用于赚钱。它编码文件的特定系统,用户将被要求支付解密文件。通过垃圾邮件、广告或假网站或恶意的方法,这些威胁影响系统用户。因此,一旦系统感染木马,它存储编码文件的路径通过几个注册条目和运行时系统重启和特定的扩展是由电脑中加密记录,和找到解密的密钥,它会创建额外的文件。的关键,这个危险的家庭试图转换用户花钱。他们使用不同的技术为用户支付赎金的钱(12]。
1.1.4。Cryptowall RW
赎金Cryptowall编码是一种特洛伊木马病毒文件在特定的计算机和要求用户支付文件解密。通常这些威胁到受影响的电脑上通过利用工具包,垃圾邮件通过恶意软件广告或破坏网站,或其他恶意。一旦木马进入破坏系统,它使多个注册表项存储的路径编码文件并运行时计算机重启。它加密系统上的记录与特定的扩展和创建额外的文件说明如何找到解密密钥。这种危险的家庭试图说服用户花钱解锁他们的文档的关键。它使用不同的技术来让用户支付赎金的钱(13]。
RW是一种特殊形式的恶意软件,加密文件和凝结他们遥不可及的,直到受害者支付赎金。它是一个极其严重的问题,它正在迅速恶化。联邦调查局收集的统计信息的互联网犯罪投诉中心(IC3)显示,2018年网络盗窃、欺诈、和剥削仍然无处不在,负责一个惊人的27亿美元的经济损失14]。联邦调查局报告IC3收到351936宗投诉,2018年平均每天超过900。有显著增加勒索支付数万ransomware受害者支付几百美元来恢复他们的加密的文件。在某些情况下,赎金较大,如韩国Nayana web托管公司,支付397.6比特币(约100万美元)于2017年6月,好莱坞长老会医学中心,2016年2月在比特币支付了17000美元(15]。
这个新兴的问题需要研究团体的注意来检测和阻止RW,将保护用户的家庭巨额损失。在本文中,我们提出了一个健壮的解决方案在运行时检测RW通过监测网络,注册活动,和文件系统。我们使用api调用系列代表恶意软件的行为特征。拟议的方法提取14-feature向量通过使用运行时分析运用在线机器学习算法的分类恶意软件样本在分布式和可伸缩的架构。
本文的组织结构如下:部分2有文献对近期工作RW分类和检测。节3,我们现在提出的详细方法。部分4有实验,数据集使用,建议的方法,评价指标,以及实验结果。节5本文,我们得出结论为未来的方向和轮廓。
2。文献综述
在本节中,现有的研究工作RW的检测和分类进行了分析。RW文献的总结,发现在桌子上1。RW的现有计算模型检测和分类总结了表1和2。
Alhawi et al。16)提出了一个基于机器学习——(ML)解决方案RW的检测。从VirusTotal数据收集,数据都是恶意的,良性的,包含264条记录有9 RW家庭和3种良性的。Wireshark用于捕获数据和特性。T-Shark用来提取特征。实验在WEKA 3.8.1版本进行。WEKA机器学习工具将一个数据集的训练和测试的目的。训练数据集包含75618个样品,测试数据集包含48526个样品。训练和测试数据集分为70%和30%,分别。六种不同的机器学习算法被应用。使用数据集网络流量特性,我们得到了一个真正的阳性检出率为97.1%,使用决策树分类器,我们实现了零误报率(玻璃钢)和真阳性率(TPR)的96.3%。
罗德et al。17]RW检测进行了研究。为了实现高精度,作者提出了一种新颖的方法。该算法检测RW文件在执行阶段的20秒。VirusTotal和VirusShare收集的数据集。数据集包含23145个良性和2286年恶意记录。进行了预处理将所有字母值转换成数值范围RW的呈现。递归神经网络(RNNs)应用于预测RW。5秒的精度是94%,10秒是96%。最小的假阴性率4.5%,玻璃钢(FNR)模型仅为3%。模型的实际值在20秒是93%。 The experiment carried was out in Python version 2.7 using Keras to implement the RNN model.
卡林等。20.)开发了一种检测cryptomining动力分析的新技术。数据集由490个样本,从VirusShark收集。共有490个样本,194是良性和Cryptomining 296 HTML文件或恶意样本。RF分类器使用WEKA 3.9版本中实现。数据将使用10倍交叉验证。射频的最佳精度为99.05%。玻璃钢是99.7%,FNR是98.6%。
卡林等。21强调低级操作码的分析,动态和静态,检测恶意软件在运行时数据集1000标签样本影响传统的AV标签。从VirusShare数据收集。作者选择了大小形态和设施。180000条记录是恶意软件,所有的记录都被消息摘要MD5哈希没有其他元数据。数据预处理与1.0%的利润率只有1000操作码。数据集包含764个良性和18827年恶意样本。counterbased分类器在WEKA 3.8版本使用射频和实现它。RF的最佳精度为98.4%。
竹内et al。24]介绍了RW检测使用支持向量机(svm)。数据集由588个样本,312良性和276 RW,并从VirusTotal收集。作者设计不同的API调用序列到相同的向量符号。作者测试和训练支持向量机分类器形式的数据。标准向量符号的准确性为93.52%,和支持向量机的最佳精度为97.48%。
3所示。方法
在本节中,讨论了新方法。新方法的主要目的是检测在运行时RW家族的。本文中使用的数据集收集从病毒的网站27]。VirusTotal是一个在线条款,检查文件和统一资源地址(url)来帮助蠕虫的检测,病毒和其他恶意使用网站扫描仪和防病毒引擎欣慰。数据集用于识别良性和恶意软件的数据。提出了方法论的模型有不同的阶段,如图1。
首先,所选数据集处理。第二阶段是用来从预处理的数据集使用API调用中提取有用的特性。在第三阶段,数据集分为测试和训练子集。最后,对于分类的目的,三个不同的机器学习算法,即。、修改决策树,随机森林,和演算法,使用。
3.1。数据集
从VirusTotal收集的数据集。它由78550个样本;其中,43191年有35369个恶意软件和良性的。
数据集共有18个特征,我们选择14特性最相关的分类文件在恶意软件或良性的。对于结果的准确性和改善,10倍交叉验证技术应用于数据(27]。
3.2。特征提取
在这一步中,我们从数据集中提取14特性。这些特性的细节表3。文件名和MD5哈希功能下降的数据集。最后一个特性将被用作一个类标签,即。、良性或恶意软件。
3.3。培训和测试
提取所有向量的特性后,我们利用特征向量类标签训练模型。然后,经过训练的分类器可以计算新实例的标签的形式特征向量。之后,计算该模型的性能。在这个研究中,我们使用三种不同的机器学习算法,即决策树,随机森林,演算法。
3.4。分类
在分类过程中,数据集分为训练集和测试数据集。这一过程领域的一个关键的角色RW检测和毫升。训练集用于训练模型,测试集是用于验证模型的结果。
3.4.1。修改决策树
算法1用于不断大量记录分割成较小的子集的记录通过一系列简单的决策规则。
|
该算法1将功能空间分为子集,每个子集由一群均匀的样品(28]。结果是与叶节点和决策树节点。树最顶层决策节点,对应于最佳预测值,称为根节点。决策树可以处理两个分类变量和数值数据(29日]。
决策树使用信息增益的理论来选择最佳的分区数据集的属性。信息(X)计算使用(1):
决策树的关键优势是它的简单实现。决策树和底层原理,他们工作很容易解释和理解与其他复杂的机器学习算法。
3.4.2。随机森林
算法2结合不同的决策树,每个都有独特的节点,但使用不同的数据,从而导致不同的叶子图吗2。它结合了多个决策树的决定找到最好的答案,表示平均决策树(4]。随机森林是一个灵活的、易于实践机器学习算法,一般生成,即使没有hyperparameter调优,一种改进的结果。它既可以用于回归和分类问题(30.]。
|
3.4.3。演算法
演算法是自适应提高和将弱分类器组合成一个强分类器。适应性的提高是第一个实用的学习技术构建一个强大的弱分类器组合的一个(31日]。树只有一个节点,两个叶子被称为决策残图3。
h(x)是一个弱分类器。这相当于说,(h)计算的加权多数投票弱假设(h),其中每个假设分配重量F(x)。通过考虑一个简单的弱分类器学习功能h(x)是最有用的特性分类选择图4。
4所示。实验和结果
在这个阶段,实验环境、实验和结果进行了讨论。数据集的统计分析来理解数据。然后,不同的分类技术应用于恶意的和良性的文件进行分类,最后,绩效评估措施被用来评估分类器的性能。
4.1。数据集
在这项研究中使用的数据集包含78550个样本,35369个样本在哪里恶意软件和43191个样本都是良性的。RW类型的恶意软件,良性的器皿。数据集是近平衡;因此,它不需要平衡技巧。
4.2。实验环境
本研究的所有实验进行核心i5机2.4 GHz CPU和8 GB的内存。决策树,随机森林,演算法实现了在Python中由于其简单性和可伸缩性。
4.2.1。准备评价矩阵
在这项研究中,不同的评估措施用于关联分类器的性能。这些包括精度、灵敏度、特异性和f1。所有这些措施都基于混淆矩阵表4。
测量正确度是最直观的表现。这是一个关系的正确预测总观察观察得出的结论。模型计算的准确性(2)。敏感数据(召回)是一个比例的正确预测积极的观察和整体积极观察实际的类,它是计算使用(3)。负类分类器的预测能力称为特异性,可以计算使用(4)。最后,f1测量计算使用(5)的敏感性和特异性的调和平均数:
(1)基于精度分析。表5介绍了基于精度的实验结果。根据报告结果,决策树的性能是有前途的精度最高的99.34%。随机森林是非常接近的性能决策树具有99.24%的准确率。很明显,演算法相比性能更少与决策树和随机森林。演算法有最低98.37%的准确性。
(2)Sensitivity-Based分析。sensitivity-based比较的10倍交叉验证执行最好的如表所示6。实验表明,决策树的敏感性较高。
(3)Specificity-Based分析。表7代表了specificity-based比较不同的分类器。特异性的实验表明,决策树具有更高的准确性和价值99.62%是因为特异性较高的特点。
特异性(精度)的比例正确分类总预测积极积极观察观察。
(4)f1度量为基础分析。表8代表了f-measure表现的比较。实验表明,决策树的f1值精度高值是99.55%。
4.3。性能比较与最先进的技术
通过比较使用不同的分类器的性能使用数据集,很明显,该技术利用已经开发的模型匹配精度高。结果在表9显示修改后的决策树的准确性最高99.56%。演算法精度最低的98.37%。随机森林的平均精度为99.38%。
它也清楚地表明,该技术利用已经开发的模型匹配精度高。表10介绍了提出算法的结果对比与其他多个方法。
5。结论和未来的方向
在本研究中,RW检测在运行时开发计划使用一个数据集预处理,包括良性和RW文件。良性是好的器皿,RW是一种特殊类型的恶意软件,使得数据加密到攻击者的赎金。在实验中,三种不同的算法,即决策树,随机森林,和演算法,用于检测RW和良性的文件。修改后的决策树,在三个算法,表现良好的准确性、敏感性,特异性,f1-measure。我们的实验结果证明了恶意软件分类的测试和训练精度达到99.56%。研究人员说一些关于保护设备免受攻击的事实,建立了攻击的一些参数保存数据在未来,因为RW Trojan-type攻击和恶意软件,所以anomaly-based id可用于检测网络异常行为的未来。数据挖掘技术用于检测攻击的活动。
数据可用性
使用的数据来支持这个研究的发现可按照客户要求定制。
的利益冲突
作者宣称没有利益冲突与本文的发表。
作者的贡献
Faizan Ullah和Qaisar接受Javaid概念化的研究;Dilawar沙参与正式的分析;阿卜杜勒萨拉姆负责方法和资源并写了初稿;马苏德艾哈迈德和穆罕默德Abrar负责软件;Qaisar接受Javaid监督研究;纳迪姆萨瓦尔写道,审查和编辑文章。