基于免疫的隐遁勒索软件攻击机理分析与防御方法研究

Dynamically monitoring and trapping stealthy ransomware attacks behavior, timely killing the extortion processes, and restoring the damaged files promptly, can effectively prevent the stealthy ransomware attacks and then curb cybercrime of extortion. Based on the previous study of malicious attacks and immunity-based detections, this project will further study the immunity-inspired defense method for the stealthy ransomware attacks behavior monitoring, intelligent trapping, self-restoring damaged files. The study mainly includes as following:⑴ With the analysis of static instructions by reverse engineering and dynamic behaviors by virtual executions, it reveals the attacks internal mechanism to provide theoretical support for monitoring and trapping ransomware attacks;⑵ With the intelligent trap and kernel programming technology, it can quickly perceive the stealthy ransomware attacks, and then extract the characteristics of ransomware IRPs（I/O Request Packets）by monitoring their behaviors to provide support for dynamic detection;⑶ Inspired from the human immune mechanism, it studies the dynamic immune defense method by the stealthy ransomware detectors dynamic evolution, matching algorithm, and extortion recovery mechanism. In conclusions, this project can promote the further development of the stealthy ransomware attacks mechanism analysis, kernel monitoring, and intelligent trap, and therefore develop new ideas of immunity-inspired defense method for stealthy ransomware attacks; meanwhile, it has an important reference value for the construction of independent intellectual property of stealthy ransomware attacks defense products.

监控、诱捕隐遁勒索攻击行为，及时杀灭勒索进程，并实时修复受损文件，能有效防御隐遁勒索软件攻击、遏制网络敲诈犯罪。本项目在前期研究恶意隐遁攻击和免疫检测的基础上，进一步研究隐遁勒索软件攻击行为监控、智能诱捕、受损文件自修复等免疫防御方法。主要包括：①通过逆向分析获取其静态指令特征、虚拟执行获取其动态行为特征，构建隐遁勒索软件攻击内在机理剖析图，为监控与诱捕之提供理论支撑；②利用智能诱捕陷阱，快速感知隐遁勒索攻击，并实时监控其IRP行为，提取其行为特征，为动态防御提供支持；③借鉴人体免疫机理，通过隐遁勒索软件检测器动态演化、检测匹配算法、勒索恢复机制，研究其动态免疫自修复防御方法。本项目可促进隐遁勒索攻击机理分析与内核监控、智能诱捕、勒索修复技术的进一步发展，拓展勒索软件免疫防御研究新思路；同时，对于构建具有自主产权的隐遁勒索攻击防御产品具有重要的参考价值。

本项目以隐遁勒索软件为研究对象，通过将其置身于虚拟、可控的攻防环境中，从内核层对隐遁勒索软件攻击机理与行为模式进行深入分析，揭示其信息隐藏、加密、删除（篡改）、锁屏等内在机制，在此基础上提出有效监控、检测、杀灭、修复隐遁勒索软件攻击行为的方法，并构建基于免疫机理的隐遁勒索软件攻击动态防御技术体系与方法。主要内容包括：（1）完整分析隐遁勒索软件与系统内核、文件系统交互机制。通过动态虚拟执行与静态逆向分析，深入研究其包括信息隐藏、加密、删除（篡改）、锁屏等内在机制，为监控、检测、杀灭、修复隐遁勒索软件攻击提供理论支撑；（2）快速感知隐遁勒索软件攻击并提取其行为特征。通过在应用层投放智能诱捕陷阱，在应用层和内核层同时监控诱捕陷阱及文件系统的其他异常行为，快速感知隐遁勒索软件攻击，并提取其行为特征组建特征基因库，为构建隐遁勒索软件攻击的智能免疫防御体系提供特征基因与感知技术支持；（3）构建基于免疫机理的隐遁勒索软件攻击动态智能防御模型。依据行为特征基因库，借鉴人体免疫系统中的疫苗接种、自体耐受、亲和力成熟等免疫机理，构建智能检测器的动态演化模型与文件系统的Copy-On-Write修复模型，动态、智能地检测隐遁勒索软件攻击并实时修复受损文件。.本项目顺应对隐遁勒索软件攻击进行机理分析与动态防御的发展趋势，促进了：（1）基于智能诱捕陷阱的隐遁勒索软件攻击快速感知技术的深入发展，（2）基于文件系统异常行为的隐遁勒索软件攻击动态监控技术的深入发展，（3）基于Copy-On-Write机制的文件实时修复技术的深入发展，（4）隐遁勒索软件攻击动态免疫防御方法的深入发展；此外，也促进了：（1）计算机科学、免疫学、机器学习等多学科交叉与融合，对构建基于人体免疫机理的网络安全防御研究体系，具有重要的理论价值；（2）对构建具有广阔应用前景、自主产权的隐遁勒索软件攻击免疫防御产品，具有重要的参考价值，以预防、遏制隐遁勒索软件攻击，打击网络敲诈犯罪，保障网络空间安全。

内容获取失败，请点击重试