勒索软件检测技术研究

勒索软件是指通过锁定设备、加密或损毁文件等攻击形式进行金钱勒索的恶意软件。近年来,全球勒索攻击呈爆发式增长,为遏制勒索攻击的高发势态,安全研究人员提出诸多检测技术,以实现对勒索软件的快速研判响应。本文对现有研究工作进行系统归纳总结,并根据勒索软件的发展趋势,讨论检测技术未来可行的研究方向。     

Android勒索软件取证分析

随着移动互联网的高速发展,智能手机在人们日常生活中起到了极为重要的作用。但与此同时,不法分子利用智能手机进行的犯罪也越来越普遍,其中涉及安卓勒索软件的移动网络犯罪占比不断上升,使得我国移动网络环境下的网络犯罪打击工作面临挑战。本文分析了安卓勒索软件的分析方法,通过介绍动、静态两种分析方法,并针对目前常见的安卓勒索软件进行分析,为司法实践提供帮助。     

Android勒索软件防护技术研究

随着智能终端（如智能手机和平板电脑）的普及,针对Android平台的勒索软件攻击日益严重。与其他恶意软件相比,勒索软件以其后果的难以恢复性以及获取利益的直接性广受黑客们的青睐,也因此给用户带来严重的精神和财产损失。为了避免勒索软件攻击,减少勒索软件带来的威胁和损失,研究人员对Android平台勒索软件进行了大量研究,提出了许多切实可行的检测方案。首先总结了Android平台勒索软件攻击的特征;然后对现有的Android平台勒索软件的检测和防护研究工作进行了概述,并对其进行了综合性的分析和比较;最后指出这些方案仍然存在的问题,提出相应的建议并探讨了未来的研究方向。     

勒索软件演进特点及安全防护建议

近年来,勒索软件引发的安全事件呈上升态势,攻击手段呈现出多样化的特点,如何有效防御勒索软件的攻击,确保用户信息系统安全成为迫切需要解决的问题。笔者分析了勒索软件演进特点,并从国家、企业和个人三个层面提出安全防护建议。     

基于深度学习的勒索软件早期检测方法

近年来,勒索软件的活跃度高居不下,给社会造成了严重的经济损失。文件一旦被勒索软件加密后将难以恢复,因此如何及时且准确地检测出勒索软件成为了当前的研究热点。为了提升勒索软件检测的及时性和准确性,在分析多种勒索软件家族与良性软件运行初期行为的基础上,提出了一种基于深度学习的勒索软件早期检测方法(Ransomware Early Detection Method Based on Deep Learning, REDMDL)。REDMDL以软件运行初期所调用的一定长度的应用程序编程接口(Application Programming Interface, API)序列为输入,结合词向量和位置向量对API序列进行向量化表征,再构建深度卷积网络与长短时记忆网络(Convolutional Neural Network-Long Short Term Memory, CNN-LSTM)相结合的神经网络模型,来实现对勒索软件的早期检测。实验结果显示,REDMDL能够在一个软件运行后数秒内高准确率地判定其是勒索软件还是良性软件。     

基于混合云架构的深度语义密文检索

针对传统的云环境下密文检索方案基于统计学模型来生成文件向量和检索向量,并没有考虑文件和请求的深层次语义信息,提出一种基于混合云架构的深层次语义密文检索模型。通过私有云联邦学习神经网络模型构建向量生成模型,通过公有云存储密文数据。另外,提出密倒排索引表来存放文件向量,在公有云的检索过程中,保证检索信息不被泄露的情况下提高检索的效率。对真实数据集的分析和实验表明,提出的方案在安全性和搜索效率方面都优于目前同类型的密文检索方案。     

对抗勒索软件的网络安全实践

Veritas Technologies最近的研究表明,在过去12个月中,平均每个组织发生了2.57次勒索软件攻击,甚至导致严重停机,其中10%的停机时间对业务造成了5次以上的影响。尽管勒索软件可能会对业务和声誉造成严重损害,但它并非不可战胜。事实上,它的强度取决于组织中最薄弱的环节。     

可计算密文加密体制研究

可计算密文加密体制是指对密文可以进行的一系列指定函数运算的加密体制,与传统加密体制最大的不同是加密后的密文不再是“混乱”的,而是具有某些隐含关系,其可成为某些特定函数的有效输入并且经过函数计算后可成为用户的有效信息。由于可直接对密文进行操作,可计算密文加密体制在保证信息机密性的前提下大大提高了信息的可用性效率,已经成为现代公钥密码学研究的热点方向。文章对谓词加密、全同态加密、函数加密3类可计算密文加密技术做了具体概述,介绍了各类可计算密文加密体制的关系,分析了可计算密文加密体制的计算隐私与应用要求,为以后研究可计算密文加密技术提供了指导。     

支持密文索引的数据库透明加密方法

随着数据库的应用日益广泛,如何保护隐私数据和防止敏感数据泄露成为当前面临的重大挑战。数据库加密被证明是保护数据安全的有效手段,但是对数据库进行加密之后,数据之间原有的偏序关系将会丧失,无法通过原来的索引机制来加快对密文数据的条件查询。本文提出一种对数据库中的字段进行透明加密并实现高效条件查询的方法,并报告了基于该方法开发的数据库加密系统的测试数据。     

密文数据库保序编码方法的研究与改进

不可信云计算环境下的数据隐私保护问题逐渐成为研究重点,而保护隐私的主要方法之一就是对数据库中的记录加密,但对密文进行排序、范围查询等操作较为困难。保序加密能使密文的大小顺序与明文保持一致,支持上述对密文的操作。2013年提出的mOPE(mutable Order-Preserving Encoding)可变保序编码是一种基于二叉搜索树编码的保序加密方法,支持任意的数据类型,且除了明文顺序外不泄露其他任何信息。由于保序编码可能随着插入或删除记录而变更,服务器额外开销较大。本文对此作出改进并提出cmOPE(custom and mutable Order-Preserving Encoding)方法,基于构造完全二叉搜索树来调整保序编码,降低了编码变更带来的额外开销。实验结果显示,修改了编码调整策略的mOPE方法有效地降低了服务器的计算开销,提高了对保序密文增删改的效率。     

NTFS文件系统中的视频数据恢复方法

在NTFS文件系统中,视频监控文件在形成过程中被分割成大量非常小的块进行存储,通过多个索引表形成整个文件,删除该文件后,主索引表被丢弃,但扩展属性中的索引表还存在。针对该问题,提出根据文件的扩展属性恢复数据的方法,通过整合大量分散存储的碎片,能够恢复被删除的视频文件的大部分内容。     

基于组密钥服务器的加密文件系统的设计和实现

网络存储技术在方便数据共享的同时带来了新的安全隐患,加密文件系统通过密码学方法保证存储在不受用户直接控制的服务器上的文件数据的机密性和完整性.现有的针对共享加密文件系统的密钥管理方法不能同时满足安全性、灵活性和高效性的需求.该文提出了加密文件系统GKS-CFS.引入可信的组密钥服务器(GKS)集中管理文件加密密钥,GKS上可以实施灵活的访问控制策略.通过使用访问控制块和锁盒子,降低了对GKS的计算和存储需求,使之可以用硬件实现来增强安全性;通过文件数据的分块加密和密钥版本技术,降低了权限撤销的开销.作者在Lustre上实现了GKS-CFS的原型系统并进行了测试.测试结果表明,由于避免使用了公钥密码算法,和其他系统相比,GKS-CFS的普通文件操作中的密码学操作开销减少了一个数量级,顺序读写和随机文件操作的性能分别平均降低了42.0%和8.4%.     

Linux加密文件系统:CryPt-FS

随着便携式计算设备的普及，保存数据的存储设备失窃或遗失的可能性增大。在这种情况下，能够保证敏感数据不被泄露的唯一方案是使用数据加密技术。相对于其它加密方式，使用加密文件系统对用户透明、可靠，有着不容忽视的优势。文章在Linux2．4操作系统上设计和实现了一个加密文件系统——Crypt-FS，并对其进行了介绍。     

关于HFS+文件系统数据恢复的研究

本文首先介绍HFS+磁盘的文件系统结构,然后介绍了HFS+文件系统存储和删除数据时的工作流程;在此基础上针对HFS+文件系统存储文件时的特点,对在其环境下恢复文件的可能性进行了探讨,通过对进入废纸篓文件的恢复、完全删除的文件的恢复以及对磁盘的关键字搜索和虚拟内存的搜索这三方面初步证明了在HFS+的系统中对文件进行数据恢复是可行的。     

一种闪存文件系统的数据恢复机制

基于面向大容量NAND闪存的嵌入式文件系统CFFS,结合其对芯片上数据的索引方式,在CFFS中引入引用节点和页位图等数据结构和相应算法,提出一种数据恢复机制。该机制在数据遭到破坏时将闪存文件系统恢复到一个一致的历史状态,保证芯片上数据的一致性和可用性。     

FAT32文件系统下的数据恢复分析

针对用户在微软操作系统下误操作,造成数据丢失,提出如何找回数据方法.详细介绍了FAT32文件系统结构,各个链表之间的关系.根据文件存储特点,重点讲述了数据软恢复过程.     

基于Hadoop分布式文件系统的单点问题的研究

从Hadoop分布式文件系统的架构出发,对Name Node节点存在的单点问题进行了分析与研究。在这个前提下,针对单点内存瓶颈问题,提出了一个小文件归并算法。此算法以Hadoop为基础,利用Hadoop分布式文件系统的特点,将归并后生成的大文件序列化到Hadoop分布式文件系统,很好地解决了小文件过多时Name Node单点内存瓶颈问题,并提高了系统的性能和可靠性。     

智能化GPRS DTU的嵌入式混合文件系统

针对GPRS数据终端单元（DTU）的智能化需求,提出一种Cramfs＋JFFS2＋Initramfs的嵌入式混合文件系统设计方案。采用自顶向下和自底向上相结合的设计方法,以dropbear为例介绍组件的选择和实现。在系统集成设计中,给出一种软链接技术替代复制的设计方法,并对脚本设计进行说明。该嵌入式文件系统已成为智能化GPRS DTU的核心模块,运行稳定。     

基于EXT3文件系统数据恢复方法的研究

文章研究了基于日志文件的EXT3文件系统数据恢复方法,采用实例式研究方法,首先分析了EXT3文件系统中文件构成和文件被删除之后inode结点的变化;接下来研究了通过inode编号定位inode结点所在数据块的方法,以及通过日志恢复被删除文件的地址指针和文件名称的方法;最后介绍了通过地址指针和文件名将若干个地址空间中的数据合并成一个文件的方法。最终得出的结论是在日志文件和删除数据未被完全覆盖的情况下,可以通过日志有效恢复EXT3文件系统中被删除的文件。该研究成果可应用于公安机关的电子数据鉴定工作,也可作为公安院校的《电子物证检验》课程。     

基于EXT4文件系统的数据恢复方法研究

研究EXT4文件系统中删除文件的恢复方法对计算机取证工作有重要意义。文章研究了在EXT4文件系统中通过日志中的备份信息进行数据恢复的方法。采用了实例式研究方法,分析了EXT4文件系统中extent树的构成,分析了文件被删除之后extent树的变化,研究了通过inode编号定位inode结点所在数据块的方法,研究了通过日志恢复被删除文件的方法。文章得出的结论是在日志文件和删除数据未被完全覆盖的情况下,可以通过日志有效恢复EXT4文件系统中被删除的文件。文章的研究成果可以应用在公安机关的电子数据鉴定工作中,也可用于公安院校的《电子物证检验》课程教学。