一种基于本地多层特征和网络特征的勒索软件检测方法

：本发明是一种混合检测方法，该方法在在基于动态行为的检测勒索软件有着很高的准确率，能够有效的保护用户计算机避免勒索软件的入侵。

背景技术

0、
背景技术：

1、勒索软件是一类恶意软件，阻止用户访问系统或文件；这可以通过锁定用户的设备或加密用户的文件来实现。用户必须支付一定数量的钱(赎金)才能重新访问锁定的系统或加密文件。

2、勒索软件攻击的数量显著增长，勒索软件变种采用了复杂的技术来传播、加密和逃避防御机制。随着攻击数量的增加，勒索软件已经成为企业和个人的一个突出威胁。勒索软件的成功是因为它使攻击者能够以有限的努力和较低的风险获得巨额金钱收益，特别是当受害者的关键或尴尬信息受到威胁时。勒索软件是世界上最具破坏性的安全威胁形式之一。

3、勒索软件检测技术与现有的一般恶意软件检测方法属于相同的一般类别，一般包括基于静态签名的分析和基于行为分析。基于静态签名的检测只能检测已知的勒索病毒；对检测新型勒索软件没有帮助。行为分析包括对流程的实时监控，以识别异常行为。这涉及分析对特定文件、进程、连接或服务的所有访问请求，包括在操作系统级别执行的每个低级指令或已调用的任何其他程序。

技术实现思路

0、
技术实现要素：

1、为了帮助普通计算机用户避免在被勒索软件攻击时造成更大的经济损失，可以及时的得知计算机被勒索软件攻击，从而结束进程，本发明公开了一种基于本地多层特征和网络特征的勒索软件检测方法。

2、为此，本发明提供了如下技术方案：

3、1.基于本地多层特征和网络特征的勒索软件检测方法，该方法的具体步骤如下：步骤1：运行收集到的勒索软件，分别收集在计算机本地运行的特征和勒索软件在一定时间中使用互联网的特征。

4、步骤2：将收集到的特征进行分类比较和计算，作为能够训练机器学习模型的特征输入。

5、步骤3：训练机器学习模型形成分类器。

6、步骤4：判断模块的判断结果输出。

7、2.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤1，中运行收集到的勒索软件，分别收集在计算机本地运行的特征和勒索软件在一定时间中使用互联网的特征，具体步骤为：

8、步骤1-1收集勒索软件样本集合，样本获取在网站[virusshare.com]中，和正常软件集合，作为对比；

9、步骤1-2所有收集的样本使用cuckoo沙盒进行分析。cuckoo沙盒搭载windows 7(64位)系统，而且安装了常用的应用程序，ms office、adobe reader、chrome browser等。运行cuckoo软件的主机与分析机(guest)之间的虚拟网络使用仅主机的适配器网络布局。为分析机器提供了完整的互联网接入，以收集勒索软件的网络通信数据；

10、步骤1-3使用cuckoo沙盒运行所有的样本，收集cuckoo沙盒分析后的报告，并且规定运行时长，收集每个样本运行后的网络通信文件(.pcap文件)。

11、3.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤2中，将收集到的特征进行分类比较和计算，作为能够训练机器学习模型的特征输入，具体步骤为：

12、步骤2-1将收集到的pcap文件提取相关的网络特征；

13、步骤2-2收集cuckoo沙盒的报告，提取api特征，执行删除文件的扩展名drop，注册表键操作，文件操作，文件目录操作和嵌入的字符串作为本地多层特征；

14、步骤2-3将提取的网络特征和从cuckoo沙盒中收集到的特征分别写入为.csv文件。

15、4.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤3中，训练机器学习模型形成分类器，具体步骤为：

16、步骤3-1将本地多层特征进行特征进一步的提取，使用scikit-learn库selectkbest和卡方检验来选择相关的特征，卡方统计量的计算如公式1：

17、

18、网络特征的特征较少则不用进行进一步的特征选择；

19、步骤3-2基于本地多层特征分类器(c1)机器学习算法构造为随机森林(randomforest,rf)算法有更高的准确率和稳定性，基于网络特征分类器(c2)机器学习算法构造为决策树(decision tree,dt)；

20、5.根据权利要求1所述的勒索软件检测方法，其特征在于，在所述步骤4中，判断模块的判断结果输出，具体过程为：

21、步骤4-1根据分类器c1和c2的输出结果，判断单元进行决策，如公式2:

22、

23、分类器为2个，m＝2，分类器的的概率p，如公式3所示：

24、

25、输出的类别模式为w，如公式4所示:

26、

27、步骤4-2执行要判定的软件，判断单元在收到都为恶意时，执行步骤4-3。当收到为可疑时，执行步骤4-4。当收到为良性时，执行步骤4-5；

28、步骤4-3判断单元输出确定为勒索软件，停止运行的软件，隔离受感染的网络和磁盘；

29、步骤4-4情况为一个分类器判定为恶意另一个分类器判定为良性则判断单元对此为有可疑操作，并申请关闭受感染的磁盘和网络；

30、步骤4-5判断单元判定为正常软件，不做任何处理。

技术特征：

1.基于本地多层特征和网络特征的勒索软件检测方法，该方法的具体步骤如下：

2.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤1，中运行收集到的勒索软件，分别收集在计算机本地运行的特征和勒索软件在一定时间中使用互联网的特征，具体步骤为：

3.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤2中，将收集到的特征进行分类比较和计算，作为能够训练机器学习模型的特征输入，具体步骤为：

4.根据权利要求1所述的勒索软件检测方法，其特征在于，所述步骤3中，训练机器学习模型形成分类器，具体步骤为：

5.根据权利要求1所述的勒索软件检测方法，其特征在于，在所述步骤4中，判断模块的判断结果输出，具体过程为：

技术总结
本发明提出了一种融合机器学习的行为勒索软件检测模型。该模型使用混合系统，结合本地动态行为特征，即API调用、注册表键值操作和文件操作行为等特征，同时使用基于会话的网络行为特征。本检测模型能够进行有效的特征提取，具有较高的检测准确率、较低的误报率，能够有效地跟踪和检测勒索软件行为活动。

技术研发人员：孙楷轩,唐远新,翟继强
受保护的技术使用者：哈尔滨理工大学
技术研发日：
技术公布日：2024/1/15