基于機器學習的Mac OS平臺加密勒索軟件主動防御方案

譚昕，周安民，張磊，陳航

（1.四川大學電子信息學院，成都 610065；2.四川無聲信息技術(shù)有限公司，成都 610041）

基于機器學習的Mac OS平臺加密勒索軟件主動防御方案

譚昕1，周安民1，張磊2，陳航2

（1.四川大學電子信息學院，成都 610065；2.四川無聲信息技術(shù)有限公司，成都 610041）

近年來，由加密型勒索軟件引起的網(wǎng)絡安全事件的數(shù)量大幅度增長，受害者廣布全球。加密型勒索軟件采用高強度加密算法對用戶文件加密，目前對加密型勒索軟件沒有可靠的事前防御和檢測措施，用戶數(shù)據(jù)一旦被勒索軟件加密，傳統(tǒng)的反病毒軟件無能為力。為了解決以上問題，從惡意軟件主動防御的思想出發(fā)，提出一種基于機器學習的針對加密型勒索軟件的防御方案，并在Mac OS平臺實現(xiàn)。通過對程序的實時行為監(jiān)控，從文件操作行為的關(guān)鍵數(shù)據(jù)中提取多種特征，采用不同的分類方法對加密數(shù)據(jù)和正常數(shù)據(jù)進行識別，捕捉加密型勒索軟件行為，并采取相應的控制手段。

勒索軟件；文件加密；機器學習；主動防御；行為監(jiān)控；Mac OS平臺

0 引言

勒索軟件是一種特殊的惡意軟件，通常以木馬病毒的形式傳播，與常規(guī)惡意軟件最大的不同在于其行為。勒索軟件在受害者計算機上運行起來以后，會通過鎖定操作系統(tǒng)或加密計算機上的檔案數(shù)據(jù)等手段影響受害者的正常使用，并要求受害者支付贖金以恢復操作系統(tǒng)或檔案數(shù)據(jù)。2013年，利用難以追蹤的比特幣進行勒索的勒索軟件CryptoLocker出現(xiàn)以后，由勒索軟件引起的安全事件數(shù)量得到爆發(fā)式的增長。

在本研究中，我們以高表達her-2的NCI-N87胃癌細胞株為研究對象，通過研究不同濃度的槐耳清膏在處理細胞不同時間后，對NCI-N87細胞增殖、凋亡及相關(guān)自噬蛋白表達的影響。

勒索軟件就其行為可以分為非加密型勒索軟件和加密型勒索軟件。非加密型勒索軟件鎖定受害者計算機，影響其正常使用，這種鎖定可以通過各種技術(shù)手段進行恢復。加密型勒索軟件采用加密算法，對受害者的檔案、郵件、圖片等數(shù)據(jù)進行加密，傳統(tǒng)的惡意軟件檢測方法無法應對此行為，而對于受害者來說，破解高強度加密算法是徒勞無功的。目前針對加密型勒索軟件的防御技術(shù)主要有構(gòu)建社會關(guān)系模型[1]和蜜罐技術(shù)[2]，能夠防御已存在的加密勒索軟件，但是都有被其變種繞過的風險。

鑒于以上問題，本文設計了一種基于機器學習的針對加密型勒索軟件的主動防御模塊，并在Mac OS平臺上進行初步實現(xiàn)。從程序?qū)ξ募牟僮餍袨橹刑崛「鞣N特征出發(fā)，訓練穩(wěn)定的行為判別模型，在對文件操作的實時監(jiān)控中利用該模型鑒別正常行為和異常行為，并對異常行為做出反應。

1 關(guān)鍵技術(shù)

1.1 基本思想

由于最近我認真復習，模擬考試一連幾次都是“優(yōu)”，尤其是數(shù)學，連考了好幾次一百分。我想：只要自己繼續(xù)努力，期末一定能考出好成績。想到這些，我的心里甜甜的。

加密型勒索軟件執(zhí)行在普通用戶權(quán)限下就可以完成其行為，且目的性極強。所有加密型勒索軟件都是以要求受害者支付贖金為最終目的，對用戶的文檔或圖片等文件進行加密。加密型勒索軟件的關(guān)鍵行為是對文件的操作，主要是對文件內(nèi)容的加密和對原始文件的改寫或破壞。根據(jù)這個特點，本文采用基于機器學習[3-4]的分類方法識別文件操作中的加密行為和正常行為，并在主動防御控制模塊設置相關(guān)策略，監(jiān)控程序?qū)ξ募母膶懟蚱茐男袨椤?/p>

為了區(qū)分程序的加密行為和正常行為，首先需要提取能夠描述其行為的關(guān)鍵數(shù)據(jù)[5]。關(guān)鍵數(shù)據(jù)可歸納為關(guān)系描述元素和數(shù)據(jù)描述元素兩類。關(guān)系描述元素是能夠表述程序執(zhí)行流程或依賴關(guān)系的元素，如函數(shù)調(diào)用序列、程序控制流程、數(shù)據(jù)依賴關(guān)系等。數(shù)據(jù)描述元素是程序執(zhí)行流程中實際操作的數(shù)據(jù)，如程序執(zhí)行的系統(tǒng)調(diào)用及其參數(shù)、程序?qū)ο到y(tǒng)資源的操作情況等。根據(jù)程序的關(guān)系描述元素提取特征并訓練有效的判別模型通常需要對大量的樣本程序進行系統(tǒng)性的分析，考慮到目前勒索軟件樣本數(shù)量較少的情況，本文將關(guān)鍵數(shù)據(jù)定位為程序執(zhí)行關(guān)鍵系統(tǒng)調(diào)用的數(shù)據(jù)元素。對加密型勒索軟件來說即是程序執(zhí)行文件操作中的數(shù)據(jù)，通過提取文件操作過程中所操作數(shù)據(jù)的多個特點作為區(qū)別加密數(shù)據(jù)和非加密數(shù)據(jù)的主要特征[6]。

模8校驗根據(jù)絕大部分加密算法的密鑰長度是一個8字節(jié)的倍數(shù)這個特點對文件數(shù)據(jù)的長度進行特征提取。主要衡量兩個指標：數(shù)據(jù)經(jīng)過操作以后字節(jié)長度是否是8的倍數(shù)，數(shù)據(jù)經(jīng)過操作以后字節(jié)長度改變量是否是8的倍數(shù)。采用模8校驗的布爾型結(jié)果作為數(shù)據(jù)是否被加密的一個輔助特征。

2.3 訓練結(jié)果

控制模塊通過監(jiān)控程序執(zhí)行過程中的關(guān)鍵系統(tǒng)調(diào)用獲取其行為[7-8]，控制策略捕捉對文件的改寫或破壞行為，根據(jù)判別模型判定程序行為是否異常，并采取對應的措施。為了保證時效性，主動防御模塊作為內(nèi)核擴展運行在ring0級權(quán)限。

馬克思主義群眾史觀的確立為國際共產(chǎn)主義運動指明了方向，一個半世紀以來，在東西方的無產(chǎn)階級革命斗爭中、在“三個國際”的奮斗歷程中充分展示了理論魅力和實踐效應。與此同時，馬恩的后繼者們也在不斷地進行著把馬克思主義群眾史觀與本國國情相結(jié)合的具體化工作，不斷豐富和發(fā)展著馬克思主義的群眾史觀。到目前為止，馬克思主義群眾史觀的共識性理念已基本形成，具體來說，主要包括以下三個方面：

1.2 模塊架構(gòu)

本文選取J48決策樹，SVM兩種主流分類方法對樣本數(shù)據(jù)進行分類與識別，以兩種分類方法的準確度、靈敏度、特異度三種評價指標作為為主動防御模塊選取分類策略的依據(jù)。在本實驗中，準確率反映的是分類器對全部樣本的綜合判別性能，靈敏度反映的是分類器預測非加密數(shù)據(jù)為非加密數(shù)據(jù)的能力，特異度反映的是分類器預測加密數(shù)據(jù)為加密數(shù)據(jù)的能力。

圖1 主動防御模塊架構(gòu)

2 數(shù)據(jù)分類與識別

良好的板書設計能力，能夠讓教師的課更加受學生歡迎。誰都會喜歡美觀、設計感強的東西。如果教師的板書在內(nèi)容上高度概括，在語言上簡潔明了，在書寫上清晰整潔，在形式上具有審美價值，那么學生便會更加喜歡上課，同時教師在無形中也會給學生起到潛移默化的示范作用。

為了便于特征提取，本文以加密型勒索軟件的主要目標文件對象作為數(shù)據(jù)樣本。樣本正例為包括壓縮文件在內(nèi)的正常文件，具體為大小、數(shù)量均勻的.ppt、. pptx、.doc、.docx、.pdf、.xls、.xlsx、.csv、.jpg、.png、.gif等多種擴展類型的檔案數(shù)據(jù)類文件1200個以及對這些文件采用gzip、bzip、lzma壓縮算法進行壓縮以后的文件總計4800個。反例為對原始文件數(shù)據(jù)進行AES、DES、RSA不同位數(shù)秘鑰加密算法進行加密以后的加密文件4800個，采用交叉驗證的方法進行分類與測試。

小學老師都有一顆長不大的心，只有這樣才能和小學生親近。小學生都是好動的。在課堂上，他們不會放棄一點點可以動的機會，那么老師就可以充分運用小學生的這一點心理，在動中教會他們知識。如在漢語拼音第6課教j、q、x的兒歌時，老師可以和學生一起做動作來加深印象：星期天（一起做7的手勢），洗衣裳（做兩手搓衣服的動作）；洗衣機，嗡嗡響（加入手指轉(zhuǎn)動的動作）；媽媽洗衣，我?guī)兔Γ▋墒址旁谛乜?，做“我”的動作）。除了動作，面部表情也蘊含了大量的情感信息，老師和學生一起運用表情和動作來增進課堂教學的情感交流，使拼音教學課堂充滿生機！

表1 樣本正例類別及數(shù)量

表2 樣本反例類別及數(shù)量

2.2 特征提取

本文從多個角度以提取信息量、卡方校驗、蒙特卡羅方法、模8校驗這4種方法提取每個文件數(shù)據(jù)的結(jié)構(gòu)特征。

信息量即熵，對文件數(shù)據(jù)來說就是通過統(tǒng)計數(shù)據(jù)內(nèi)容中每個字符出現(xiàn)的數(shù)量來反映該文件的信息密度。計算熵的公式如式（1）所示。

根據(jù)表4所示的分類結(jié)果可知，采用J48和SVM分類算法識別加密數(shù)據(jù)和非加密數(shù)據(jù)的準確率都達到了95%以上，比較可靠。而從主動防御思想的關(guān)鍵指標特異性的角度來說，SVM分類算法要優(yōu)于J48分類算法。

在重慶，沙千里曾與何懼創(chuàng)辦工廠，并曾任建國機器廠經(jīng)理、建成實業(yè)公司經(jīng)理、和春麥粉廠經(jīng)理等職，與重慶的工商界有一定的聯(lián)系。當時重慶的不少中、小資本家對“四大家族”的壓迫和吞并十分不滿，沙千里就團結(jié)他們反對國民黨腐敗的經(jīng)濟制度。沙千里還組織基層公務員和企業(yè)職工討論物價上漲、生活困難的原因，指明這是和“四大家族”在經(jīng)濟上的掠奪有密切關(guān)系。

蒙特·卡羅方法是一種基于概率統(tǒng)計理論的一類數(shù)值計算方法，主要是利用隨機數(shù)以一種“部分估計整體”的思想來解決計算問題，往往用于求解某種隨機事件出現(xiàn)的概率，或者是某個隨機變量的期望值。本文利用蒙特·卡羅求解π的思想來提取數(shù)據(jù)中字節(jié)分布的隨機性特征。將文件中的數(shù)據(jù)按字節(jié)分為X={x1，x2，x3，…，xn}和Y={y1，y2，y3，…，yn}兩個序列作為坐標集，統(tǒng)計位于半徑為字節(jié)排列總數(shù)256的單位圓內(nèi)的坐標個數(shù)，記為C，若X和Y為高隨機性序列，則C近似于nπ/4。因此由（3）式可以計算C與的偏差，偏差越低表明該數(shù)據(jù)的字節(jié)分布越隨機。

例如，我在高中數(shù)學基本初級函數(shù)的第一課指數(shù)函數(shù)教學中就運用了微課程。在網(wǎng)絡上找到優(yōu)秀的相關(guān)內(nèi)容教學視頻并下載下來，在課堂教學中適時地加以利用。比傳統(tǒng)的板書教學更加形象和容易讓學生接受，學生很快就熟練掌握了函數(shù)的定義圖像等知識點。并且微視頻短小精悍，內(nèi)容直奔主題，收放自如，對于教學中重點知識又能給予充足且詳細的講解。指數(shù)函數(shù)課堂教學中使用微課程取得了非常明顯的成果，學生也更愿意接受這樣的方式。

對提取出來的每個特征計算信息增益以衡量其對分類效果的貢獻程度。信息增益被廣泛用于特征篩選，其計算公式下：

在（4）式中，H為式（1）中的熵函數(shù)，X表示樣本集，Z表示一個特征。一個特征的信息增益可以直觀表示該特征對分類算法提供了多少信息，簡而言之，若特征Z對分類效果毫無貢獻，即Z與X相互獨立，H（X）= H（X|Z），則特征Z不會為分類算法提供任何信息，即信息增益為0。

diff=(parent_diff+(parent_diff/2048 * max(1- (block_timestampparent_timestamp)/10,-99)))+ 2^(periodCount-2)

表3為對9600個樣本計算每種特征方法所提取特征的信息增益。可以看到，這些特征都對分類效果有一定貢獻程度，都反映出了加密數(shù)據(jù)和非加密數(shù)據(jù)的差異，其中以信息量最為顯著。

第二，電永磁吸附式上部裝配平臺：電永磁吸附式上部平臺（見圖1右側(cè)部分）主要用于搭接及對接激光焊接試驗，可以實現(xiàn)厚度為3mm+2mm或以上組合不銹鋼搭接試板的壓緊。電永磁吸盤通過螺栓連接固定在下部支撐框架平臺上，連接可靠拆卸方便。導磁塊安裝于電永磁吸盤上，安裝好后進行整體加工，加工后導磁塊厚度為20mm，最后進行表面鍍鉻處理。鍍鉻處理后，鍍層附著良好，不會出現(xiàn)脫落剝離現(xiàn)象。

表3 特征的信息增益

本文的學術(shù)貢獻有3點：第一，研究視角上，專門論證了簽證政策對入境旅游的影響，從而為簽證政策的進一步改革提供理論支撐；第二，研究內(nèi)容上，對過境免簽政策進行梳理并進行有效性論證，分析過境免簽政策的動態(tài)效應及其在時間上的變化趨勢；第三，研究方法上，首次將更為前沿的傾向得分匹配—雙重差分法（PSM-DID）引入旅游政策的論證中，有助于推進旅游管理與旅游經(jīng)濟研究的深入開展。本文后續(xù)安排如下：第二部分概述過境免簽政策并確定研究對象；第三部分進行研究設計；第四部分為實證結(jié)果；第五部分為結(jié)論和建議。

主動防御模塊的基本框架如圖1所示，模塊主要分為兩個階段：訓練階段和控制階段。訓練階段主要完成對樣本數(shù)據(jù)的特征提取和對樣本的訓練，其中特征提取部分選取多種方法提取所需的特征，以便于分類算法訓練分類器，方法包括提取信息量、卡方校驗[9]、蒙特卡羅方法[10]、模8校驗。樣本訓練部分根據(jù)樣本特征通過多分類算法訓練、集成分類器?？刂齐A段即監(jiān)控程序的文件操作行為，模塊采取系統(tǒng)調(diào)用表劫持和Mac OS平臺固有的內(nèi)核授權(quán)系統(tǒng)（Kauth）結(jié)合的方案。系統(tǒng)調(diào)用表是內(nèi)核系統(tǒng)調(diào)用的地址索引集合，程序運行期間產(chǎn)生的各種操作一般都要通過內(nèi)核系統(tǒng)調(diào)用來實現(xiàn)，因此，通過修改系統(tǒng)調(diào)用表文件操作相關(guān)的系統(tǒng)調(diào)用函數(shù)地址為主動防御模塊函數(shù)地址來使主動防御模塊接管內(nèi)核系統(tǒng)調(diào)用，達到監(jiān)控和阻止異常行為的目的。或者通過內(nèi)核授權(quán)系統(tǒng)標記不可信程序，盡量減少了系統(tǒng)負擔。

將2.2節(jié)描述的4種特征作為組合特征，采用10折交叉驗證進行分類。分類結(jié)果如表4所示：

表4 分類結(jié)果

卡方校驗主要用于統(tǒng)計樣本的實際觀測值與理論推斷值之間的偏離程度，實際觀測值與理論推斷值之間的偏離程度就決定卡方值的大小?？ǚ綑z驗根據(jù)樣本構(gòu)造統(tǒng)計量，再由卡方分布建立檢驗規(guī)則。統(tǒng)計學家卡爾·皮爾遜提出的卡方檢驗統(tǒng)計量公式如式（2）所示，其中pi為由理論分布確定的個體概率，則npi為樣本的理論頻數(shù)，fi為樣本實際頻數(shù)，該統(tǒng)計量服從自由度為k-1的卡方分布。本文對實際文件中的字節(jié)數(shù)據(jù)進行卡方校驗以提取能夠體現(xiàn)加密數(shù)據(jù)和非加密數(shù)據(jù)差異性的關(guān)鍵特征。

3 主動防御模塊

3.1 實現(xiàn)流程

主動防御模塊的功能實現(xiàn)分為兩個階段：事件標記階段和行為控制階段。流程如圖2所示：

第1步模塊初始化，構(gòu)造白名單列表和監(jiān)聽列表。檢測系統(tǒng)中二進制可執(zhí)行文件是否具有官方簽名，將有官方簽名的可執(zhí)行文件添加至白名單列表。

制度不是掛在墻上看的，只有切切實實的執(zhí)行，才能真正見效。鄉(xiāng)鎮(zhèn)財政所要積極促進資金監(jiān)管工作的有序開展，將分配涉及群眾切身利益的各項財政補助資金，切實納入涉農(nóng)資金公開范圍，公開分配結(jié)果，將資金使用情況公開化、透明化，接受群眾監(jiān)督。堅持自查與整改相結(jié)合，建立健全事前、事中、事后相結(jié)合的監(jiān)督機制。倡導鄉(xiāng)鎮(zhèn)財政干部增強財經(jīng)法規(guī)意識，強化依法理財意識，自覺遵守財經(jīng)法紀。發(fā)現(xiàn)問題，嚴格責任追究，確保財政資金監(jiān)管的權(quán)威性。例如，針對這次巡查，泰安市對在巡查中發(fā)現(xiàn)的問題，及時研究解決處理意見，并對存在問題的單位下達整改通知書，發(fā)現(xiàn)涉及違紀違規(guī)的按相關(guān)規(guī)定辦理。同時，與審計、紀檢等部門建立巡查結(jié)果共享機制。

第2步事件標記階段監(jiān)聽系統(tǒng)中所有程序的文件資源請求，根據(jù)白名單辨別其是否是系統(tǒng)合法程序。有文件資源請求的非白名單程序及其請求操作的目標文件將被加入監(jiān)聽列表。

2.1 樣本選取

第3步行為控制階段對監(jiān)聽列表中的程序和程序操作目標進一步監(jiān)控，判斷其是否存在向操作目標寫入加密數(shù)據(jù)或生成加密文件并破壞原始文件等符合加密型勒索軟件特點的可疑行為。

第4步如果未知程序存在第3步中的可疑行為，行為控制模塊立刻處理并隔離該程序。

第5步程序的文件操作行為結(jié)束以后，更新監(jiān)聽列表。

圖2 主動防御模塊實現(xiàn)流程

3.2 事件標記階段

為了降低誤報率和減少對系統(tǒng)造成的負擔，事件標記階段根據(jù)系統(tǒng)程序白名單實時對系統(tǒng)中存在文件打開請求的程序進行分類，并將無官方簽名的程序加入監(jiān)聽列表。這一階段的監(jiān)聽主要通過擴展Mac OS系統(tǒng)的強制訪問控制框架中內(nèi)核授權(quán)子系統(tǒng)來實現(xiàn)。

強制訪問控制框架是Mac OS系統(tǒng)的一項安全特性[11]，限制特定進程針對具體文件或資源的訪問權(quán)限，是Mac OS和iOS系統(tǒng)沙盒機制的基礎(chǔ)。內(nèi)核授權(quán)子系統(tǒng)最初是為了實現(xiàn)強制訪問控制框架中的訪問控制列表組件，訪問控制列表對程序的進程跟蹤、文件操作、節(jié)點操作等訪問系統(tǒng)資源的請求進行過濾，并根據(jù)策略拒絕非法資源請求或者授權(quán)合法資源請求。因此可以通過內(nèi)核授權(quán)系統(tǒng)的內(nèi)核接口擴展訪問控制策略，以便于反病毒擴展的開發(fā)。本文通過注冊監(jiān)聽器，擴展內(nèi)核授權(quán)子系統(tǒng)以監(jiān)聽系統(tǒng)中所有程序?qū)ξ募Y源的句柄打開請求。

3.3 行為控制模塊

行為控制階段以程序的行為作為控制策略的核心，主要關(guān)注加密型勒索軟件的惡意行為，如向文件寫入加密數(shù)據(jù)或生成加密文件并破壞原始文件的行為。本文在Mac OS系統(tǒng)上通過修改系統(tǒng)調(diào)用表中文件操作類系統(tǒng)調(diào)用函數(shù)地址，接管相應的內(nèi)核系統(tǒng)調(diào)用以對3.1節(jié)所述監(jiān)聽列表中程序的文件操作進行監(jiān)控。對程序持續(xù)跟蹤，根據(jù)第3章所述的分類方法識別正常數(shù)據(jù)和加密數(shù)據(jù)，并在加密數(shù)據(jù)破壞原始文件之前主動阻止，以達到主動防御的目的。圖3以部分文件操作相關(guān)的系統(tǒng)調(diào)用為例展示行為控制模塊工作方式。

圖3 控制模塊工作方式

Mac OS系統(tǒng)為了防止內(nèi)核內(nèi)存被修改[13]主要采用了兩種保護機制，內(nèi)核地址隨機化和內(nèi)核內(nèi)存寫保護。內(nèi)核地址隨機化使系統(tǒng)在每次啟動時，內(nèi)核空間加載在不同的基地址上，通過一個有效內(nèi)核地址遍歷內(nèi)核地址空間可以找到準確的內(nèi)核基地址，比如通過指令rdmsr讀取MSR_IA32_LSTAR寄存器中保存的地址信息。內(nèi)核內(nèi)存寫保護防止內(nèi)核內(nèi)存被修改，可以通過修改控制寄存器CR0的寫保護位（WP位）以關(guān)閉。

本文采用Pedro Vilaca在2015年發(fā)布的概念證明性加密型勒索軟件Gopher對主動防御模塊進行測試。從系統(tǒng)控制臺中獲取的模塊日志信息如圖4所示，可以看到在程序?qū)σ粋€26KB的文件進行操作的過程中，行為控制模塊的分析和控制過程總共額外耗時在5毫秒以內(nèi)，沒有給系統(tǒng)造成過多負擔。

圖4 系統(tǒng)日志信息

4 結(jié)語

本文從分析加密數(shù)據(jù)和非加密數(shù)據(jù)的信息量、差異性、隨機性等特點出發(fā)，采用機器學習中的決策樹，支持向量機兩種分類方法，基于惡意軟件主動防御思想，提出了一種針對Mac OS平臺加密型勒索軟件的主動防御方案，并進行了初步的實現(xiàn)。實驗和測試結(jié)果表明采用支持向量機分類方法對加密數(shù)據(jù)和非加密數(shù)據(jù)的分類有較高準確度，主動防御方案能夠以此識別加密型勒索軟件的文件加密行為，并在行為發(fā)生之前高效主動阻斷加密型勒索軟件。

[1]Sittig D F,Singh H.A Socio-Technical Approach to Preventing,Mitigating,and Recovering from Ransomware Attacks[J].Applied Clinical Informatics,2016,7(2):624-632.

[2]Moore C.Detecting Ransomware with Honeypot Techniques[C].Cybersecurity and Cyberforensics Conference.2016:77-81.

[3]Pedregosa F,Varoquaux,Ga&#,Gramfort A,et al.Scikit-learn:Machine Learning in Python[J].Journal of Machine Learning Research, 2013,12(10):2825-2830.

[4]Rieck K,Trinius P,Willems C,et al.Automatic Analysis of Malware Behavior Using Machine Learning[J].Journal of Computer Security,2011,19(4):639-668.

[5]Wang R,Feng D G,Yang Y,et al.Semantics-Based Malware Behavior Signature Extraction and Detection Method[J].Journal of Software,2012,23(2):378-393.

[6]Ng W K,Ravishankar C V.Data Compression and Encryption System and Method Representing Records as Differences Between Sorted Domain Ordinals that Represent Field Values:US,US 5678043 A[P].1997.

[7]Nguyen N,Reiher P,Kuenning G H.Detecting Insider Threats by Monitoring System Call Activity[C].Information Assurance Workshop,2003.IEEE Systems,Man and Cybernetics Society.IEEE,2003:45-52.

[8]Jia C F,Zhong A M,Zhou X,et al.Research on Syscall-based Intrusion Detection Technology for Linux System[J].Application Research of Computers,2007,24(4):147-150.

[9]Fred B.Bryant,Albert Satorra.Principles and Practice of Scaled Difference Chi-Square Testing[J].Structural Equation Modeling A Multidisciplinary Journal,2012,19(3):372-398.

[10]Sen S K,Agarwal R P,Ali Shaykhian G.Golden Ratio Versus pi as Random Sequence Sources for Monte Carlo Integration[J].Mathematical&Computer Modelling An International Journal,2008,48(1-2):161-178.

[11]Levin J.Mac OS X and iOS Internals[J].Wiley John+Sons,2012.

[12]Wang F,Zhou D S.Design and Implementation of Active Defense System Based on White list[J].Computer Engineering&Design, 2011,32(7):2241-2240.

[13]Argyroudis P,Glynos D.Protecting the Core Kernel Exploitation Mitigations[J].

Ransomware Active Defense Method for Mac OS Platform Based on Machine Learning

TAN Xin1，ZHOU An-min1，ZHANG Lei2，CHEN Hang2

(1.College of Electronics Information Engineering,Sichuan University,Chengdu 610065；2.Silent Information Technology Co.,Ltd,Chengdu 610041)

In recent years,due to the rapidly increasing number of cyber security incidents caused by ransomware,the victims spreading worldwide. Ransomware uses high-intensity encryption algorithm to encrypt user’s files.There are no reliable pre-defense and detection measures for ransomware.The traditional anti-virus software is inability to do anything once user’s data is encrypted.In view of the above problems,based on the idea of active defense against malicious software,proposes an active defense method based on machine learning for ransomware and implements on the Mac OS platform.Extracts a variety of features from the key data information of the file operation behavior through the real-time behavior monitoring of the program,uses different classification methods to identify the encryption data and normal data,captures the behaviors of ransomware and takes corresponding control measures.

Ransomware;File Encryption;Machine Learning;Active Defense;Behavior Monitoring;Mac OS Platform

1007-1423（2017）04-0058-06

10.3969/j.issn.1007-1423.2017.04.013

譚昕（1990-），男，四川成都人，碩士研究生，研究方向為惡意代碼檢測

2016-12-06

2017-01-19

周安民（1963-），男，四川成都人，研究員，研究方向為信息系統(tǒng)安全保護技術(shù)