文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

研究人员提出应对勒索软件攻击的行为分析与SSD数据恢复方法

2024-12-14 00:02

关注

来自韩国仁荷大学(Inha University)、大邱庆北科技学院(DGIST)、中佛罗里达大学(UCF)、以及梨花女子大学(EWU)网络安全系的一支研究团队,刚刚介绍了一套应对勒索软件攻击的 SSD 数据检测与恢复方法。据说这套名为“SSD-Insider”的方案可实现几乎 100% 的准确性,且已通过现实世界中勒索软件的测试考验。

研究配图(来自:UCF | PDF)

据悉,SSD-Insider 的工作原理,是识别 SSD 活动中某些已知可辨别的勒索软件行为模式。

为了仅通过 IO 请求标头的分布来识别勒索软件活动,研究团队留意到 WannaCry、Mole 和 CryptoShield 等勒索软件,都具有相当独特的覆盖行为。

仁荷大学研究员 DaeHun Nyang 在接受 The Register 采访时称:“当 SSD-Insider 检测到勒索软件活动时,存储器的输入 / 输出(IO)将被暂停,以便用户能够对勒索软件进程进行剔除”。

勒索软件行为模式分析

在勒索软件被中止时,SSD-Insider 还可通过 SSD 的独特属性,来恢复已丢失的文件。

文章指出:在被新数据覆盖之前,固态存储器将始终保留此前被删除的数据,直到后续被主控和固件的垃圾回收机制给清理。

通过利用 SSD 的这一内置备份功能,SSD-Insider 也得以追踪驱动器内的旧版本数据。然后在勒索软件检测算法确认新版本数据未受到勒索软件影响之前,这些数据都将不被彻底删除。

SSD-Insider 测试表现

SSD-Insider 的真正独特之处,在于它甚至能够以固件级别运行。那样即使系统上没有安装相应的安全软件,用户也可获得抵御勒索软件攻击的益处。

此外,论文中提到了传统软件防御方法的缺点,比如反勒索软件的 CPU 开销较高、且某些勒索软件可能逃脱反病毒软件的检测。相比之下,SSD-Insider 的时间开销仅在 147~254 ns 左右。

以 WannaCry 等勒索软件展开测试时,SSD-Insider 为放过任何勒索软件活动,且极少触发误报。在所有测试场景下,其错误拒绝率(FRR)为零、错误接受率(FAR)也几乎为零。

测试训练用的勒索软件 / 应用程序

研究人员指出:就 FRR 而言,最糟糕的“背景噪声”,来源于 IO / CPU 密集型的工作环境。至于 FAR,最糟糕的情况也是 DataWiping 和数据库等重覆盖类型的工作场景。

当然,对于防病毒研究人员来说,SSD-Insider 的这样的方法也并不是万无一失的。

毕竟在勒索软件开发者知晓了该方案的存在之后,后续仍可开发出对应的绕过方法,所以大家还是要养成定期备份数据的好习惯。

 

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯