面向工业环境中的实时轻量级勒索软件检测和响应

【编者按】深信服和华中科技大学的Shenao Wang及其团队在题为《CanCal: Towards Real-time and Lightweight Ransomware Detection and Response in Industrial Environments》的论文中提出了CanCal，一种创新的实时轻量级勒索软件检测和响应系统。该系统通过选择性监控可疑进程、集成多种检测技术和使用细粒度行为分析，有效减少了系统开销和误报。CanCal在处理300万个事件时实现了99.65%的真正阳性率和接近零的误报率，响应时间仅为30毫秒。成功部署在332万个端点上，显著提升了工业环境中的勒索软件防护能力。此系统为大规模应用提供了一种高效、实用的解决方案。

论文摘要

研究背景

随着勒索软件攻击的不断演变，传统的安全防护系统面临越来越大的挑战。传统的基于签名的端点检测和响应（EDR）系统依赖于识别二进制文件中的已知模式，这种方法容易受到现代勒索软件混淆技术的规避。尽管行为分析方法提供了对勒索软件活动的动态监控能力，但其在工业规模环境中的应用仍然受到时间延迟和系统开销的限制。传统的批处理分析方法会在较长时间内收集运行时数据，然后进行离线分析，这种方式在实际的工业环境中往往无法满足实时检测的需求。

基于诱饵的检测系统通过部署诱饵文件来引诱勒索软件，这种方法虽然能够主动检测威胁，但往往会产生大量误报，导致警报疲劳和分析工作量过大。这一问题在大型工业环境中尤为严重，因为在这些环境中，检测系统的警报管理能力直接影响到其有效性。如何在确保高效检测的同时减少误报，并在海量警报中准确识别勒索软件进程，是当前面临的一个重要研究课题。

主要贡献

1. 轻量级进程过滤：CanCal引入了一种新型的进程监控机制，通过选择性监控表现出勒索软件行为的可疑进程，显著降低了系统的计算和存储开销。与传统方法不同，CanCal不对所有进程进行监控，而是集中资源于可能的威胁，从而实现了实时检测和响应。这种轻量级的设计有效缓解了资源消耗问题，使得CanCal能够适应工业环境中实时处理大规模数据的需求。
2. 集成Canary监控：CanCal结合了多种监控技术，包括诱饵文件监控和勒索信监控，以提升检测能力。这种集成策略不仅增强了对勒索软件进程的捕捉能力，还提高了系统的召回率。通过同时使用多种监控方法，CanCal能够覆盖更多的潜在威胁，并减少了漏报的可能性。
3. 细粒度检测：为了应对警报疲劳问题，CanCal采用了细粒度检测技术。系统利用梯度提升决策树对可疑进程的行为进行深度分析，从而准确区分恶意活动与良性活动。这种细粒度的检测机制能够有效减少误报，提高警报的可靠性，使安全分析师能够更高效地处理警报，减少了因误报带来的工作负担。
4. 创新组件：CanCal的设计包括三个创新组件：轻量级诱饵文件监视器、基于语义的勒索信监控器和多粒度行为检测器。轻量级诱饵文件监视器通过主动设置诱饵文件，有效引诱勒索软件暴露其活动；基于语义的勒索信监控器通过分析文件中的文本模式快速检测勒索信；多粒度行为检测器通过结合自动构建的嵌入和专家特征，捕捉复杂的勒索软件行为。这些创新组件共同提升了CanCal的检测能力和实时响应性能。

成果评估

在大规模工业环境中的测试结果表明，CanCal在处理555,678个未知勒索软件行为事件时，实现了99.65%的真正阳性率和接近零的误报率。相比于传统方法，CanCal显著降低了系统资源的消耗，将平均CPU利用率降低了91.04%，峰值CPU利用率降低了76.69%。此外，CanCal还有效减少了安全分析员的检查工作量，避免了76.50%的不必要的过程干扰。经过一年多的实际部署，CanCal在332万个端点上成功阻止了61次勒索软件攻击，证明了其在对抗各种勒索软件变种中的有效性。对2023年3月至6月的27次勒索软件攻击的详细手动取证分析进一步证实了CanCal在应对复杂和未知威胁方面的能力。

总体而言，CanCal在实时轻量级勒索软件检测和响应方面展现了卓越的性能，提供了一个有效的解决方案，可以在多个行业中提供可靠的防护。

参考资源

1、https://arxiv.org/html/2408.16515v1