網路勒索病毒的特徵分析與知識本體模型建構

Using Signature Analyses to Construct an Ontological Model of Ransomware

林孝忠(Hsiao-Chung Lin)；王平(Ping Wang)；洪維謙(Wei-Qian, Hong)

勒索病毒 ； 知識本體 ； 正規化概念分析 ； Cuckoo ； 攻擊特徵 ； Ransomware ； Ontology ； FCA ； Cuckoo ； Attack vector

資訊安全通訊

25卷2期（2019 / 05 / 01）

37 - 58

繁體中文

近年隨著連網行動裝置與無線感測技術普遍化，帶動物聯網（Internet of Thing, IoT）與雲端服務的整合契機，通常物聯網設備使用精簡型的作業系統，無法安裝掃毒引擎，加上管理者缺乏持續的作業系統更新，容易產生資安漏洞並遭受攻擊，可以成為駭客攻擊的網路跳板，並造成企業或個人隱私資訊外洩！故本研究以樹莓派實作一個物聯網為基礎之智慧家庭的資網路防護系統，針對近期發生的勒索病毒（Ransomware）威脅，透過Cuckoo沙盒分析攻擊特徵（attack vectors），再運用正規化概念分析（Formal Concept Analysis, FCA）建構勒索病毒之知識本體模型（ontological model），其目的是希望能建立電腦病毒知識本體為一概念化的正規抽象模型，明確定義病毒與攻擊行為間之關聯，作為病毒類別與變種鑑定的參考依據，以強化析網路病毒防護與資安管理。

The growing popularity of employing of the mobile device enables the development of the Internet of Thing (IoT). Generally, IoT devices use an embedded operating system, cannot completely install anti-virus engines, and uers have not continuously updated the operating system. Consequently, system vulnerabilities prone to attacks and may lead to the privacy of business or personal information leakage. Accordingly, the present study proposes an IoT-based security defence system with Raspberry Pi to analyse the attack vectors of Ransomware using Cuckoo malware dynamic analysis platform. Importantly, an ontology-based method for developing domain ontologies using Formal Concept Analysis (FCA) technique is proposed. Experimental data show that our model is capable of performing the missions including of i) explicitly identifying the relations between Ransomware and their malicious behavior , ii) categorizing the Ransomware and the variations, and (iii) assist manager analyse the security controls for virus protection from cyber threats.

1. http://en.wikipedia.org/wiki/ Formal_concept_ analysis. (2018/8/7)
2. https://applealmond.com/posts/5171
3. https://buzzorange.com/techorange/2017/05/15/trendmicro-wannacry/. (2019/3/9)
4. https://zh.wikipedia.org/wiki/WannaCry (2018/7/28)
5. HoneyNet, “Cuckoo Sandbox”, https://github.com/ cuckoosandbox/cuckoo (2018/8/13)
6. Huang, H. D.(2010).Ontology-based intelligent system for malware behavioral analysis.WCCI 2010 IEEE World Congress on Computational Intelligence,Barcelona, Spain:
7. Y. Nativ, “GitHub- ytisf/theZoo: A repository of LIVE malwares for your own joy and pleasure” https://github.com/ytisf/theZoo (2018/8/01)
8. Noy, N.F.,McGuinness, D.L.(2001).Stanford Knowledge Systems Laboratory Technical ReportStanford Knowledge Systems Laboratory Technical Report,未出版
9. T. Priss, “Formal Concept Analysis in Information Science”. 2005, http://www.upriss.org.uk/fca/fca.html. (2018/8/7)
10. Standard University, Protégé, https://protege.stanford.edu/(2018/7/11)
11. TechNews，“史上第一勒索蠕蟲 WannaCry / Wcry 大舉入侵，趨勢科技教你週一拒當資安人質”， 2017 年 05 月 15 日，http://technews.tw/2017/05/15/ wannacry-wcrykeep-watch/ (2018/7/28)
12. Trend Labs 趨勢科技全球技術支援與研發中心, “勒索病毒 ransomware /勒索軟體”，2015 年 02 月 01 日, https://blog. trendmicro.com.tw /?cat=2267 &paged=8 (2018/8/7) 2267 &paged
13. Tzermias, Z.,Sykiotakis, G.,Polychronakis, M.,Markatos, E. P.(2011).Combining static and dynamic analysis for the detection of malicious documents.Proceedings of the Fourth European Workshop on System Security,Salzburg, Austria:
14. Uschold, M.,Grueninger, M.(1996).Ontologies: principles, methods and applications.Knowledge Engineering Review,11(2),93-155.
15. Willems, C.,Holz, T.,Freiling, F.(2007).Toward automated dynamic malware analysis using CWSandbox.IEEE Security & Privacy,5(2),32-39.
16. S. Yevtushenko, “The Concept Explorer” , http://conexp.sourceforge.net/ (2018/8/13)
17. 王平,王宇治(2013)。行動裝置病毒知識本體雛型之建構-以 Android 系統為例。第 24屆國際資訊管理學術研討會 (ICIM2013)
18. 吳廸(2013)。健行科技大學資訊工程所。
19. 亞俊(2012)。國立清華大學資訊系統與應用研究所。
20. 林建宏(2009)。國立雲林科技大學資訊管理系。
21. 張世杰(2013)。國立臺灣大學資訊工程學研究所。
22. 戚玉樑(2005)。以本體技術為基礎的知識庫建置程序及其應用。資訊科技與社會，5(2)，1-18。
23. 陳鷖人，“勒索病毒襲台台電也中鏢”，中時電子報, 2017 年 05 月 15 日, https://www.chinatimes.com/realtimenews/20170515003208-260405?chdtv (2018/7/29)
24. 黃盈豪(2007)。中原大學資訊管理研究所。
25. 鄧全良(2004)。銘傳大學資訊工程學系。
26. 謝維揚(2013)。國立交通大學網路工程研究所。

1. 蔡東霖,洪維謙,周明勝,王平(2020)。LeNet-5卷積神經網路應用於勒索病毒分類。資訊安全通訊，26(2)，21-48。
2. 蔡文淙,劉得民,林韶如,周兆龍(2022)。運用網路封包分析與機器學習之勒索病毒偵測技術。資訊安全通訊，28(4)，36-57。