- 學位論文
利用電腦資源使用率偵測勒索病毒
Prevent the threat of ransomware by analyzing resource usage
摘要
近年的台灣積體電路公司、台灣中油、鴻海集團等台灣重要的產業龍頭都已受到勒索病毒的危害,雖然造成的原因不盡相同,但是都對企業造成的影響甚鉅。例如:鴻海集團在2020年11月底,墨西哥廠區及威州廠區遭駭客勒索病毒「DoppelPaymer」攻擊,駭客竊取了約莫100GB儲存空間的機密檔案,並且刪除約莫20TB到30TB儲存空間的備份檔案,並且勒索1804枚比特幣。 勒索病毒是一種特殊的惡意程式。首先,勒索病毒會對電腦上重要的形式引數或檔案進行加密或是限制作業系統存取權,在受害者電腦螢幕上顯示勒索訊息,知會受害者交付指定的贖金方能獲得解密金鑰,這也就是這類型的病毒被稱為「勒索病毒」的緣故。由於病毒在進行檔案搜尋使用者檔案時會使用到額外的中央處理器、暫存記憶體、硬碟等硬體資源,經由及時監控的方的法發現不正常的硬體資源使用行為,就有可能及時發現勒索病毒的存在以避免受到勒索病毒所造成的損失。 在本論文中我們將會利用電腦硬體資源使用狀況進行判斷,例如:當中央處理器(CPU)使用率有大幅震盪現象和硬碟讀寫有大幅變化就表示可能有勒索病毒正在執行。經實驗證明,透過這種方法確實可以偵測到所有勒索病毒;同時,目前對特徵未改變的勒索病毒也能有效地發現。
並列摘要
In recent years, Taiwan’s important industrial leaders such as TSMC, CPC Corporation, and Foxconn Technology Group have all been harmed by ransomware. Although the causes are different, they all have a huge impact on enterprises. In this paper, we will use computer hardware resource usage to make judgments. For example, when the central processing unit (CPU) usage rate fluctuates greatly and the hard disk read and write changes significantly, it means that a ransomware may be executing. Experiments have proved that this method can indeed detect all ransomware; at the same time, the current ransomware with unchanged characteristics can also be effectively detected.
參考文獻
延伸閱讀
- 林孝忠、王平、洪維謙(2019)。網路勒索病毒的特徵分析與知識本體模型建構。資訊安全通訊,25(2),37-58。https://www.airitilibrary.com/Article/Detail?DocID=a0000270-201905-201906180013-201906180013-37-58
- 朱怡虹(2021)。抵抗勒索病毒的雲端備份技術。電腦與通訊,(186),32-34。https://www.airitilibrary.com/Article/Detail?DocID=1019391x-202106-202107090010-202107090010-32-34
- 戴士堯(2010)。利用資源拓樸進行惡意程式追蹤的資安鑑識技術。載於中華民國資訊安全學會(主編),全國資訊安全會議(頁87-105)。中華民國資訊安全學會。https://doi.org/10.29615/CISC.201005.0087
- 謝宗煌(2004)。以個人電腦爲基礎之電子學實驗資料擷取與分析。中華技術學院學報,(31),219-225。https://doi.org/10.7095/JCIT.200412.0219
- 羅嘉寧、謝續平、沈志強(2006)。Secure Authentication Protocols Resistant to Guessing Attacks。Journal of Information Science and Engineering,22(5),1125-1143。https://doi.org/10.6688/JISE.2006.22.5.9