会员服务
软件 · 攻击 · 系统 · 攻击检测 · 检测系统 ·
1 月 26 日
Rhea: Detecting Privilege-Escalated Evasive Ransomware Attacks Using Format-Aware Validation in the Cloud
翻译:Rhea:基于格式感知验证的云端权限提升型规避勒索软件攻击检测系统
Beom Heyn Kim,Seok Min Hong,Mohammad Mannan
Beom Heyn Kim,Seok Min Hong,Mohammad Mannan
from arxiv, 12 pages, 6 figures, under review (Jan 2026)

Ransomware variants increasingly combine privilege escalation with sophisticated evasion strategies such as intermittent encryption, low-entropy encryption, and imitation attacks. Such powerful ransomware variants, privilege-escalated evasive ransomware (PEER), can defeat existing solutions relying on I/O-pattern analysis by tampering with or obfuscating I/O traces. Meanwhile, conventional statistical content-based detection becomes unreliable as the encryption size decreases due to sampling noises. We present Rhea, a cloud-offloaded ransomware defense system that analyzes replicated data snapshots, so-called mutation snapshots. Rhea introduces Format-Aware Validation that validates the syntactic and semantic correctness of file formats, instead of relying on statistical or entropy-based indicators. By leveraging file-format specifications as detection invariants, Rhea can reliably identify fine-grained and evasive encryption even under elevated attacker privileges. Our evaluation demonstrates that Rhea significantly outperforms existing approaches, establishing its practical effectiveness against modern ransomware threats.


翻译:勒索软件变种日益将权限提升与间歇性加密、低熵加密及模仿攻击等复杂规避策略相结合。此类强大的勒索软件变种——权限提升型规避勒索软件(PEER)——能够通过篡改或混淆I/O痕迹,击败依赖I/O模式分析的现有解决方案。同时,随着加密数据量减小导致的采样噪声影响,传统基于统计内容的检测方法变得不可靠。本文提出Rhea,一种基于云端卸载的勒索软件防御系统,通过分析复制数据快照(即变异快照)实现检测。Rhea引入了格式感知验证技术,该技术通过验证文件格式的语法与语义正确性进行检测,而非依赖统计或基于熵的指标。通过将文件格式规范作为检测不变量,Rhea能够在攻击者权限提升的情况下,仍可靠识别细粒度且具有规避性的加密行为。实验评估表明,Rhea显著优于现有方法,证实了其应对现代勒索软件威胁的实际有效性。
0
下载
关闭预览

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
专知会员服务
12+阅读 · 2025年5月13日
《美国应对勒索软件的政策调查与分析》
《美国应对勒索软件的政策调查与分析》
专知会员服务
17+阅读 · 2023年3月23日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文
《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文
专知会员服务
27+阅读 · 2022年10月7日
腾讯等发布《2022产业互联网安全十大趋势》报告,34页pdf
腾讯等发布《2022产业互联网安全十大趋势》报告,34页pdf
专知会员服务
31+阅读 · 2022年3月12日
中国信通院发布《勒索病毒安全防护手册》
专知会员服务
14+阅读 · 2021年9月12日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
18+阅读 · 2019年5月13日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【360人工智能研究院与NUS颜水成团队】HashGAN:基于注意力机制的深度对抗哈希模型提升跨模态检索效果
【360人工智能研究院与NUS颜水成团队】HashGAN:基于注意力机制的深度对抗哈希模型提升跨模态检索效果
专知
16+阅读 · 2017年11月29日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
LLMs as Hackers: Autonomous Linux Privilege Escalation Attacks
Arxiv
0+阅读 · 2月11日
Hydra: Robust Hardware-Assisted Malware Detection
Arxiv
0+阅读 · 2月6日
WiFiPenTester: Advancing Wireless Ethical Hacking with Governed GenAI
Arxiv
0+阅读 · 1月30日
Multimodal Multi-Agent Ransomware Analysis Using AutoGen
Arxiv
0+阅读 · 1月28日
Bridging Expert Reasoning and LLM Detection: A Knowledge-Driven Framework for Malicious Packages
Arxiv
0+阅读 · 1月23日
AttackMate: Realistic Emulation and Automation of Cyber Attack Scenarios Across the Kill Chain
Arxiv
0+阅读 · 1月20日
Enhanced Cyber Threat Intelligence by Network Forensic Analysis for Ransomware as a Service(RaaS) Malwares
Arxiv
0+阅读 · 1月20日
Towards Online Malware Detection using Process Resource Utilization Metrics
Arxiv
0+阅读 · 1月15日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
软件
攻击
系统
攻击检测
检测系统
相关VIP内容
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
14+阅读 · 1月28日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
《​​数据加密战场:勒索软件攻击中动态对抗的深度解析​》最新长综述
专知会员服务
12+阅读 · 2025年5月13日
《美国应对勒索软件的政策调查与分析》
《美国应对勒索软件的政策调查与分析》
专知会员服务
17+阅读 · 2023年3月23日
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
《H4rm0ny:用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文,加拿大国防研究与发展部
专知会员服务
26+阅读 · 2022年10月26日
《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文
《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文
专知会员服务
27+阅读 · 2022年10月7日
腾讯等发布《2022产业互联网安全十大趋势》报告,34页pdf
腾讯等发布《2022产业互联网安全十大趋势》报告,34页pdf
专知会员服务
31+阅读 · 2022年3月12日
中国信通院发布《勒索病毒安全防护手册》
专知会员服务
14+阅读 · 2021年9月12日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
18+阅读 · 2019年5月13日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【360人工智能研究院与NUS颜水成团队】HashGAN:基于注意力机制的深度对抗哈希模型提升跨模态检索效果
【360人工智能研究院与NUS颜水成团队】HashGAN:基于注意力机制的深度对抗哈希模型提升跨模态检索效果
专知
16+阅读 · 2017年11月29日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
相关论文
SecureScan: An AI-Driven Multi-Layer Framework for Malware and Phishing Detection Using Logistic Regression and Threat Intelligence Integration
Arxiv
0+阅读 · 2月11日
LLMs as Hackers: Autonomous Linux Privilege Escalation Attacks
Arxiv
0+阅读 · 2月11日
Hydra: Robust Hardware-Assisted Malware Detection
Arxiv
0+阅读 · 2月6日
WiFiPenTester: Advancing Wireless Ethical Hacking with Governed GenAI
Arxiv
0+阅读 · 1月30日
Multimodal Multi-Agent Ransomware Analysis Using AutoGen
Arxiv
0+阅读 · 1月28日
Bridging Expert Reasoning and LLM Detection: A Knowledge-Driven Framework for Malicious Packages
Arxiv
0+阅读 · 1月23日
AttackMate: Realistic Emulation and Automation of Cyber Attack Scenarios Across the Kill Chain
Arxiv
0+阅读 · 1月20日
Enhanced Cyber Threat Intelligence by Network Forensic Analysis for Ransomware as a Service(RaaS) Malwares
Arxiv
0+阅读 · 1月20日
Towards Online Malware Detection using Process Resource Utilization Metrics
Arxiv
0+阅读 · 1月15日
SAGA: Synthetic Audit Log Generation for APT Campaigns
Arxiv
0+阅读 · 1月14日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top