[论文阅读]CanCal: Towards Real-time and Lightweight Ransomware Detection and Response in Industrial Envi

于 2025-03-05 19:23:48 发布
阅读量677 收藏 9
点赞数 10
分类专栏: 论文阅读 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_52911108/article/details/146050845
版权

CanCal: Towards Real-time and Lightweight Ransomware Detection and Response in Industrial Environments

https://dl.acm.org/doi/abs/10.1145/3658644.3690269

Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security

研究背景与问题提出

实际应用场景和问题提出:在工业环境中,勒索软件攻击已成为网络安全的主要威胁之一。攻击者通过勒索软件加密关键设备或数据,导致生产线停摆、数据永久丢失等严重后果。现有检测方法存在两大核心问题:一是实时性不足,传统行为检测需监控所有进程,导致计算资源消耗大,无法在攻击初期快速响应(响应时间超过10秒),导致大量文件被加密;二是误报率高,基于“诱饵文件”的检测方法在工业集群中触发海量误报(例如每月超19万次警报),安全团队难以高效处理,甚至可能误杀关键进程。

问题的研究意义:在工业控制场景中,系统稳定性和实时性直接关系到生产安全与连续性,但传统安全检测方法存在显著局限性。检测延迟可能使攻击者完成更多文件的恶意加密操作,造成不可逆的数据损失;基于规则库的误判机制易触发错误告警,导致关键工业进程被异常终止而引发产线停摆;同时,复杂检测算法带来的高计算负载会挤占PLC、DCS等工业设备的有限资源,造成设备性能劣化甚至通信延迟。因此,开发兼具低时延、高精度和轻量化特性的实时检测技术,成为保障工业系统安全运行与业务连续性的关键突破口,其需在毫秒级响应、微秒级资源占用与零误报率之间实现精密平衡。

研究现状

当前工业安全检测技术主要围绕静态分析、动态行为分析和诱饵检测三类方法展开,但均存在显著局限性。静态分析基于已知恶意代码特征库进行模式匹配,虽能快速识别已知威胁,但面对代码混淆、多态变形等对抗技术时检测能力大幅下降,难以应对新型攻击。动态行为分析通过监控文件操作、API调用等运行时行为识别异常,但其需持续追踪大量系统事件,导致计算资源占用过高,且工业场景中合法进程的复杂操作易被误判为恶意行为,误报率居高不下。诱饵检测通过部署虚假文件吸引攻击者触发告警,但在工业环境中,频繁生成诱饵文件可能干扰正常业务流程,且攻击者绕过诱饵或合法进程误触发的风险加剧了误报问题,难以满足高稳定性需求。

技术框架与方法论

核心原理:CanCal针对勒索软件的核心行为特征设计检测机制:一是快速加密文件,表现为短时间内大量文件被覆盖或替换;二是释放勒索信,其内容包含“支付赎金”等威胁性语义;三是规避检测,如绕过诱饵文件或延迟触发告警。通过精准捕捉这些特征,系统可区分正常操作与恶意加密行为。

方法概述:CanCal采用“监控-检测-响应”(MDR)三层框架。监控层部署轻量级诱饵文件(如仿真工业配置文件),仅在诱饵被篡改时激活分析;结合n-gram模型实时扫描勒索信关键词(如“encrypted”“bitcoin”)。检测层融合专家规则(如文件类型突变率)与AI模型(决策树),通过多粒度行为分析判定风险等级。响应层高风险进程立即终止,低风险进程进入增强监控模式,避免误杀关键业务进程。

方法优势与对比:CanCal在轻量化、精度与实时性上的优势源于其创新设计:通过动态触发机制仅对高风险行为进行深度分析,大幅减少冗余计算,确保资源消耗极低;同时融合语义识别、行为模式匹配与多层级规则验证,精准区分恶意加密与正常操作,避免误判关键进程;而流式处理架构与即时响应策略,则能在攻击初期快速锁定威胁,最大限度降低文件损失风险,满足工业场景对高效防护的严苛需求。

实验设计与结果分析

基于覆盖1,335个已知勒索样本、426个未知样本及1,768个正常工业软件的百万级事件数据集,CanCal在工业部署中实现了对未知样本99.65%的检测率(仅7次误报),平均CPU占用从6.7%压缩至0.6%,并成功拦截61次真实攻击(含5次零日漏洞利用);对比实验中,其响应时间(<3秒)显著优于ShieldFS(60分钟)与RTrap(5.35秒),且在进程注入攻击检测中达到100%准确率(主流厂商仅83.3%);消融实验进一步验证了方案完整性:移除诱饵监控后CPU利用率反弹至6.7%、延迟加剧,禁用行为检测则误报率从0.0003%激增至75%-89%,证明多维度协同机制的必要性。

结论与展望

小结:CanCal通过轻量级诱饵监控与多维度行为分析(勒索信语义识别、进程操作图建模),有效平衡了工业场景下实时性、检测精度与资源开销的矛盾,实际部署中成功拦截61次勒索攻击(含零日漏洞利用),平均CPU占用率降至0.6%,验证了其在复杂工业环境中的实用性与可靠性。

局限性:当前方案依赖攻击者触发诱饵文件或释放勒索信,若其采用无文件攻击、规避诱饵或延迟加密策略,可能导致漏检;响应层仅终止进程,未清除攻击者潜在驻留权限(如远程Shell),存在二次入侵风险。

未来方向:计划引入文件熵值突变追踪、网络流量异常检测等新维度,构建更全面的监控体系;整合双因素认证、进程行为白名单等主动防御机制,并与工业控制系统深度联动,实现攻击链的早期阻断与自动化修复。

总的来说,该论文提出的CanCal方案为工业环境中的勒索软件检测与响应提供了一种有效的解决方案,通过轻量化架构和多维度协同检测机制,实现了实时性、高精度和低资源消耗的目标,对于提升工业系统的安全防护能力具有重要意义。

python-爬虫基础-定时任务实现
Aldeo
08-26 2615
目录 1、for和while循环中使用sleep 2、schedule模块 3、Threading模块中的Timer 4、sched模块 上篇博客主要讲了调用api接口调用,本节主要将实现定时任务。为之后实现爬虫做准备。 1、for和while循环中使用sleep 缺点:不容易控制,而且是个阻塞函数,没法实现具体按时间执行 import time ''' 每3秒执行一次 ,执行...
上线 Python 应用仅需一条命令的开源框架:Zappa(详细教程)
HelloGitHub 的博客
03-08 692
本文面向有 Python Web 基础的小伙伴作者:HelloGitHub-吱吱这里是 HelloGitHub 推出的《讲解开源项目》系列,今天要向小伙伴们介绍一个 Python 无服务(...
12.7 Cancal选项
Alice816102的博客
07-02 416
还有两个线程属性并没有包含在pthread_attr_t结构中,它们是cancelability state以及cancelability type。这两个属性影响了线程对于函数调用pthread_cancel的相应行为。(11.5节) cancelability state属性可以取值PTHREAD_CANCEL_ENABLE或者是PTHREAD_CANCEL_DISABLE...
cancal 同步mysql数据到es中
冰恋云的专栏
07-04 1291
windocs service2012 、 jdk版本1.8 、canal版本1.5、mysql版本5.7、启动:进入 canal.deployer的目录 ./bin/startup.sh。在 conf/example/instance.properties。如果你下载的是canal1.6,jdk是1.8,那样会报错。es7/mytest-user.yml 文件内容。canal版本1.5需要的jdk是1.8。剩下的就是java的事了。canal.adapter 客户端。- postMan发送请求。
cancal安装对接mysql和kafka
god_mycode的博客
07-06 1726
其中 kafka_2.12-3.3.2.tgz 中2.12是scala版本 3.3.2是kafka版本 3.0以后是不需要zk做集群的。canal.serverMode = kafka # 这一步是关键,选择kafka的推送模式,发送kafka消息。#监控kafka收到的数据情况 数据新添加一条数据 ,kafka收到如下图红色标记数据。/opt/kafka/kafka_2.12-3.3.2/bin 目录下。切换目录到/usr/local/canal/ 可以看到有四个文件夹。
Cannal组件
a791812366的博客
04-26 5231
1.Cannal入门 什么是canal 当mysql发生新增,修改,我们可以利用cancal监控到这个修改的数据,并将这个数据写到消息队列,供实时计算框架使用。 cancal主要支持了MYSQL的Binlog解析,解析完成后才利用Cancal Client来处理获得的相关数据 什么是mysql的binlog MYSQL的二进制日志可以说是MYSQL最重要的日志了,它记录了所有的DDL和DML(除了数据查询语句),以事件形式记录,还包含语句执行的消耗时间。 二进制有两个重要的使用场景: 1.主从数据同步 2.
java使用阿里巴巴cancal直接同步mysql表到redis,包含增删改查
qq_29238373的博客
12-12 905
mysql表下的数据可以直接通过阿里的cancal同步至redis
cancal+kafka
07-06
此软件包用来支持canal监控mysql数据库,进而将数据发往kafka 进行缓存队列,软件包版本:canal.deployer-1.1.5.tar.gz 和 kafka_2.12-3.3.2.tgz
docker-compose安装和启动Canal
weixin_44251036的博客
03-22 866
docker-compose安装和启动Canal 开启mysql的binlog日志支持 创建canal数据库用户 修改mysql配置文件my.cnf加入如下信息 [mysqld] log-bin=mysql-bin binlog-format=ROW server_id=1 查看binlog日志是否开启 #查看是否打开binlog show variables like 'log_bin'; #查看binlog日志列表 show master status; #查看当前正在写入的binlog文
Canal:Could not find first log file name in binary log index file
雨潇的专栏
10-30 3622
该问题是由于Canal找不到相关的binlog文件了,此时可以通过日志找到具体解析那个binlog文件的详细信息,例如: {"identity":{"slaveId":-1,"sourceAddress":{"address":"xxx","port":3306}},"postion":{"gtid":"","included":false,"journalName":"mysql-bin.001392","position":457723502,"serverId":194,"timestamp":15
Canal实现Mysql和ES数据同步
Blue92120的博客
11-10 2665
当然, 市面上有很多Canal客户端, 我们以GitHub上的第三方开源的canal-starter客户端, 并且结合SpringBoot为例, 进行演示。而ES所实现的搜索, 需要把数据放入ES中, 才能实现, 所以, 就需要我们把mysql中的数据, 同步到ES中才可以。在实际开发中,为了保证数据的安全性和持久性, 所以,我们一般会把数据存储的数据库中, 比如mysql数据库。Canal提供了各种语言的客户端,当Canal监听到binlog变化时,会通知Canal的客户端。
canal入门
weixin_43939924的博客
04-05 1675
官网 Canal 入门 什么是 Canal 阿里巴巴 B2B 公司,因为业务的特性,卖家主要集中在国内,买家主要集中在国外,所 以衍生出了同步杭州和美国异地机房的需求,从 2010 年开始,阿里系公司开始逐步的尝试 基于数据库的日志解析,获取增量变更进行同步,由此衍生出了增量订阅&消费的业务。 Canal 是用 Java 开发的基于数据库增量日志解析,提供增量数据订阅&消费的中间件。 目前。Canal 主要支持了 MySQL 的 Binlog 解析,解析完成后才利用 Canal Client
Canal 入门 - 环境搭建
Ren
08-31 2405
canal 入门 - windows 系统环境搭建
Canal框架应用的基础学习
qq_26641137的博客
01-19 376
引入背景原理:业务情景 其中,MySQL与ES存储的数据结构是完全不同的,也即异构数据(异构数据指的结构不同的数据)。异构数据也会伴随着组织与结构的不同,比如前台与后台的划分。如果商户中新增数据,传统的做法一般就是在Java代码中新增MySQL数据时向调用团队B同步接口新建ES商品数据,这里往往涉及到多团队协作。这时,工作中会产生强烈的耦合现象。团队A与团队B的协作产生代码的强耦合。团队A必须了解团队B提供的结构才可以实现,但本身这并不属于团队A的工作范畴。同时,会有扩展困难的问题。比如团队C维护的Mon
Canal-保存mysql篇
最新发布
wanping15825992341的博客
08-12 796
先用java代码手写一遍,方便后续业务逻辑理解。
(1)Canal在linux上搭建集群
wzk153的博客
12-14 578
官网https://github.com/alibaba/canal介绍,canal [kə'næl],译意为水道/管道/沟渠,主要用途是基于MySQL数据库增量日志解析,提供增量数据订阅和消费。从上述介绍我们可以简单认为Canal就是一个简单的增量数据同步工具。
Zookeeper实践与应用- Canal
0102的博客
05-14 1229
基于MySql BinLog的增量订阅和消费组件:Canal Cancal是阿里13年1月开源的一个基于MySql数据库Binlog实现的增量订阅和消费的组件。项目取名Canal取自管道的英文单词,流转的医生,是一个定位于基于MySql数据库Binlog增量日志来实现数据库镜像,试试备份和怎梁书记消费的通用组件。 早期的数据库同步业务,大多使用MySql数据库的触发器机制(Trigger)来获取数据库的增量变更,之后逐步阐释基于数据库日志解析来获取数据,再次激起上实现数据同步,由此衍生出了数据库增量订阅和
springboot整合canal数据同步
weixin_49107940的博客
09-21 1654
在微服务中,我们采取了feign进行服务间通信,通过访问其他模块的数据来完成当前模块的任务,这样耦合度高,效率相对较低,目前我采取另一种实现方式,通过实时同步数据库表的方式实现,例如我们要统计每天注册与登录人数,我们只需把会员表同步到统计库中,实现本地统计就可以了,这样效率更高,耦合度更低,Canal就是一个很好的数据库同步工具。canal是阿里巴巴旗下的一款开源项目,纯Java开发。基于数据库增量日志解析,提供增量数据订阅&消费,目前主要支持了MySQL。
关于缓存一致性和使用canal来解决的方案
jslzcydd的博客
03-10 2650
在日常的项目开发中,有时候会遇到一些数据会进行缓存的情况,但同时数据库层面也会做相关的操作。原则上,对于一些实时性要求很高的数据,是不建议缓存的,这个意义是不大的。然后对于某些数据不管是先更新数据库再更新缓存,或者是先删缓存再更新数据库,都是有可能做到数据不一致的。为了达到最终一致性的话,其实大部分场景下,我们给数据加上过期时间就可以解决大部分的日常开发问题。 如果对于数据的一致性要求很高,或者某些业务场景下,的确是要做这些事情的话,可以采用以下方案来解决。具体场景可以按照自己的项目结构进行 方案一:延
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值