CN105760759A - 一种基于进程监控的文档保护方法及系统 - Google Patents

一种基于进程监控的文档保护方法及系统 Download PDF

Info

Publication number
CN105760759A
CN105760759A CN201510892489.2A CN201510892489A CN105760759A CN 105760759 A CN105760759 A CN 105760759A CN 201510892489 A CN201510892489 A CN 201510892489A CN 105760759 A CN105760759 A CN 105760759A
Authority
CN
China
Prior art keywords
document
operation type
monitoring
amendment
deleting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510892489.2A
Other languages
English (en)
Inventor
郭欣
韩文奇
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201510892489.2A priority Critical patent/CN105760759A/zh
Publication of CN105760759A publication Critical patent/CN105760759A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于进程监控的文档保护方法及系统,首先对计算机系统进程进行监控,并对文档操作进程进行监控,由于敲诈者病毒多采用删除文档和加密文档的方式对系统文档进行恶意操作,所以这要对文档操作进程中的删除文档进程和修改文档进程进行监控,在所述进行对文档进行确定性的具体操作之前,对进程进行挂起,并判断进程行为是否为恶意,若是,则进行预警处理,若否,则放行进程。本发明能够有效维护用户系统文档安全,保护用户信息、财产安全。

Description

一种基于进程监控的文档保护方法及系统
技术领域
本发明涉及文档保护技术领域,尤其涉及一种基于进程监控的文档保护方法及系统。
背景技术
2014年,敲诈者病毒被发现,敲诈者病毒属于一种新的木马程序,以敲诈勒索钱财为目的,并且会破坏或者盗取用于信息,感染该病毒的计算机系统中的数据文件会被恶意操作或者隐藏,截止至目前为止,国内已经多次出现因感染敲诈者病毒而导致用户数据丢失的情况。
敲诈者病毒通常嵌入在免费软件中,用户下载运行后,便会触发该病毒,该病毒在用户计算机中搜索word、excel、rar、zip等格式的文件,然后将这些文件进行隐藏,其隐藏文件的惯用手段有两种,一种是直接删除文件,另一种是通过加密手段加密文件,并返回给用户类似于“磁盘数据丢失,需要修复工具才能找回”、“使用的不是正版软件,需要购买”、“需要汇款才能继续使用”等形式的敲诈勒索信息,诱使用户上当,使得用户丢失系统数据的同时,也给用户带来了经济财产损失。
2014年7月,敲诈者病毒CTB-Locker感染了大量的国内用户,随着敲诈者病毒代码的公开,目前已经出现了大量的变种病毒,并出现了定制的敲诈者病毒,在无法完全发现和阻止该病毒的情况下,对用户系统文档进行深入的保护是非常必要的。
发明内容
针对敲诈者病毒的特点,本发明公开了一种基于进程监控的文档保护方法及系统,首先对计算机系统进程进行监控,并对文档操作进程进行监控,由于敲诈者病毒多采用删除文档和加密文档的方式对系统文档进行恶意操作,所以这要对文档操作进程中的删除文档进程和修改文档进程进行监控,在所述进行对文档进行确定性的具体操作之前,对进程进行挂起,并判断进程行为是否为恶意,若是,则进行预警处理,若否,则放行进程。
具体发明内容包括:
一种基于进程监控的文档保护方法,包括:
监控系统中对文档进行操作的进程,并判断进程操作类型,所述进程操作类型包括:删除文档、修改文档;
若进程操作类型为删除文档,则在系统中遍历新建的访问窗口,判断是否有删除相应文档的验证访问窗口,若是,则放行进程,若否,则记录并挂起进程,并进行报警;
若进程操作类型为修改文档,则对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式,判断所述文件格式是否在白名单中,若是,则放行进程,并删除备份,若否,则删除进程,并恢复备份,所述白名单存储用户系统可解析的,并且文档在修改过程中可转化成的、合法的文件格式,包括.doc、.docx、.exe、.ppt、.pdf、.rar、.zip等。
一种基于进程监控的文档保护系统,包括:
进程监控模块,用于监控系统中对文档进行操作的进程,并判断进程操作类型,所述进程操作类型包括:删除文档、修改文档;
文档删除预警模块,用于进程操作类型为删除文档时,在系统中遍历新建的访问窗口,判断是否有删除相应文档的验证访问窗口,若是,则放行进程,若否,则记录并挂起进程,并进行报警;
文档修改预警模块,用于进程操作类型为修改文档时,对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式,判断所述文件格式是否在白名单中,若是,则放行进程,并删除备份,若否,则删除进程,并恢复备份。
本发明的有益效果是:
针对敲诈者病毒的特点,本发明公开了一种基于进程监控的文档保护方法及系统,主要针对文档删除操作和文档修改操作进行监控,并对恶意操作行为进行及时有效的处理,能够有效维护用户系统文档安全,保护用户信息、财产安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于进程监控的文档保护方法流程图;
图2为本发明一种基于进程监控的文档保护系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种基于进程监控的文档保护方法实施例,如图1所示,包括:
S101:监控系统中对文档进行操作的进程;
S102:判断进程操作类型,若进程操作类型为删除文档,则进入S103,若进程类型为修改文档,则进入S107;
S103:在系统中遍历新建的访问窗口;
S104:判断是否有删除相应文档的验证访问窗口,若是,则进入S105,若否,则进入S106;
S105:放行进程;
S106:记录并挂起进程,并进行报警;
S107:对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式;
S108:判断所述文件格式是否在白名单中,若是,则进入S109,若否,则进入S110,所述白名单存储用户系统可解析的,并且文档在修改过程中可转化成的、合法的文件格式,包括.doc、.docx、.exe、.ppt、.pdf、.rar、.zip等。;
S109:放行进程,并删除备份;
S110:删除进程,并恢复备份。
本发明还给出了一种基于进程监控的文档保护系统实施例,如图2所示,包括:
进程监控模块201,用于监控系统中对文档进行操作的进程,并判断进程操作类型,所述进程操作类型包括:删除文档、修改文档;
文档删除预警模块202,用于进程操作类型为删除文档时,在系统中遍历新建的访问窗口,判断是否有删除相应文档的验证访问窗口,若是,则放行进程,若否,则记录并挂起进程,并进行报警;
文档修改预警模块203,用于进程操作类型为修改文档时,对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式,判断所述文件格式是否在白名单中,若是,则放行进程,并删除备份,若否,则删除进程,并恢复备份。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对敲诈者病毒的特点,本发明公开了一种基于进程监控的文档保护方法及系统,主要针对文档删除操作和文档修改操作进行监控,并对恶意操作行为进行及时有效的处理,能够有效维护用户系统文档安全,保护用户信息、财产安全。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (2)

1.一种基于进程监控的文档保护方法,其特征在于,包括:
监控系统中对文档进行操作的进程,并判断进程操作类型,所述进程操作类型包括:删除文档、修改文档;
若进程操作类型为删除文档,则在系统中遍历新建的访问窗口,判断是否有删除相应文档的验证访问窗口,若是,则放行进程,若否,则记录并挂起进程,并进行报警;
若进程操作类型为修改文档,则对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式,判断所述文件格式是否在白名单中,若是,则放行进程,并删除备份,若否,则删除进程,并恢复备份。
2.一种基于进程监控的文档保护系统,其特征在于,包括:
进程监控模块,用于监控系统中对文档进行操作的进程,并判断进程操作类型,所述进程操作类型包括:删除文档、修改文档;
文档删除预警模块,用于进程操作类型为删除文档时,在系统中遍历新建的访问窗口,判断是否有删除相应文档的验证访问窗口,若是,则放行进程,若否,则记录并挂起进程,并进行报警;
文档修改预警模块,用于进程操作类型为修改文档时,对被修改文档的原始文档进行备份,当修改行为结束后,挂起进程,识别修改后文档的文件格式,判断所述文件格式是否在白名单中,若是,则放行进程,并删除备份,若否,则删除进程,并恢复备份。
CN201510892489.2A 2015-12-08 2015-12-08 一种基于进程监控的文档保护方法及系统 Pending CN105760759A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510892489.2A CN105760759A (zh) 2015-12-08 2015-12-08 一种基于进程监控的文档保护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510892489.2A CN105760759A (zh) 2015-12-08 2015-12-08 一种基于进程监控的文档保护方法及系统

Publications (1)

Publication Number Publication Date
CN105760759A true CN105760759A (zh) 2016-07-13

Family

ID=56342107

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510892489.2A Pending CN105760759A (zh) 2015-12-08 2015-12-08 一种基于进程监控的文档保护方法及系统

Country Status (1)

Country Link
CN (1) CN105760759A (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106548070A (zh) * 2016-07-18 2017-03-29 北京安天电子设备有限公司 一种在待机时间防御勒索者病毒的方法及系统
CN106611123A (zh) * 2016-12-02 2017-05-03 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106611121A (zh) * 2016-11-01 2017-05-03 哈尔滨安天科技股份有限公司 基于文件格式监控发现勒索者病毒的方法及系统
CN106844097A (zh) * 2016-12-29 2017-06-13 北京奇虎科技有限公司 一种针对恶意加密软件的防护方法及装置
CN106845222A (zh) * 2016-12-02 2017-06-13 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106971120A (zh) * 2017-03-24 2017-07-21 北京奇虎科技有限公司 一种实现文件保护的方法、装置和计算设备
CN106980797A (zh) * 2017-03-24 2017-07-25 北京奇虎科技有限公司 一种实现文件保护的方法、装置和计算设备
CN107169359A (zh) * 2017-06-06 2017-09-15 北京奇虎科技有限公司 利用触发文件实现的文档防护方法及装置、电子设备
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
CN107506642A (zh) * 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统
CN108073819A (zh) * 2017-04-07 2018-05-25 哈尔滨安天科技股份有限公司 一种基于动态重定向的文档防护方法及系统
CN108875400A (zh) * 2017-12-27 2018-11-23 北京安天网络安全技术有限公司 一种病毒防护方法、装置、电子设备及存储介质
CN108959951A (zh) * 2017-05-19 2018-12-07 北京瑞星网安技术股份有限公司 文档安全防护的方法、装置、设备及可读存储介质
CN109472140A (zh) * 2017-12-29 2019-03-15 北京安天网络安全技术有限公司 基于窗体标题校验阻止勒索软件加密的方法及系统
CN109598118A (zh) * 2018-11-30 2019-04-09 山东中创软件商用中间件股份有限公司 一种子目录访问控制方法及相关装置
CN109960933A (zh) * 2017-12-26 2019-07-02 北京安天网络安全技术有限公司 文档的防护方法、系统及终端设备
CN111931171A (zh) * 2020-08-10 2020-11-13 深信服科技股份有限公司 一种共享文件安全防护方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101826139A (zh) * 2009-12-30 2010-09-08 厦门市美亚柏科信息股份有限公司 一种非可执行文件挂马检测方法及其装置
CN101833489A (zh) * 2010-05-06 2010-09-15 北京邮电大学 一种文件实时监控和智能备份的方法
CN103679031A (zh) * 2013-12-12 2014-03-26 北京奇虎科技有限公司 一种文件病毒免疫的方法和装置
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101826139A (zh) * 2009-12-30 2010-09-08 厦门市美亚柏科信息股份有限公司 一种非可执行文件挂马检测方法及其装置
CN101833489A (zh) * 2010-05-06 2010-09-15 北京邮电大学 一种文件实时监控和智能备份的方法
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification
CN103679031A (zh) * 2013-12-12 2014-03-26 北京奇虎科技有限公司 一种文件病毒免疫的方法和装置

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106548070A (zh) * 2016-07-18 2017-03-29 北京安天电子设备有限公司 一种在待机时间防御勒索者病毒的方法及系统
CN106611121A (zh) * 2016-11-01 2017-05-03 哈尔滨安天科技股份有限公司 基于文件格式监控发现勒索者病毒的方法及系统
CN106611123A (zh) * 2016-12-02 2017-05-03 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106845222A (zh) * 2016-12-02 2017-06-13 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106844097A (zh) * 2016-12-29 2017-06-13 北京奇虎科技有限公司 一种针对恶意加密软件的防护方法及装置
CN106971120A (zh) * 2017-03-24 2017-07-21 北京奇虎科技有限公司 一种实现文件保护的方法、装置和计算设备
CN106980797A (zh) * 2017-03-24 2017-07-25 北京奇虎科技有限公司 一种实现文件保护的方法、装置和计算设备
CN106971120B (zh) * 2017-03-24 2020-11-03 北京奇虎科技有限公司 一种实现文件保护的方法、装置和计算设备
CN108073819A (zh) * 2017-04-07 2018-05-25 哈尔滨安天科技股份有限公司 一种基于动态重定向的文档防护方法及系统
CN108073819B (zh) * 2017-04-07 2020-10-30 哈尔滨安天科技集团股份有限公司 一种基于动态重定向的文档防护方法及系统
CN108959951A (zh) * 2017-05-19 2018-12-07 北京瑞星网安技术股份有限公司 文档安全防护的方法、装置、设备及可读存储介质
CN108959951B (zh) * 2017-05-19 2021-01-12 北京瑞星网安技术股份有限公司 文档安全防护的方法、装置、设备及可读存储介质
CN107169359A (zh) * 2017-06-06 2017-09-15 北京奇虎科技有限公司 利用触发文件实现的文档防护方法及装置、电子设备
CN107506642A (zh) * 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
CN109960933A (zh) * 2017-12-26 2019-07-02 北京安天网络安全技术有限公司 文档的防护方法、系统及终端设备
CN108875400A (zh) * 2017-12-27 2018-11-23 北京安天网络安全技术有限公司 一种病毒防护方法、装置、电子设备及存储介质
CN109472140A (zh) * 2017-12-29 2019-03-15 北京安天网络安全技术有限公司 基于窗体标题校验阻止勒索软件加密的方法及系统
CN109472140B (zh) * 2017-12-29 2021-11-12 北京安天网络安全技术有限公司 基于窗体标题校验阻止勒索软件加密的方法及系统
CN109598118A (zh) * 2018-11-30 2019-04-09 山东中创软件商用中间件股份有限公司 一种子目录访问控制方法及相关装置
CN111931171A (zh) * 2020-08-10 2020-11-13 深信服科技股份有限公司 一种共享文件安全防护方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN105760759A (zh) 一种基于进程监控的文档保护方法及系统
US20220092181A1 (en) Ransomware attack monitoring
CN106611123A (zh) 一种勒索者病毒的检测方法及系统
EP3502943B1 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
JP2018073423A (ja) ファイル変更マルウェア検出
KR101772439B1 (ko) 파일보호시스템 및 파일 보호 방법
EP3756121B1 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
CN101414327B (zh) 文件保护的方法
CN104268468B (zh) 一种对Android系统动态链接库保护方法及系统
CN106845222A (zh) 一种勒索者病毒的检测方法及系统
CN107563192B (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
CN101154257A (zh) 基于漏洞特征的动态执行补丁方法
KR101710928B1 (ko) 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
CN106548070A (zh) 一种在待机时间防御勒索者病毒的方法及系统
CN103839008A (zh) 一句话脚本后门和php变量函数后门免疫安全服务
US20190266323A1 (en) Identification process for suspicious activity patterns based on ancestry relationship
CN106611121A (zh) 基于文件格式监控发现勒索者病毒的方法及系统
JP6243479B2 (ja) コンピュータセキュリティのためのイノキュレータ及び抗体
KR101500512B1 (ko) 데이터 프로세싱 시스템 보안 장치와 보안방법
CN108959951B (zh) 文档安全防护的方法、装置、设备及可读存储介质
CN103353930A (zh) 一种防范感染式病毒感染的方法和装置
KR102034678B1 (ko) 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법
JP6787841B2 (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
KR102538694B1 (ko) 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템
CN105224871B (zh) 一种病毒清除方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160713