CN107403096A - 一种基于文件状态分析的勒索软件检测方法 - Google Patents
一种基于文件状态分析的勒索软件检测方法 Download PDFInfo
- Publication number
- CN107403096A CN107403096A CN201710660946.4A CN201710660946A CN107403096A CN 107403096 A CN107403096 A CN 107403096A CN 201710660946 A CN201710660946 A CN 201710660946A CN 107403096 A CN107403096 A CN 107403096A
- Authority
- CN
- China
- Prior art keywords
- file
- monitoring
- module
- monitoring module
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明特别涉及一种基于文件状态分析的勒索软件检测方法。该基于文件状态分析的勒索软件检测方法,在监控时间窗口W内,结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性考察,并向系统的分析模块反馈监控因子,如果各监控因子的数值总和达到甚至超过了预设的告警门限值,则判断所测程序为勒索软件。该基于文件状态分析的勒索软件检测方法,通过对勒索软件修改对象的状态进行分析,实现了对所测程序勒索特性的准确反映;而且多方面逻辑的综合判断方法可以高效地区分出合法软件与潜在的勒索软件,使得恶意代码对于主机文件的破坏程度极小化,最终实现了提升服务器主机系统本身安全性和防御能力的目标。
Description
技术领域
本发明涉及软件检测方法技术领域,特别涉及一种基于文件状态分析的勒索软件检测方法。
背景技术
勒索软件是一类借助社会工程学手段或者网络蠕虫感染的方式进行传播的,在被入侵主机进行文件加密等破坏性行为的新型恶意代码。勒索软件会索要高额赎金,受害者支付赎金后,方可恢复其主机内受到影响的重要文件。毋庸置疑,勒索软件已成为现阶段大型企业乃至个人用户主机安全的最大威胁之一。
当前勒索软件检测技术大都遵循传统的签名特征码的方式,安全软件将未知样本的特征码与本地特征库的特征数据进行匹配,若出现匹配,则阻止软件的运行。随着大量勒索软件变种的出现,特征库更新的滞后性日益显著,被动的特征码检测方式已逐渐力不从心,对于未知的恶意代码更是束手无策。
基于上述问题,本发明设计了一种基于文件状态分析的勒索软件检测方法。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的基于文件状态分析的勒索软件检测方法。
本发明是通过如下技术方案实现的:
一种基于文件状态分析的勒索软件检测方法,其特征在于:首先,系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块,分析模块,响应模块,以及一个监控时间窗口W;然后,从主机中文件状态的多方面逻辑出发,在每个长度为W的时间单元内,全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察;最后,根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果,向系统的分析模块反馈各自的监控因子,如果各监控因子的数值总和达到甚至超过了预设的告警门限值,则判断所测程序为勒索软件,并将该信息推送至系统的响应模块进行处理。
本发明基于文件状态分析的勒索软件检测方法,包括以下步骤:
(1)所述文件内容监控模块分别对访问文件前后文件头的变化情况,访问文件前后文件的相似程度,以及访问文件前后文件香农熵的变化情况进行监控,并维护监控因子F1,每隔长度为W的时间单元后对监控因子F1进行清零操作;
(2)所述文件目录监控模块分别对同一目录下被访问文件的数量以及不同后缀名类型的文件被修改并保存为同一类型文件的情况进行监控,并维护监控因子F2,每隔长度为W的时间单元后对监控因子F2进行清零操作;
(3)所述文件增删监控模块分别对用户文件的删除情况和新增说明文档的行为进行监控,并维护监控因子F3,每隔长度为W的时间单元后对监控因子F3进行清零操作;
(4)在监控时间窗口W内,所述分析模块接收来自文件内容监控模块、文档目录监控模块、文档增删监控模块的反馈因子F1、F2、F3,以及相应的文件状态变化日志信息;分析模块计算因子和F=F1+F2+F3,预设定告警门限值T,如果F大于或等于T,分析模块将日志信息、程序名称和进程标识符提交至响应模块;
(5)根据分析模块提供的程序信息,响应模块立即挂起对应的程序,并进行告警操作。
所述步骤(1)中,针对仅对文件的关键信息部分,即文件头,进行修改或加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件头的变化情况,以判断被测程序是否对用户数据文件进行了读访问或写操作;如果被测程序对用户数据文件进行了读访问,则记录此时文件的文件头信息;如果被测程序进一步对文件进行了写操作,则将文件访问前和进行写操作后的文件头信息进行比较,如果文件头信息发生改变,便将监控因子F1的数值增加1;
由于发生数据加密的文件前后内容的相似度将会显著降低,针对将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件本身的相似程度,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件哈希值H前;如果被测程序进一步对文件进行了写操作,则计算此时的文件哈希值H后,H前和H后的计算均使用相似性摘要哈希算法SDH,从而可以根据SDH算法比较H前和H后的相似度,得到相似度分数S;预设相似程度下限值A,如果文件的相似性较低,即S低于预设相似程度下限值A,则监控因子F1的数值增加1;
由于发生数据加密的密文文件的香农熵会显著增加,针对进一步对应将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件香农熵的变化情况,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件香农熵E前;如果被测程序进一步对文件进行了写操作,则计算此时的文件香农熵E后,预设文件熵差异上限值B;如果E后与E前之差超过预设文件熵差异上限值B,则监控因子F1的数值增加1。
所述香农熵E是介于0至8之间的一个数值,其计算公式为:
其中,R为文件字节数,fi为文件字节数组中字节值i所出现的次数。
所述步骤(2)中,在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录目录下的文件总数Z;设定同一目录下文件的访问数量和访问文件数占总文件数的比例上限值分别为N和R;如果在监控时间窗口W内,所测程序对同一目录下文件进行读写的访问数量超过上限值N,或访问文件数占总文件数的比重超过了预设上限值R,则监控相应因子F2的数值增加1;
在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录发生读写操作、且文件类型发生改变的文件数量N变,同时记录发生写操作后文件的后缀名类型;设定后缀名均一化占比上限值R后,如果在监控时间窗口W内,文件目录监控模块监控发现某一后缀名所占N变的比重超过上限值R后,则监控因子F2的数值增加1。
所述步骤(3)中,在监控时间窗口W内,文件增删监控模块记录所测程序是否存在删除文件的行为;设定文件删除数量上限N删,如果监控发现所测程序删除文件的数量超过N删,则监控因子F3的数值增加1;
在监控时间窗口W内,文件增删监控模块检测所测程序是否访问多个目录,且在不同目录下都生成用于提示勒索信息的说明类文件;设定新增说明类文档的数量上限N增,若监控发现所测程序生成说明类的文件数量超过N增,则监控因子F3的数值增加1。
所述用于提示勒索信息的说明类文件,特征为文件名称、大小一致或包含“README”字样。
所述步骤(5)中,告警方式为弹出可视化窗体,通知用户可能存在的威胁,并显示检测出的文件状态变化、可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或允许其执行。
所述监控时间窗口W为30秒。
本发明的有益效果是:该基于文件状态分析的勒索软件检测方法,通过对勒索软件修改对象的状态进行分析,实现了对所测程序勒索特性的准确反映;而且多方面逻辑的综合判断方法可以高效地区分出合法软件与潜在的勒索软件,使得恶意代码对于主机文件的破坏程度极小化,最终实现了提升服务器主机系统本身安全性和防御能力的目标。
附图说明
附图1为本发明基于文件状态分析的勒索软件检测方法示意图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该基于文件状态分析的勒索软件检测方法,首先,系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块,分析模块,响应模块,以及一个监控时间窗口W;然后,从主机中文件状态的多方面逻辑出发,在每个长度为W的时间单元内,全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察;最后,根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果,向系统的分析模块反馈各自的监控因子,如果各监控因子的数值总和达到甚至超过了预设的告警门限值,则判断所测程序为勒索软件,并将该信息推送至系统的响应模块进行处理。
本发明基于文件状态分析的勒索软件检测方法,包括以下步骤:
(1)所述文件内容监控模块分别对访问文件前后文件头的变化情况,访问文件前后文件的相似程度,以及访问文件前后文件香农熵的变化情况进行监控,并维护监控因子F1,每隔长度为W的时间单元后对监控因子F1进行清零操作;
(2)所述文件目录监控模块分别对同一目录下被访问文件的数量以及不同后缀名类型的文件被修改并保存为同一类型文件的情况进行监控,并维护监控因子F2,每隔长度为W的时间单元后对监控因子F2进行清零操作;
(3)所述文件增删监控模块分别对用户文件的删除情况和新增说明文档的行为进行监控,并维护监控因子F3,每隔长度为W的时间单元后对监控因子F3进行清零操作;
(4)在监控时间窗口W内,所述分析模块接收来自文件内容监控模块、文档目录监控模块、文档增删监控模块的反馈因子F1、F2、F3,以及相应的文件状态变化日志信息;分析模块计算因子和F=F1+F2+F3,预设定告警门限值T,如果F大于或等于T,分析模块将日志信息、程序名称和进程标识符提交至响应模块;
(5)根据分析模块提供的程序信息,响应模块立即挂起对应的程序,并进行告警操作。
所述步骤(1)中,针对仅对文件的关键信息部分,即文件头,进行修改或加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件头的变化情况,以判断被测程序是否对用户数据文件进行了读访问或写操作;如果被测程序对用户数据文件进行了读访问,则记录此时文件的文件头信息;如果被测程序进一步对文件进行了写操作,则将文件访问前和进行写操作后的文件头信息进行比较,如果文件头信息发生改变,便将监控因子F1的数值增加1;
由于发生数据加密的文件前后内容的相似度将会显著降低,针对将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件本身的相似程度,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件哈希值H前;如果被测程序进一步对文件进行了写操作,则计算此时的文件哈希值H后,H前和H后的计算均使用相似性摘要哈希算法SDH,从而可以根据SDH算法比较H前和H后的相似度,得到相似度分数S;预设相似程度下限值A,如果文件的相似性较低,即S低于预设相似程度下限值A,则监控因子F1的数值增加1;
由于发生数据加密的密文文件的香农熵会显著增加,针对进一步对应将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件香农熵的变化情况,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件香农熵E前;如果被测程序进一步对文件进行了写操作,则计算此时的文件香农熵E后,预设文件熵差异上限值B;如果E后与E前之差超过预设文件熵差异上限值B,则监控因子F1的数值增加1。
所述香农熵E是介于0至8之间的一个数值,其计算公式为:
其中,R为文件字节数,fi为文件字节数组中字节值i所出现的次数。
所述步骤(2)中,在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录目录下的文件总数Z;设定同一目录下文件的访问数量和访问文件数占总文件数的比例上限值分别为N和R;如果在监控时间窗口W内,所测程序对同一目录下文件进行读写的访问数量超过上限值N,或访问文件数占总文件数的比重超过了预设上限值R,则监控相应因子F2的数值增加1;
在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录发生读写操作、且文件类型发生改变的文件数量N变,同时记录发生写操作后文件的后缀名类型;设定后缀名均一化占比上限值R后,如果在监控时间窗口W内,文件目录监控模块监控发现某一后缀名所占N变的比重超过上限值R后,则监控因子F2的数值增加1。
所述步骤(3)中,在监控时间窗口W内,文件增删监控模块记录所测程序是否存在删除文件的行为;设定文件删除数量上限N删,如果监控发现所测程序删除文件的数量超过N删,则监控因子F3的数值增加1;
在监控时间窗口W内,文件增删监控模块检测所测程序是否访问多个目录,且在不同目录下都生成用于提示勒索信息的说明类文件;设定新增说明类文档的数量上限N增,若监控发现所测程序生成说明类的文件数量超过N增,则监控因子F3的数值增加1。
所述用于提示勒索信息的说明类文件,特征为文件名称、大小一致或包含“README”字样。
所述步骤(5)中,告警方式为弹出可视化窗体,通知用户可能存在的威胁,并显示检测出的文件状态变化、可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或允许其执行。
所述监控时间窗口W为30秒。
Claims (9)
1.一种基于文件状态分析的勒索软件检测方法,其特征在于:首先,系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块,分析模块,响应模块,以及一个监控时间窗口W;然后,从主机中文件状态的多方面逻辑出发,在每个长度为W的时间单元内,全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察;最后,根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果,向系统的分析模块反馈各自的监控因子,如果各监控因子的数值总和达到甚至超过了预设的告警门限值,则判断所测程序为勒索软件,并将该信息推送至系统的响应模块进行处理。
2.根据权利要求1所述的基于文件状态分析的勒索软件检测方法,其特征在于,包括以下步骤:
(1)所述文件内容监控模块分别对访问文件前后文件头的变化情况,访问文件前后文件的相似程度,以及访问文件前后文件香农熵的变化情况进行监控,并维护监控因子F1,每隔长度为W的时间单元后对监控因子F1进行清零操作;
(2)所述文件目录监控模块分别对同一目录下被访问文件的数量以及不同后缀名类型的文件被修改并保存为同一类型文件的情况进行监控,并维护监控因子F2,每隔长度为W的时间单元后对监控因子F2进行清零操作;
(3)所述文件增删监控模块分别对用户文件的删除情况和新增说明文档的行为进行监控,并维护监控因子F3,每隔长度为W的时间单元后对监控因子F3进行清零操作;
(4)在监控时间窗口W内,所述分析模块接收来自文件内容监控模块、文档目录监控模块、文档增删监控模块的反馈因子F1、F2、F3,以及相应的文件状态变化日志信息;分析模块计算因子和F=F1+F2+F3,预设定告警门限值T,如果F大于或等于T,分析模块将日志信息、程序名称和进程标识符提交至响应模块;
(5)根据分析模块提供的程序信息,响应模块立即挂起对应的程序,并进行告警操作。
3.根据权利要求2所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述步骤(1)中,在监控时间窗口W内,针对仅对文件的关键信息部分,即文件头,进行修改或加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件头的变化情况,以判断被测程序是否对用户数据文件进行了读访问或写操作;如果被测程序对用户数据文件进行了读访问,则记录此时文件的文件头信息;如果被测程序进一步对文件进行了写操作,则将文件访问前和进行写操作后的文件头信息进行比较,如果文件头信息发生改变,便将监控因子F1的数值增加1;
由于发生数据加密的文件前后内容的相似度将会显著降低,在监控时间窗口W内,针对将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件本身的相似程度,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件哈希值H前;如果被测程序进一步对文件进行了写操作,则计算此时的文件哈希值H后,H前和H后的计算均使用相似性摘要哈希算法SDH,从而可以根据SDH算法比较H前和H后的相似度,得到相似度分数S;预设相似程度下限值A,如果文件的相似性较低,即S低于预设相似程度下限值A,则监控因子F1的数值增加1;
由于发生数据加密的密文文件的香农熵会显著增加,在监控时间窗口W内,针对进一步对应将整体文件进行加密的勒索软件类型,文件内容监控模块监控所测程序访问主机文件前后,文件香农熵的变化情况,以判断被测程序是否对系统中的用户文件进行了读访问或写操作;如果被测程序对系统中的用户文件进行了读访问,则计算并保存此时的文件香农熵E前;如果被测程序进一步对文件进行了写操作,则计算此时的文件香农熵E后,预设文件熵差异上限值B;如果E后与E前之差超过预设文件熵差异上限值B,则监控因子F1的数值增加1。
4.根据权利要求3所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述香农熵E是介于0至8之间的一个数值,其计算公式为:
<mrow>
<mi>E</mi>
<mo>=</mo>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>0</mn>
</mrow>
<mn>255</mn>
</munderover>
<msub>
<mi>P</mi>
<msub>
<mi>B</mi>
<mi>i</mi>
</msub>
</msub>
<msub>
<mi>log</mi>
<mn>2</mn>
</msub>
<mfrac>
<mn>1</mn>
<msub>
<mi>P</mi>
<msub>
<mi>B</mi>
<mi>i</mi>
</msub>
</msub>
</mfrac>
</mrow>
其中,R为文件字节数,fi为文件字节数组中字节值i所出现的次数。
5.根据权利要求2所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述步骤(2)中,在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录目录下的文件总数Z;设定同一目录下文件的访问数量和访问文件数占总文件数的比例上限值分别为N和R;如果在监控时间窗口W内,所测程序对同一目录下文件进行读写的访问数量超过上限值N,或访问文件数占总文件数的比重超过了预设上限值R,则监控相应因子F2的数值增加1;
在监控时间窗口W内,文件目录监控模块记录所测程序访问文件所在的目录信息,并进一步记录发生读写操作、且文件类型发生改变的文件数量N变,同时记录发生写操作后文件的后缀名类型;设定后缀名均一化占比上限值R后,如果在监控时间窗口W内,文件目录监控模块监控发现某一后缀名所占N变的比重超过上限值R后,则监控因子F2的数值增加1。
6.根据权利要求2所述的基于文件状态分析的勒索软件检测方法,其特征在于:
所述步骤(3)中,在监控时间窗口W内,文件增删监控模块记录所测程序是否存在删除文件的行为;设定文件删除数量上限N删,如果监控发现所测程序删除文件的数量超过N删,则监控因子F3的数值增加1;
在监控时间窗口W内,文件增删监控模块检测所测程序是否访问多个目录,且在不同目录下都生成用于提示勒索信息的说明类文件;设定新增说明类文档的数量上限N增,若监控发现所测程序生成说明类的文件数量超过N增,则监控因子F3的数值增加1。
7.根据权利要求6所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述用于提示勒索信息的说明类文件,特征为文件名称、大小一致或包含“README”字样。
8.根据权利要求2所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述步骤(5)中,告警方式为弹出可视化窗体,通知用户可能存在的威胁,并显示检测出的文件状态变化、可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或允许其执行。
9.根据权利要求1、2、3、5、6任意一项所述的基于文件状态分析的勒索软件检测方法,其特征在于:所述监控时间窗口W为30秒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710660946.4A CN107403096A (zh) | 2017-08-04 | 2017-08-04 | 一种基于文件状态分析的勒索软件检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710660946.4A CN107403096A (zh) | 2017-08-04 | 2017-08-04 | 一种基于文件状态分析的勒索软件检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107403096A true CN107403096A (zh) | 2017-11-28 |
Family
ID=60402001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710660946.4A Pending CN107403096A (zh) | 2017-08-04 | 2017-08-04 | 一种基于文件状态分析的勒索软件检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107403096A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| CN109472140A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于窗体标题校验阻止勒索软件加密的方法及系统 |
| CN109657465A (zh) * | 2018-11-07 | 2019-04-19 | 深圳竹云科技有限公司 | 一种基于文件损坏度的软件检测方法 |
| CN110851833A (zh) * | 2019-11-18 | 2020-02-28 | 深信服科技股份有限公司 | 一种勒索病毒检测方法、装置及其相关设备 |
| CN110866248A (zh) * | 2018-11-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111277539A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
| CN111444503A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
| CN114117436A (zh) * | 2022-01-27 | 2022-03-01 | 奇安信科技集团股份有限公司 | 勒索程序识别方法、装置、电子设备、存储介质及产品 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN106560833A (zh) * | 2016-07-22 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种基于文件头检测感染式病毒的方法及系统 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
-
2017
- 2017-08-04 CN CN201710660946.4A patent/CN107403096A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN106560833A (zh) * | 2016-07-22 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种基于文件头检测感染式病毒的方法及系统 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| NOLEN SCAIFE等: "CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data", 《2016 IEEE 36TH INTERNATIONAL CONFERENCE ON DISTRIBUTED COMPUTING SYSTEMS》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472140A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于窗体标题校验阻止勒索软件加密的方法及系统 |
| CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
| CN109657465A (zh) * | 2018-11-07 | 2019-04-19 | 深圳竹云科技有限公司 | 一种基于文件损坏度的软件检测方法 |
| CN111277539A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
| CN111277539B (zh) * | 2018-11-16 | 2022-09-02 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
| CN110866248A (zh) * | 2018-11-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN110851833A (zh) * | 2019-11-18 | 2020-02-28 | 深信服科技股份有限公司 | 一种勒索病毒检测方法、装置及其相关设备 |
| CN111444503A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
| CN111444503B (zh) * | 2020-03-25 | 2023-11-07 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
| CN114117436A (zh) * | 2022-01-27 | 2022-03-01 | 奇安信科技集团股份有限公司 | 勒索程序识别方法、装置、电子设备、存储介质及产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107403096A (zh) | 一种基于文件状态分析的勒索软件检测方法 | |
| Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
| US11321464B2 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| US9275065B1 (en) | Behavioral engine for identifying anomalous data access patterns | |
| US8671080B1 (en) | System and method for managing data loss due to policy violations in temporary files | |
| AU2003219885B2 (en) | Method and apparatus for monitoring a database system | |
| AU2010202627B2 (en) | Automated forensic document signatures | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
| US20110083181A1 (en) | Comprehensive password management arrangment facilitating security | |
| Sindhu et al. | Digital forensics and cyber crime datamining | |
| CN106611123A (zh) | 一种勒索者病毒的检测方法及系统 | |
| CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| CN106845222A (zh) | 一种勒索者病毒的检测方法及系统 | |
| CN103716394B (zh) | 下载文件的管理方法及装置 | |
| CN109829304B (zh) | 一种病毒检测方法及装置 | |
| Kara | A basic malware analysis method | |
| CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
| JP2008097484A (ja) | ログ管理システムおよびフォレンジック調査方法 | |
| CN108038379B (zh) | 一种防勒索软件攻击的方法和系统 | |
| JP2005539334A (ja) | 事前選択されたデータに関し探索可能な情報コンテンツ | |
| WO2019094234A1 (en) | Online determination of result set sensitivity | |
| CN109639726A (zh) | 入侵检测方法、装置、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171128 |