CN107729752A - 一种勒索软件防御方法及系统 - Google Patents
一种勒索软件防御方法及系统 Download PDFInfo
- Publication number
- CN107729752A CN107729752A CN201710822530.8A CN201710822530A CN107729752A CN 107729752 A CN107729752 A CN 107729752A CN 201710822530 A CN201710822530 A CN 201710822530A CN 107729752 A CN107729752 A CN 107729752A
- Authority
- CN
- China
- Prior art keywords
- software
- file
- data
- api
- deception
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种勒索软件防御方法及系统。该方法包括以下步骤:1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;2)生成并部署有限段欺骗数据;3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。本发明能够在低消耗、零损失的条件下对勒索软件进程进行实时检测和终止,保护用户和企业的数据与财产安全。
Description
技术领域
本发明涉及计算机网络安全领域,是针对勒索软件,特别是加密型勒索软件的防御系统,更具体地,是一种利用欺骗的勒索软件防御方法及系统。
背景技术
勒索软件是一种以勒索钱财为目的的恶意软件。它出现于1989年,近几年比特币技术出现并逐渐普及,勒索软件随之兴起,成为了不容忽视的网络安全问题。
传播方式多样化。大多数勒索软件通过社会工程学的方法入侵用户系统,如钓鱼邮件、钓鱼网站、水坑攻击等。2016年4月,出现了利用系统漏洞进行传播的勒索软件SamSam。2017年5月利用SMB远程任意代码执行漏洞进行传播的WannaCry席卷全球,造成了巨大的损失。可以预见,未来可能会有更多的勒索软件利用漏洞进行传播。
勒索软件的攻击目标具有多样化的特点。目前,Windows、Linux都已成为常见的攻击平台;2014年4月出现了针对安卓平台的勒索软件Koler,移动终端被攻陷并逐渐成为重要的攻击目标;2016年3月出现了针对MacOS的勒索软件KeRanger。随着物联网技术的发展,数量巨大而又缺少安全防护的智能设备成为勒索软件下一个攻击目标,届时将造成更加严重的问题。
勒索软件的支付方式借助近几年兴起的匿名货币。以比特币为首的匿名货币以其去中心化、匿名、难以追踪溯源等特点,为犯罪分子提供了便利。
用户薄弱的网络安全意识也是勒索软件屡屡得逞的重要原因。一方面,用户缺少平时备份文件的意识,一旦重要文件被加密,可能造成远高于勒索金额的损失,因此不得不支付赎金。另一方面,很多用户对网络攻击缺乏防范意识,传统的钓鱼方式依然奏效,使得勒索软件得以广泛传播。
勒索软件一般分为两类,锁定型和加密型。锁定型通过锁定系统,让用户无法正常使用。加密型即利用复杂且强度高的密码算法加密用户的文件、磁盘驱动器等。其中,锁定型可以采用清理系统或磁盘等方法解决问题,因此加密型勒索软件成为了网络罪犯的首选,也是现在更为严重的威胁。加密型勒索软件在进入用户系统之后,首先遍历目录和文件,选择符合要求(如后缀名)的文件进行操作,通过重写原文件内容、创建新文件覆盖原文件等方式加密文件,使其无法被用户正常使用。如今,勒索软件趋于框架化、服务化,降低了犯罪分子的技术门槛,更加重了其威胁程度。
已经有很多方法被用于勒索软件的防御与检测。最初是通过静态样本分析和模式匹配的方式进行检测,但由于勒索软件变种繁多,且恶意进程与正常进程往往非常类似,难以区分,因此这种方式不再适用。目前主要的勒索软件防御与检测方法基于动态特征检测和行为分析,从勒索软件在运行时的行为特征着手进行分析和匹配,辅以文件系统监测等手段,使勒索软件的行为能够被尽早发现,将用户损失控制在尽可能小的范围内。现有的勒索软件检测方法,都不同程度地存在问题,犹其是在准确性与实时性方面,缺点十分明显。
发明内容
针对上述问题,本发明提出了一种利用欺骗的勒索软件防御方法与系统。该方法不需要特殊的系统环境,利用勒索软件必定进行文件遍历这一行为特征,能够在保证低系统能耗和零损失的状态下,实时检测已知和未知的勒索软件样本。
为达到上述目的,本发明采取的具体技术方案是:
一种勒索软件防御方法,包括以下步骤:
1)在操作系统的用户态或内核态,至少使用一种方法,对勒索软件进行文件搜索、文件操作、数据加密时必须调用的系统API(Application Programming Interface,应用程序编程接口)进行全局挂接。
2)生成并部署有限段欺骗数据,用于进行欺骗。欺骗数据既可以是存在于磁盘上的实体文件,也可以是存在于内存中的一段二进制数据,本发明将这种欺骗数据称之为honeydocs。
3)当某个进程发起文件遍历操作时,对该进程的遍历操作进行欺骗,在遍历结果中插入一定数量的honeydocs返回给该进程。
4)当全局挂接的API发现某个进程对honeydocs进行操作时,监控honeydocs是否被实施了不正常的改变,以判定进程是否存在疑似勒索软件的恶意行为。
5)若判定进程存在勒索软件的恶意行为,则终止该进程并通过弹窗等方式通知用户。
一种勒索软件防御系统,包括:
欺骗数据生成模块,用于生成并部署honeydocs;
API全局挂接模块,用于在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;
进程欺骗模块,用于当某进程进行文件遍历操作时,在遍历结果中插入一定数量的honeydocs并返回给该进程,以对该进程进行欺骗;
欺骗数据监控模块,用于当某进程对honeydocs进行操作时,监控该文件中的honeydocs是否被实施了不正常的改变;
勒索软件判定与响应模块,用于判定该进程是否为勒索软件的恶意行为,若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。
本发明还提供一种计算机设备,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行上面所述方法的指令。
本发明还提供一种存储计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时,实现上面所述方法的步骤。
与现有的勒索软件防御系统相比,本发明具有以下几点优势:
1、honeydocs以磁盘或内存为数据存储载体,为用户实际不会生成或访问的文件数据,不会对用户的正常文件系统造成影响;
2、全局挂接API,能够实时对所有进程进行检测,用最短的时间发现恶意进程随即终止该进程,从而保证用户数据零损失;
3、仅需部署一定数量的honeydocs,而无需构造虚拟环境,也无需大量的存储开销,系统消耗少;
4、不依靠静态分析而是采用动态行为监测的方式,不针对特定勒索软件,具有普适性,对于新的勒索软件变体同样有效。
本发明采用欺骗技术,通过全局挂接API欺骗进程,并通过对honeydocs的部署和监控判定进程恶意行为,从而检测和防御勒索软件,能够在低消耗、零损失的条件下对勒索软件进程进行实时检测和终止,保护用户和企业的数据与财产安全。
附图说明
图1是本发明实施例中系统模块构成示意图。
图2是本发明实施例中系统建立和部署的步骤流程图。
图3是本发明实施例中honeydocs生成模块示意图。
图4是本发明实施例中勒索软件防御与检测流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和事例对本发明中技术核心作进一步详细的说明。
在本发明中,设计了一套可靠而有效的勒索软件防御系统,能够有效解决上述所存在的问题,所述系统包括如下:
如图1所示,为该系统的模块构成示意图,该系统分为五个模块,分别是honeydocs生成模块(即欺骗数据生成模块)、API全局挂接模块、进程欺骗模块、honeydocs监控模块(即欺骗数据监控模块)、勒索软件判定与响应模块。对各模块具体说明如下:
1、honeydocs生成模块,用以在系统中生成并部署honeydocs。honeydocs是用于欺骗勒索软件的非用户创建的数据。本系统部署的honeydocs用于被动的判定进程的行为,而非主动地引诱勒索软件。honeydocs涉及的数据,包括文件内容和文件属性信息,其存储既可以磁盘为载体,也可以内存为载体。honeydocs模拟的文件类型包括但不限于文档、图片、工程文件等,以求尽可能覆盖各种勒索软件的所有目标类型,文件的大小、内容及数量等属性均为任意;文件属性信息涵盖的内容包括但不限于文件名、文件类型、文件绝对路径、文件大小、占用空间、创建时间、修改时间、访问时间、文件内容等系统中实际文件具备的属性。进程以honeydocs为对象的遍历查找、文件读写、数据加密等操作,都重定向到以磁盘或内存为载体的honeydocs数据操作。
2、API全局挂接模块,在操作系统的用户态(ring3层)或内核态(ring0层),至少使用一种方法,对勒索软件进行文件搜索、文件操作、数据加密时必须调用的系统API进行全局挂接,即对系统中正在运行的和新创建的进程都进行API全局挂接,对上述特定API进行重写以返回欺骗数据。当进程调用了这些API,则会被钩出转而执行重写的API。挂接对象包括所有已知和未知的进程,但允许一些有自我保护能力、权限较高或用户指定的进程不被挂接。
3、进程欺骗模块,用于返回虚假文件信息以欺骗进程。当进程进行文件遍历时对该进程进行欺骗,在遍历结果中插入一定数量的honeydocs数据返回给该进程。更具体的,考虑到进程的文件遍历操作一般是深度优先行为,本系统采取了以下方法:检测到某个进程开始遍历文件时,首先向其返回若干个honeydocs数据,保证遍历队列的队首是大量honeydocs;在进程遍历文件过程中,适当返回一定数量的honeydocs数据,使得遍历队列的中部也有若干honeydocs;在进程对每个磁盘目录的遍历中,也返回若干个honeydocs数据,使进程每次进入到一个新的目录下开始遍历时也能给其返回若干honeydocs。通过在进程遍历文件的各个阶段都进行honeydocs数据返回,保证了进程文件遍历结果的队首、队中都存在honeydocs以对进程行为进行进一步的监控,同时真实文件与honeydocs穿插返回给进程也能避免对正常进程产生过大的影响以及勒索软件发现异常而在系统检测前停止操作并隐藏。
4、honeydocs监控模块,用于监控honeydocs的变化。当全局挂接的API发现某个进程对honeydocs进行操作时,将进行实时监控,通过监控其是否被实施了不正常的改变来判定进程是否存在疑似勒索软件的恶意行为。具体来说,当某进程对文件进行创建、打开、读取、写入、移动、复制、删除、关闭等操作时,由于相关API已全局挂接,系统可以实时发现并进行监控honeydocs的变化,监控指标包括但不限于文件名、类型、后缀名、大小、内容、文件头的变化,文件是否被打开或关闭、被移动或删除、被读取或写入,以及文件被读写前后的信息熵是否有明显变化等。
5、勒索软件判定与响应模块,接收honeydocs监控模块的信息,将监控指标结合其重要程度赋予其不同的权值,最终判定该进程的行为是否是恶意行为,从而判定该进程是否是勒索软件进程。若某进程被判定为勒索软件,系统将立即终止该进程,并通过弹窗等方式通知用户。
如图2所示,为上述系统建立和部署的步骤流程图,包括以下步骤:
步骤100,honeydocs生成模块用于在系统中生成并部署honeydocs,具体如图3所示;
步骤200,部署API全局挂接模块,用于挂接所有正在运行、开始运行的所有调用了文件遍历、文件操作、数据加密等特定API的进程;
步骤300,部署进程欺骗模块用于读取honeydocs数据,返回虚假文件信息以欺骗进程,返回的文件信息包括但不限于文件名、文件类型、文件大小、创建时间、修改时间、文件内容等。
步骤400,部署honeydocs监控模块用于监控honeydocs的变化,在该模块中设定多个监控指标,包括但不限于文件名、类型、后缀名、大小、内容、文件头的变化,文件是否被打开或关闭、被移动或删除、被读取或写入,以及文件被读写前后的信息熵是否有明显提高等。
步骤500,部署勒索软件判定模块,用于接收honeydocs监控模块的信息,判定进程是否是勒索软件并进行响应。
如图3所示,为honeydocs生成模块示意图,honeydocs有两种生成方法,具体如下:
步骤110,生成honeydocs,类型包括但不限于文档、图片、工程文件等,以求尽可能覆盖各种勒索软件的所有目标类型。
步骤120,生成每一个honeydocs相应的文件属性信息,包括但不限于文件名、文件类型、文件绝对路径、文件大小、占用空间、创建时间、修改时间、访问时间、文件内容等系统中实际文件具备的属性。
步骤130,将生成的honeydocs以磁盘为载体进行存储。
步骤140,将生成的honeydocs以内存为载体存储。
如图4所示,为勒索软件防御与检测流程示意图,具体流程如下:
步骤210,当某进程正在运行或开始运行时,若其调用了文件遍历、文件操作、数据加密等相关系统API,则在操作系统的用户态或内核态进行API挂接。
步骤310,向进程的文件遍历操作返回虚假的文件信息以进行欺骗,在进程遍历开始时、遍历过程中以及磁盘目录遍历中都返回若干honeydocs数据,保证进程文件遍历结果的队首、队中都存在honeydocs。
步骤320,进程接受API的返回值,开始进行文件打开、读取、写入、关闭等操作,由于系统的进程欺骗模块在进程遍历的队首和队中都插入了honeydocs,因此进程会首先对若干honeydocs进行操作,并后续对真实用户文件和honeydocs穿插进行操作,便于honeydocs监控模块实时监控其变化。
步骤410,由于相关文件操作API已全局挂接,系统可以实时发现进程的文件操作行为并监控honeydocs的变化,监控指标包括但不限于文件名、类型、后缀名、大小、内容、文件头的变化,文件是否被打开或关闭、被移动或删除、被读取或写入,以及文件被读写前后的信息熵是否有明显提高等。
步骤510,系统根据多个监控指标对进程行为进行判定,若指标的变化符合勒索软件的行为,则判断该进程为勒索软件进程。
步骤520,系统判定某进程为勒索软件进程后,将立即进行响应,终止该进程以避免造成更大的损失;同时通过系统弹窗等方式通知用户,使用户可以及时发现异常。
本发明的另一实施例提供一种计算机设备,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行上面所述方法的指令。
本发明的另一实施例提供一种存储计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时,实现上面所述方法的步骤。
最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,尽管使用事例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等价替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种勒索软件防御方法,其特征在于,包括以下步骤:
1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;
2)生成并部署欺骗数据;
3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;
4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;
5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。
2.如权利要求1所述的方法,其特征在于,步骤1)所述勒索软件必须调用的API,是勒索软件进行文件搜索、文件操作、数据加密时必须调用的API,至少使用一种方法对所述API进行全局挂接。
3.如权利要求1所述的方法,其特征在于,所述欺骗数据以磁盘或内存为数据存储载体。
4.如权利要求1所述的方法,其特征在于,所述欺骗数据能够模拟的类型尽可能覆盖各种勒索软件的所有目标类型,包括文档、图片、工程文件;所述欺骗数据模拟的文件属性信息包括文件名、文件类型、文件绝对路径、文件大小、占用空间、创建时间、修改时间、访问时间、文件内容。
5.如权利要求1所述的方法,其特征在于,步骤3)对进程进行欺骗时,在文件遍历开始时、遍历过程中以及磁盘目录遍历中都向进程返回若干欺骗数据,保证文件遍历结果的队首、队中都存在欺骗数据,以利于对该进程的行为进行监控;并通过将真实文件与欺骗数据穿插返回给该进程,避免对正常进程产生过大的影响以及勒索软件发现异常而停止操作并隐藏。
6.如权利要求1所述的方法,其特征在于,步骤4)中,当某进程对文件进行创建、打开、读取、写入、移动、复制、删除或关闭操作时,利用全局挂接的API实时发现并监控欺骗数据的变化,采用的监控指标包括:文件名、类型、后缀名、大小、内容、文件头的变化,文件是否被打开或关闭、被移动或删除、被读取或写入,以及文件被读写前后的信息熵是否有明显变化。
7.如权利要求1所述的方法,其特征在于,步骤5)根据各监控指标的重要程度赋予其不同的权值,用于判定进程是否为勒索软件的恶意行为。
8.一种勒索软件防御系统,其特征在于,包括:
欺骗数据生成模块,用于生成并部署欺骗数据;
API全局挂接模块,用于在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;
进程欺骗模块,用于当某进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;;
欺骗数据监控模块,用于当某进程对欺骗数据进行操作时,监控该欺骗数据是否被实施了不正常的改变;
勒索软件判定与响应模块,用于判定该进程是否为勒索软件的恶意行为,若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1至7中任一权利要求所述方法的指令。
10.一种存储计算机程序的计算机可读存储介质,其特征在于,所述计算机程序被计算机执行时,实现权利要求1至7中任一权利要求所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710822530.8A CN107729752B (zh) | 2017-09-13 | 2017-09-13 | 一种勒索软件防御方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710822530.8A CN107729752B (zh) | 2017-09-13 | 2017-09-13 | 一种勒索软件防御方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107729752A true CN107729752A (zh) | 2018-02-23 |
CN107729752B CN107729752B (zh) | 2019-12-03 |
Family
ID=61206149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710822530.8A Active CN107729752B (zh) | 2017-09-13 | 2017-09-13 | 一种勒索软件防御方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107729752B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108416210A (zh) * | 2018-03-09 | 2018-08-17 | 北京顶象技术有限公司 | 一种程序保护方法及装置 |
CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
TWI682303B (zh) * | 2018-12-11 | 2020-01-11 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
CN111062035A (zh) * | 2019-11-18 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
CN112287346A (zh) * | 2020-11-16 | 2021-01-29 | 山西三友和智慧信息技术股份有限公司 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
CN112818346A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 文件诱捕反勒索病毒的方法 |
CN113672916A (zh) * | 2021-07-28 | 2021-11-19 | 安天科技集团股份有限公司 | 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 |
CN114154155A (zh) * | 2021-12-07 | 2022-03-08 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
-
2017
- 2017-09-13 CN CN201710822530.8A patent/CN107729752B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
CN103294950A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108416210B (zh) * | 2018-03-09 | 2020-07-14 | 北京顶象技术有限公司 | 一种程序保护方法及装置 |
CN108416210A (zh) * | 2018-03-09 | 2018-08-17 | 北京顶象技术有限公司 | 一种程序保护方法及装置 |
CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
TWI682303B (zh) * | 2018-12-11 | 2020-01-11 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
CN111062035A (zh) * | 2019-11-18 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
CN111062035B (zh) * | 2019-11-18 | 2024-02-20 | 安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
CN111475806B (zh) * | 2020-03-08 | 2022-08-05 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
CN112818346A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 文件诱捕反勒索病毒的方法 |
CN112287346A (zh) * | 2020-11-16 | 2021-01-29 | 山西三友和智慧信息技术股份有限公司 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
CN113672916A (zh) * | 2021-07-28 | 2021-11-19 | 安天科技集团股份有限公司 | 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 |
CN114154155A (zh) * | 2021-12-07 | 2022-03-08 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
CN114154155B (zh) * | 2021-12-07 | 2023-11-24 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107729752B (zh) | 2019-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107729752B (zh) | 一种勒索软件防御方法及系统 | |
Vastel et al. | {Fp-Scanner}: The privacy implications of browser fingerprint inconsistencies | |
CN109067815A (zh) | 攻击事件溯源分析方法、系统、用户设备及存储介质 | |
CN104766011B (zh) | 基于主机特征的沙箱检测告警方法和系统 | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
CN106682495A (zh) | 安全防护方法及安全防护装置 | |
CN109388538A (zh) | 一种基于内核的文件操作行为监控方法及装置 | |
US9454663B2 (en) | Data processing method and device | |
US12013929B2 (en) | Stack pivot exploit detection and mitigation | |
CN110119614A (zh) | 检测浏览器扩展的隐藏行为的系统和方法 | |
CN108027859A (zh) | 检测对计算设备中的进程的软件攻击 | |
CN107491691A (zh) | 一种基于机器学习的远程取证工具安全分析系统 | |
CN109324952A (zh) | 一种基于内存映射文件检测进程实例个数的方法及装置 | |
CN110427758A (zh) | 位置欺骗检测方法、智能终端及存储介质 | |
CN114091042A (zh) | 风险预警方法 | |
CN113378167A (zh) | 一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法 | |
CN115587357A (zh) | 一种基于大数据的威胁场景分析方法及系统 | |
Lee et al. | A method for preventing online games hacking using memory monitoring | |
CN113626811A (zh) | 基于诱饵文件的勒索软件早期检测方法及系统 | |
CN106909838A (zh) | 一种拦截系统调用的方法及装置 | |
CN113268737A (zh) | 环境安全验证方法、系统和客户端 | |
CN111639336A (zh) | 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法 | |
Norouzi et al. | The greed trap: Uncovering intrinsic ethereum honeypots through symbolic execution | |
CN108197464A (zh) | 一种面向云环境的环境敏感型恶意软件分析检测方法和系统 | |
Botas et al. | Counterfeiting and defending the digital forensic process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |