CN108038379B - 一种防勒索软件攻击的方法和系统 - Google Patents
一种防勒索软件攻击的方法和系统 Download PDFInfo
- Publication number
- CN108038379B CN108038379B CN201711498634.4A CN201711498634A CN108038379B CN 108038379 B CN108038379 B CN 108038379B CN 201711498634 A CN201711498634 A CN 201711498634A CN 108038379 B CN108038379 B CN 108038379B
- Authority
- CN
- China
- Prior art keywords
- file
- reputation
- request
- library
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种防勒索软件攻击的方法和系统,所述方法包括以下步骤:监控并记录进程对文件进行操作的历史记录,建立进程信誉库;当进程请求对文件进行操作时,将该请求行为与进程信誉库中的信息进行比对,判断该进程是否为恶意进程;如果是恶意进程,则阻止该请求;否则放行该请求。本发明采用在进程对文件进行操作之前,首先考察该进程是否有过相同操作的历史记录,从而判断该进程是否为恶意进程;本方法能够在恶意进程做出操作之前及时阻止该操作的发生,进而防止勒索软件产生破坏。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种防勒索软件攻击的方法和系统。
背景技术
勒索软件是近两年比较流行的病毒,尤其是在2016年,我国勒索软件呈爆发式增长,全国至少有497万台电脑遭到了勒索软件的攻击。勒索软件一旦感染系统会加密电脑磁盘的文档文件、图片文件、文本文件等,从而干扰用户正常使用;加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金,然后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据,只有恶意代码的作者能对其解密。因此,即使用户支付了赎金给恶意代码的作者,也可能无法解密数据,这对于拥有重要资源的企业和部门是一个灾难性的事件,比如:医疗部门、银行、政府部门一旦遭受勒索软件攻击,就会使各业务系统瘫痪,损失不可估量。
发明内容
有鉴于此,本发明的目的在于克服现有技术的不足,提供一种防勒索软件攻击的方法和系统。
为实现以上目的,本发明采用如下技术方案:
一种防勒索软件攻击的方法,包括以下步骤:
监控并记录进程对文件进行操作的历史记录,建立进程信誉库;
当进程请求对文件进行操作时,将该请求行为与进程信誉库中的信息进行比对,判断该进程是否为恶意进程;
如果是恶意进程,则阻止该请求;否则放行该请求。
对于新的没有历史记录的进程,采用手动设置的方式建立初始的进程信誉库。
所述进程信誉库中记录有进程对文件进行操作的时间、文件的类型、操作的类型和操作的结果。
所述将该请求行为与进程信誉库中的信息进行比对,具体采用以下步骤:
在进程信誉库中进行考察,该进程在一段时间内是否存在相同操作的历史记录;
计算该进程在一段时间内进行操作的次数,并判断次数是否符合设定的阈值;
如果存在,且次数在阈值所规定的范围之内,判断该进程不是恶意进程;否则判断该进程是恶意进程。
所述考察的过程具体包括以下步骤:
Δt时间内,是否访问过同类型文件;
Δt时间内,是否打开过文档;
Δt时间内,是否变更过文件的后缀名;
Δt时间内,是否读取过文件;
Δt时间内,是否写过文件;
Δt时间内,是否删除过文件;
其中,Δt定义为历史时间点t1到当前时间点t0之间的一段时间差,Δt=|t1-t0|,Δt为预设的参数。
一种防勒索软件攻击的系统,该系统包括审计模块、信誉分析模块、监控模块和进程信誉库;
所述监控模块将监控到的进程对文件的操作上报给审计模块;
所述监控模块从所述进程信誉库中获取关于进程的历史信誉信息,并阻止或放行该进程的操作请求;
所述信誉分析模块从所述审计模块获取信息,并进一步提取进程的信誉信息,然后将最新的进程信誉信息更新到所述进程信誉库。
所述监控模块上报的内容至少包括操作类型和操作结果。
所述监控模块阻止或放行的判断标准是:
如果该进程在一段时间内进行过相同的操作,则放行本次操作;否则阻止本次操作。
该系统还包括用户界面,用于对进程的信誉进行标注。
对于新的没有历史信誉信息的进程,通过所述用户界面添加信誉信息。
本发明采用以上技术方案,在进程对文件进行操作之前,首先考察该进程是否有过相同操作的历史记录,从而判断该进程是否为恶意进程;如果此前已经进行过相同的操作,则证明该进程对文件的操作是安全的,否则就阻止进程进行操作,以保证绝对安全。因而本方法能够在恶意进程做出操作之前及时阻止该操作的发生,进而防止勒索软件产生破坏。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一种防勒索软件攻击的方法流程图;
图2是本发明一种防勒索软件攻击的方法具体判断流程图;
图3是本发明一种防勒索软件攻击的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
如图1所示,本发明提供了一种防勒索软件攻击的方法,包括以下步骤:
监控并记录进程对文件进行操作的历史记录,建立进程信誉库;
当进程请求对文件进行操作时,将该请求行为与进程信誉库中的信息进行比对,判断该进程是否为恶意进程;
如果是恶意进程,则阻止该请求;否则放行该请求。
对于新的没有历史记录的进程,采用手动设置的方式建立初始的进程信誉库。
所述进程信誉库中记录有进程对文件进行操作的时间、文件的类型、操作的类型和操作的结果。
所述将该请求行为与进程信誉库中的信息进行比对,具体采用以下步骤:
在进程信誉库中进行考察,该进程在一段时间内是否存在相同操作的历史记录;
计算该进程在一段时间内进行操作的次数,并判断次数是否符合设定的阈值;
如果存在,且次数在阈值所规定的范围之内,判断该进程不是恶意进程;否则判断该进程是恶意进程。
如图2所示,所述考察的过程具体包括以下步骤:
Δt时间内,是否访问过同类型文件;
Δt时间内,是否打开过文档;
Δt时间内,是否变更过文件的后缀名;
Δt时间内,是否读取过文件;
Δt时间内,是否写过文件;
Δt时间内,是否删除过文件;
其中,Δt定义为历史时间点t1到当前时间点t0之间的一段时间差,Δt=|t1-t0|,Δt为预设的参数。
如图3所示,本发明还提供了一种防勒索软件攻击的系统,该系统包括审计模块、信誉分析模块、监控模块和进程信誉库;
所述监控模块将监控到的进程对文件的操作上报给审计模块;
所述监控模块从所述进程信誉库中获取关于进程的历史信誉信息,并阻止或放行该进程的操作请求;
所述信誉分析模块从所述审计模块获取信息,并进一步提取进程的信誉信息,然后将最新的进程信誉信息更新到所述进程信誉库。
所述监控模块上报的内容至少包括操作类型和操作结果。
所述监控模块阻止或放行的判断标准是:
如果该进程在一段时间内进行过相同的操作,则放行本次操作;否则阻止本次操作。
该系统还包括用户界面,用于对进程的信誉进行标注。
对于新的没有历史信誉信息的进程,通过所述用户界面添加信誉信息。
为进一步详述本专利,结合具体的实施方式进行拓展说明。
由于勒索软件的攻击是通过恶意进程加密目标文件来实现。那么,如果能够在进程访问文件之前判断出该进程是否恶意,则可以阻止文件被加密,进而防止勒索软件产生破坏。
进程是否恶意可以通过建立进程信誉库来判断,进程的信誉信息主要从如下六个方面来考虑:
(1)Δt期间内,是否读取过文件;
(2)Δt期间内,是否写过文件;
(3)Δt期间内,是否删除过文件;
(4)Δt时间内,是否变更过文件的后缀名;
(5)Δt期间内,访问过的文档类型;
(6)Δt期间内,是否打开过文件;
Δt定义为历史时间点t1到当前时间点t0之间的一段时间差,Δt=|t1-t0|,Δt≥τ,其中τ可以是30天,也可以设为其它天数。
进一步地,本发明的工作流程中,在判断进程信誉的最开始,还需要增加两个环节,一个是判断该进程是否属于进程白名单,另一个是判断该进程是否经过证书签名,白名单内的进程和经过证书签名的进程,一律放行。
进程白名单如下:
进程名 | MD5 |
Word.exe | 516657a55c7ad0ea8ab31402d25e8263 |
Cacl.exe | bfdf4405f1b7188873cad0a18e7db6d3 |
qq.exe | 0c56c63bce5037bf905f33515538724b |
如果不是白名单内的进程,也没有经过证书签名,才启动判断程序,由进程信誉库的信息来进行判断是否为恶意进程。
如图3所示,本发明的防勒索软件攻击的系统,该系统包括审计模块、信誉分析模块、监控模块和进程信誉库,图中的数字所标注的是各模块之间的数据接口。
接口1主要是将文件I/O模块监控到的文件操作上报给文件I/O审计模块,上报的内容至少包括对文件的读取、写入和删除操作和操作结果。
接口2用于获取某进程的信誉信息。文件I/O监控模块监控到有进程读取/写入/删除文件,向进程信誉库请求关于该进程的历史信誉信息。如果该进程在Δt时间内读取/写入/删除过文件,则放行该进程的读取/写入/删除操作;如果该进程在Δt时间内没有读取/写入/删除过文件,则阻止该进程的读取/写入/删除操作。
接口3主要是信誉分析模块从文件I/O审计模块获取文件I/O操作的审计信息。其中,审计信息就是一些IO操作的历史记录,例如某时刻,某进程对某文件的移动、删除、增加、打开、读取和写入的操作。信誉分析模块的功能主要是根据文件I/O操作的审计信息提取进程的信誉信息。
首先需要有一个文件后缀名的名单,例如下表:
后缀名 | doc | txt | png | jpg | ppt | xls | …… | html | py | |
重命名 | 1 | 0 | 1 | 1 | 1 | 0 | …… | 0 | 0 | 1 |
写入 | 1 | 1 | 1 | 1 | 1 | 0 | …… | 0 | 0 | 0 |
删除 | 0 | 0 | 0 | 0 | 1 | 1 | …… | 1 | 1 | 1 |
该表是某一个进程的行为记录,表的第一行是文件后缀名,表的第二行表示该进程是否曾经将将文件的后缀名改成其他内容,例如上表里,doc列里的记录是1,则表示该进程曾经将doc的后缀名改成了其他内容。表的第三行表示该进程是否曾经写入过该类型文件,表的第四行表示该进程是否曾经删除过该类型文件。其中“1”代表是,“0”代表否。
由此,某进程重命名过的文档类型可以用一个定长的bit串来表示,bit串的长度根据后缀名名单的长度来定,可以是32位,64位,128位或更长。下面为了方便,选用16位来示例。
进程信誉库中所记录的信息,进程信誉表如下:
Δt内的平均次数计算公式:
T0表示开始监控进程的时间点,Tnow表示当前时间点,Count则表示T0到Tnow之间发生的数量。
例如,某进程的重写历史Re=“1100 1100 0000 0000”,其中四个bit位是1,说明该进程曾经对四种后缀名的文件做过变更操作;写入历史Wr=“1100 0000 0000 0000”,说明该进程曾经对两种后缀名的文件做过写入操作;删除历史De=“1000 0000 0000 0000”,说明该进程曾经对一种后缀名的文件做过删除操作。将Re、Wr和De做或操作,得到R=“11001100 0000 0000”。最后从四个方面综合判断,分别是:
R中为1的个数RC,本例中,RC=4;
Δt内重命名平均个数ReC;
Δt内写入平均个数WrC;
Δt内删除平均个数DeC;
其中,ReC、WrC和DeC均使用公式(1)进行计算;
如果3≤RC≤5,则系统告警,如果RC>5,则系统阻断;
如果RC<3,则ReC、WrC和DeC任一项大于设置的阈值,则进行阻断;
只有当RC<3,且ReC、WrC和DeC均不大于设置的阈值,才放行该进程。
接口4的作用是信誉分析模块将最新的进程信誉信息更新到进程信誉库。
接口5的作用是通过用户界面对进程信誉进行标注,对于新的进程,一般没有历史信誉信息,需要通过接口5进行人为添加信誉信息。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (5)
1.一种防勒索软件攻击的方法,其特征在于,包括以下步骤:
监控并记录进程对文件进行操作的历史记录,建立进程信誉库,对于新的没有历史记录的进程,采用手动设置的方式建立初始的进程信誉库,所述进程信誉库中记录有进程对文件进行操作的时间、文件的类型、操作的类型和操作的结果;
当进程请求对文件进行操作时,将该请求行为与进程信誉库中的信息进行比对,判断该进程是否为恶意进程;
如果是恶意进程,则阻止该请求;否则放行该请求;
所述将该请求的操作行为与进程信誉库中的信息进行比对,具体采用以下步骤:
将该请求的每种操作行为分别用一个相同位数的二进制数表示,所述二进制数中,每一位代表一种后缀名的文件,某一位为1代表对该种后缀名的文件进行该操作;
将表示该请求的所有操作行为的二进制数对应的每一位做或操作得到一个表示该请求的二进制数,得到表示该请求二进制数中1的个数RC;
计算Δt内每种操作行为的平均次数;
将RC以及Δt内每种操作的平均次数与设置的阈值比较,根据比较结果判断是否放行该进程;
其中,Δt定义为历史时间点t1到当前时间点t0之间的一段时间差,Δt=|t1-t0|,Δt为预设的参数;所述阈值为根据所述进程信誉库的历史记录进行设置。
2.一种采用如权利要求1所述方法的防勒索软件攻击的系统,其特征在于:该系统包括审计模块、信誉分析模块、监控模块和进程信誉库;
所述监控模块将监控到的进程对文件的操作上报给审计模块;
所述监控模块从所述进程信誉库中获取关于进程的历史信誉信息,并阻止或放行该进程的操作请求;
所述信誉分析模块从所述审计模块获取信息,并进一步提取进程的信誉信息,然后将最新的进程信誉信息更新到所述进程信誉库。
3.根据权利要求2所述的一种防勒索软件攻击的系统,其特征在于:所述监控模块上报的内容至少包括操作类型和操作结果。
4.根据权利要求2至3任一项所述的一种防勒索软件攻击的系统,其特征在于:该系统还包括用户界面,用于对进程的信誉进行标注。
5.根据权利要求4所述的一种防勒索软件攻击的系统,其特征在于:对于新的没有历史信誉信息的进程,通过所述用户界面添加信誉信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711498634.4A CN108038379B (zh) | 2017-12-29 | 2017-12-29 | 一种防勒索软件攻击的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711498634.4A CN108038379B (zh) | 2017-12-29 | 2017-12-29 | 一种防勒索软件攻击的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108038379A CN108038379A (zh) | 2018-05-15 |
CN108038379B true CN108038379B (zh) | 2020-06-23 |
Family
ID=62098833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711498634.4A Active CN108038379B (zh) | 2017-12-29 | 2017-12-29 | 一种防勒索软件攻击的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108038379B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111600893B (zh) * | 2020-05-19 | 2022-09-02 | 山石网科通信技术股份有限公司 | 勒索软件的防御方法、装置、存储介质、处理器和主机 |
CN113672916A (zh) * | 2021-07-28 | 2021-11-19 | 安天科技集团股份有限公司 | 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 |
CN113672925B (zh) * | 2021-08-26 | 2024-01-26 | 安天科技集团股份有限公司 | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100085280A (ko) * | 2009-01-20 | 2010-07-29 | 한남대학교 산학협력단 | 악성 프로세스 차단 및 실행방지 시스템 |
CN102982280A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 阻止计算机辅助设计cad病毒感染的方法及装置 |
CN102982279A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 计算机辅助设计病毒感染防止系统和方法 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
-
2017
- 2017-12-29 CN CN201711498634.4A patent/CN108038379B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100085280A (ko) * | 2009-01-20 | 2010-07-29 | 한남대학교 산학협력단 | 악성 프로세스 차단 및 실행방지 시스템 |
CN102982280A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 阻止计算机辅助设计cad病毒感染的方法及装置 |
CN102982279A (zh) * | 2012-11-07 | 2013-03-20 | 北京奇虎科技有限公司 | 计算机辅助设计病毒感染防止系统和方法 |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
CN107506642A (zh) * | 2017-08-10 | 2017-12-22 | 四川长虹电器股份有限公司 | 防止文件被恶意操作行为损坏的方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108038379A (zh) | 2018-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3479280B1 (en) | Ransomware protection for cloud file storage | |
EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
EP3316166B1 (en) | File-modifying malware detection | |
US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
US10503897B1 (en) | Detecting and stopping ransomware | |
US10121003B1 (en) | Detection of malware, such as ransomware | |
US8060596B1 (en) | Methods and systems for normalizing data loss prevention categorization information | |
US8458186B2 (en) | Systems and methods for processing and managing object-related data for use by a plurality of applications | |
US8892905B2 (en) | Method and apparatus for performing selective encryption/decryption in a data storage system | |
US8392705B2 (en) | Information source agent systems and methods for distributed data storage and management using content signatures | |
CN103632080B (zh) | 一种基于USBKey的移动数据应用安全保护方法 | |
US8812563B2 (en) | System for permanent file deletion | |
US20120158760A1 (en) | Methods and computer program products for performing computer forensics | |
CN108038379B (zh) | 一种防勒索软件攻击的方法和系统 | |
US20100287383A1 (en) | Techniques for detecting encrypted data | |
US8429364B1 (en) | Systems and methods for identifying the presence of sensitive data in backups | |
WO2017053404A1 (en) | Security application for data security formatting, tagging and control | |
US7216207B1 (en) | System and method for fast, secure removal of objects from disk storage | |
US9154506B1 (en) | System and method for secure data generation and transmission | |
US8863304B1 (en) | Method and apparatus for remediating backup data to control access to sensitive data | |
CN103544443B (zh) | 一种ntfs文件系统下应用层文件隐藏方法 | |
AlHarbi et al. | Forensic analysis of anti‐forensic file‐wiping tools on Windows | |
Han et al. | On the effectiveness of behavior-based ransomware detection | |
Eterovic‐Soric et al. | Windows 7 antiforensics: a review and a novel approach | |
RU96433U1 (ru) | Система безвозвратного удаления файла (шредер файла) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |