CN109284608A - 勒索软件的识别方法、装置和设备、安全处理方法 - Google Patents

勒索软件的识别方法、装置和设备、安全处理方法 Download PDF

Info

Publication number
CN109284608A
CN109284608A CN201710591377.2A CN201710591377A CN109284608A CN 109284608 A CN109284608 A CN 109284608A CN 201710591377 A CN201710591377 A CN 201710591377A CN 109284608 A CN109284608 A CN 109284608A
Authority
CN
China
Prior art keywords
software
flag bit
monitoring
extorting
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710591377.2A
Other languages
English (en)
Other versions
CN109284608B (zh
Inventor
董斌雁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710591377.2A priority Critical patent/CN109284608B/zh
Publication of CN109284608A publication Critical patent/CN109284608A/zh
Application granted granted Critical
Publication of CN109284608B publication Critical patent/CN109284608B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种勒索软件的识别方法、装置和设备、安全处理方法。其中,该勒索软件的识别设备包括:监控装置,用于监控新建的进程;处理器,用于当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程;其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。本申请解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。

Description

勒索软件的识别方法、装置和设备、安全处理方法
技术领域
本申请涉及网络安全领域,具体而言,涉及一种勒索软件的识别方法、装置和设备、安全处理方法。
背景技术
随着互联网技术的发展,网络已经成为人们生活和工作不可缺少的一部分。互联网用户通过计算机网络可以获取海量信息,并方便地与其他用户进行沟通和交流,实现信息资源的共享。然而,计算机网络技术的快速发展,使得网络环境变得越来越复杂,网络安全问题日益突出,勒索软件是近年数量增加最快的网络威胁之一。
勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
目前,常用的勒索软件的识别方法是通过黑名单的方式,将新建的进程的程序与文件与黑名单中的程序或文件进行比对,如果比对成功,则确定是勒索软件的进程,禁止进程启动。但是,由于黑名单是提前收集到的已知的勒索软件的程序或文件,对于未知的勒索软件存在滞后问题,会出现漏杀的情况,未知的勒索软件一旦运行成功,即刻可对格式文件进行加密,如果受害用户没有提前备份数据,则无法恢复被加密的文件。
针对上述现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种勒索软件的识别方法、装置和设备、安全处理方法,以至少解决现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
根据本申请实施例的一个方面,提供了一种勒索软件的识别设备,包括:监控装置,用于监控新建的进程;处理器,用于当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,其中,异常操作是与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。
根据本申请实施例的另一方面,还提供了一种勒索软件的识别方法,包括:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程对应的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
根据本申请实施例的另一方面,还提供了一种勒索软件的识别装置,包括:监控单元,用于监控新建的进程;第一确定单元,用于当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;第二确定单元,用于当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
根据本申请实施例的另一方面,还提供了一种安全处理方法,包括:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程;查杀勒索软件对应的进程。
根据本申请实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行如下处理步骤:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行如下处理步骤:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
在本申请实施例中,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,从而实现识别勒索软件的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种勒索软件的识别设备的示意图;
图2是根据本申请实施例的一种用于实现勒索软件的识别方法的计算机终端的硬件结构框图;
图3是根据本申请实施例的一种勒索软件的识别方法的流程图;
图4是根据本申请实施例的一种可选的勒索软件的识别方法的流程图;
图5是根据本申请实施例的一种勒索软件的识别装置的示意图;
图6是根据本申请实施例的一种安全处理方法的流程图;以及
图7是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
进程:是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。程序是指令、数据及其组织形式的描述,进程是程序的实体。
行为位图:是为进程操作行为设置的位图,位图是一种非常常用的结构,在位图中每个元素为“0”或“1”,表示其对应的元素不存在或者存在。
实施例1
根据本申请实施例,提供了一种勒索软件的识别设备的实施例,图1是根据本申请实施例的一种勒索软件的识别设备的示意图,如图1所示,该勒索软件的识别设备包括:
监控装置102,用于监控新建的进程。
处理器104,用于当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。
具体地,上述的识别阈值可以是通过加权计算或者根据贝叶斯公式计算概率得到的分值,分值越高表明该进程越有可能是勒索软件对应的进程;上述的预设存储区域可以是系统目录的存储区域;上述的预设存储区域内的存储内容可以是计算机终端的系统目录中的敏感文件,勒索软件常对敏感文件进行加密,敏感文件的类型可以是doc、c、cpp、java、html、ppt等,本申请对此不作限定;上述的预设阈值可以是区分勒索软件对应的进程的最小分值。
需要说明的是,为了进一步防止勒索软件对用户的正常文件产生危害,可以在预设存储区域内预先存储作为诱饵的存储内容,勒索软件优先对作为诱饵的存储内容进行加密。
在一种可选的方案中,可以在需要进行勒索软件防护的计算机终端上安装安全防护软件,启动安全防护软件的进程,通过驱动监控计算机终端上所有的新建进程,监控每个新建的进程是否存在异常操作,即监控每个新建的进程是否执行了勒索软件对应的进程所执行的多个操作行为相匹配的一个或多个操作,如果监控到进程不存在异常操作,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程;如果监控到进程存在异常操作,即监控到进程执行了勒索软件对应的进程所执行的多个操作中的一个或多个操作,则基于异常操作的操作行为,确定识别该进程为勒索软件对应的进程的识别阈值,并将识别阈值与勒索软件对应的进程的最小分值进行比较,如果识别阈值超过勒索软件对应的进程的最小分值,则确定该进程为勒索软件对应的进程;如果识别阈值小于勒索软件对应的进程的最小分值,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程。
根据本申请上述实施例,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,从而实现识别勒索软件的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,处理器104还用于获取标志位集合,其中,标志位集合包括:多个标志位,每个标志位与预先获取的勒索软件对应的进程所执行的一个操作相对应;设置异常操作的操作行为对应的标志位的取值,得到新的标志位集合;根据新的标志位集合,得到识别阈值。
具体地,上述的标志位集合可以是行为位图,勒索软件的识别依据可以有多种,为了方便确定识别阈值,可以在行为位图中为每种识别依据设置一个对应的标志位,每个标志位的取值可以为“0”或“1”,例如,每个标志位的初始值可以为0,如果满足识别依据,则将识别依据对应的标志位置位,即将识别依据对应的标志位的取值修改为“1”。
在一种可选的方案中,在对勒索软进行识别之前,可以预先对勒索软件对应的进程所执行的操作行为进行统计,为每个操作行为设置一个对应的标志位,当确定新建的进程存在异常操作时,可以将行为位图中异常操作的操作行为对应的标志位置位,并保持其他标志位的取值不变,从而得到更新后的行为位图,根据更新后的行为位图中每个标志位的取值,可以得到该识别阈值,通过将识别阈值与勒索软件对应的进程的最小分值进行比较,即可确定该进程是否为勒索软件对应的进程。
可选地,在本申请上述实施例中,处理器104还用于如果监控到进程未经授权对预设存储区域内的文件进行篡改,则设置标志位集合中第一标志位的取值;如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则设置标志位集合中第二标志位的取值;如果监控到进程未经授权执行注入操作或设置自启动项的操作,则设置标志位集合中第三标志位的取值;如果监控到进程存在感染操作或发送勒索通知的操作,则设置标志位集合中第四标志位的取值。
在一种可选的方案中,在监控进程的过程中,可以首先监控进程是否未经授权对系统目录中的敏感文件进行篡改,如果监控到进程未经授权对系统目录中的敏感文件进行篡改,则可以将第一标志位置位,如果监控到进程未对系统目录中的敏感文件进行篡改,则可以保持第一标志位的取值不变,并进一步监控进程是否未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则可以将第二标志位置位,如果监控到进程未对预设存储区域内的文件进行删除或未向预设存储区域内拷贝文件,则可以保持第二标志位的取值不变,并进一步监控进程是否未经授权执行注入操作或设置自启动项的操作,如果监控到进程未经授权执行注入操作或设置自启动项的操作,则可以将第三标志位置位,如果监控到进程未执行注入操作或设置自启动项的操作,则可以保持第三标志位的取值不变,最后监控进程是否存在感染操作或发送勒索通知的操作,如果监控到进程存在感染操作或发送勒索通知的操作,则可以将第四标志位置位,如果监控到进程不存在感染操作或发送勒索通知的操作,则可以保持第四标志位的取值不变。
可选地,在本申请上述实施例中,处理器104还用于如果监控到进程对文件进行加密,且对文件进行重命名,则确定进程对预设存储区域中的文件进行恶意篡改。
具体地,勒索软件一旦运行成功即刻可以对系统目录中的敏感文件进行加密,如果受害者没有提前备份数据,则不可能恢复被加密的文件。
在一种可选的方案中,在新建进程之后,可以监控进程,当监控到进程遍历系统目录中的敏感文件时,可以监控敏感文件是否被加密修改,以及敏感文件是否以特定的格式重命名,如果监控到敏感文件被加密修改,且被以特定的格式重命名,则确定进程对预设区域中的文件进行恶意篡改,并将行为位图中的第一标识位置位。
需要说明的是,特定的格式可以是指敏感文件的整个名称,包括前缀和后缀,例如,可以将前缀和后缀的内容进行交换。也可以是敏感文件的前缀名称,例如,可以在敏感文件的原有前缀名称前增加特殊的字符,比如增加“*”。也可以是敏感文件的后缀名称,例如,将敏感文件的后缀名称修改为特定的类型。
可选地,在本申请上述实施例中,处理器104还用于获取新的标志位集合中每个标志位的取值,以及每个标志位对应的权值,根据每个标志位的取值,以及每个标志位对应的权值,计算得到识别阈值。
具体地,可以为每个标志位设置不同的权值,其中,可以将进程对预设存储区域中的文件进行恶意篡改对应的权值设置为最高。
在一种可选的方案中,可以计算行为位图中每个标志位对应的权值与每个标志位的取值的乘积,并将计算得到的多个乘积值进行相加,即可得到该识别阈值。
可选地,在本申请上述实施例中,处理器104还用于查杀进程,并隔离进程对应的文件。
在一种可选的方案中,在确定新建的进程为勒索软件对应的进程之后,可以在勒索软件形成破坏之前,将识别出的进程杀掉,禁止进程运行,并隔离进程对应的二进制文件,实现勒索软件的实时防御。
实施例2
根据本申请实施例,还提供了一种勒索软件的识别方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请提供的勒索软件的识别方法实施例可以应用于互联网领域的公有云(例如,百度云、腾讯云、阿里云等)、和一些比较大的网络站点(例如,商业公司、搜索引擎、或政府部门等的站点)中,以防御勒索软件。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图2是根据本申请实施例的一种用于实现勒索软件的识别方法的计算机终端的硬件结构框图。如图2所示,计算机终端20可以包括一个或多个(图中采用202a、202b,……,202n来示出)处理器202(处理器202可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输装置206。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、电源和/或相机。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端20还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
应当注意到的是上述一个或多个处理器202和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端20中的其他元件中的任意一个内。如本申请实施例中所涉及到的处理器,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器204可用于存储应用软件的软件程序以及模块,如本申请实施例中的勒索软件的识别方法对应的程序指令/数据存储装置,处理器202通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的勒索软件的识别方法。存储器204可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器204可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端20的通信供应商提供的无线网络。在一个实例中,传输装置206包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置206可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端20的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图2所示的计算机终端可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图2仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机终端中的部件的类型。
在上述运行环境下,本申请提供了如图3所示的勒索软件的识别方法。图3是根据本申请实施例的一种勒索软件的识别方法的流程图,如图3所示,该查杀勒索软件的方法包括如下步骤:
步骤S302,监控新建的进程。
步骤S304,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。
具体地,上述的识别阈值可以是通过加权计算或者根据贝叶斯公式计算概率得到的分值,分值越高表明该进程越有可能是勒索软件对应的进程;上述的预设存储区域可以是系统目录的存储区域;上述的预设存储区域内的存储内容可以是计算机终端的系统目录中的敏感文件,勒索软件常对敏感文件进行加密,敏感文件的类型可以是doc、c、cpp、java、html、ppt等,本申请对此不作限定。
需要说明的是,为了进一步防止勒索软件对用户的正常文件产生危害,可以在预设存储区域内预先存储作为诱饵的存储内容,勒索软件优先对作为诱饵的存储内容进行加密。
步骤S306,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
具体地,上述的预设阈值可以是区分勒索软件对应的进程的最小分值。
在一种可选的方案中,可以在需要进行勒索软件防护的计算机终端上安装安全防护软件,启动安全防护软件的进程,通过驱动监控计算机终端上所有的新建进程,监控每个新建的进程是否存在异常操作,即监控每个新建的进程是否执行了勒索软件对应的进程所执行的多个操作行为相匹配的一个或多个操作,如果监控到进程不存在异常操作,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程;如果监控到进程存在异常操作,即监控到进程执行了勒索软件对应的进程所执行的多个操作中的一个或多个操作,则基于异常操作的操作行为,确定识别该进程为勒索软件对应的进程的识别阈值,并将识别阈值与勒索软件对应的进程的最小分值进行比较,如果识别阈值超过勒索软件对应的进程的最小分值,则确定该进程为勒索软件对应的进程;如果识别阈值小于勒索软件对应的进程的最小分值,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程。
根据本申请上述实施例,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,从而实现识别勒索软件的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,步骤S304,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值包括:
步骤S3042,获取标志位集合,其中,标志位集合包括:多个标志位,每个标志位与预先获取的勒索软件对应的进程所执行的一个操作相对应。
具体地,上述的标志位集合可以是行为位图,勒索软件的识别依据可以有多种,为了方便确定识别阈值,可以在行为位图中为每种识别依据设置一个对应的标志位,每个标志位的取值可以为“0”或“1”,例如,每个标志位的初始值可以为0,如果满足识别依据,则将识别依据对应的标志位置位,即将识别依据对应的标志位的取值修改为“1”。
步骤S3044,设置异常操作的操作行为对应的标志位的取值,得到新的标志位集合。
步骤S3046,根据新的标志位集合,得到识别阈值。
在一种可选的方案中,在对勒索软进行识别之前,可以预先对勒索软件对应的进程所执行的操作行为进行统计,为每个操作行为设置一个对应的标志位,当确定新建的进程存在异常操作时,可以将行为位图中异常操作的操作行为对应的标志位置位,并保持其他标志位的取值不变,从而得到更新后的行为位图,根据更新后的行为位图中每个标志位的取值,可以得到该识别阈值,通过将识别阈值与勒索软件对应的进程的最小分值进行比较,即可确定该进程是否为勒索软件对应的进程。
可选地,在本申请上述实施例中,步骤S3044,设置异常操作对应的标志位的取值,得到新的标志位集合包括:
步骤S308,如果监控到进程未经授权对预设存储区域内的文件进行篡改,则设置标志位集合中第一标志位的取值。
步骤S310,如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则设置标志位集合中第二标志位的取值。
步骤S312,如果监控到进程未经授权执行注入操作或设置自启动项的操作,则设置标志位集合中第三标志位的取值。
步骤S314,如果监控到进程存在感染操作或发送勒索通知的操作,则设置标志位集合中第四标志位的取值。
在一种可选的方案中,在监控进程的过程中,可以首先监控进程是否未经授权对系统目录中的敏感文件进行篡改,如果监控到进程未经授权对系统目录中的敏感文件进行篡改,则可以将第一标志位置位,如果监控到进程未对系统目录中的敏感文件进行篡改,则可以保持第一标志位的取值不变,并进一步监控进程是否未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则可以将第二标志位置位,如果监控到进程未对预设存储区域内的文件进行删除或未向预设存储区域内拷贝文件,则可以保持第二标志位的取值不变,并进一步监控进程是否未经授权执行注入操作或设置自启动项的操作,如果监控到进程未经授权执行注入操作或设置自启动项的操作,则可以将第三标志位置位,如果监控到进程未执行注入操作或设置自启动项的操作,则可以保持第三标志位的取值不变,最后监控进程是否存在感染操作或发送勒索通知的操作,如果监控到进程存在感染操作或发送勒索通知的操作,则可以将第四标志位置位,如果监控到进程不存在感染操作或发送勒索通知的操作,则可以保持第四标志位的取值不变。
可选地,在本申请上述实施例中,步骤S308,确定进程对预设存储区域中的文件进行篡改包括:
步骤S3082,如果监控到进程对文件进行加密,且对文件进行重命名,则确定进程对预设存储区域中的文件进行恶意篡改。
具体地,勒索软件一旦运行成功即刻可以对系统目录中的敏感文件进行加密,如果受害者没有提前备份数据,则不可能恢复被加密的文件。
在一种可选的方案中,在新建进程之后,可以监控进程,当监控到进程遍历系统目录中的敏感文件时,可以监控敏感文件是否被加密修改,以及敏感文件是否以特定的格式重命名,如果监控到敏感文件被加密修改,且被以特定的格式重命名,则确定进程对预设区域中的文件进行恶意篡改,并将行为位图中的第一标识位置位。
需要说明的是,特定的格式可以是指敏感文件的整个名称,包括前缀和后缀,例如,可以将前缀和后缀的内容进行交换。也可以是敏感文件的前缀名称,例如,可以在敏感文件的原有前缀名称前增加特殊的字符,比如增加“*”。也可以是敏感文件的后缀名称,例如,将敏感文件的后缀名称修改为特定的类型。
可选地,在本申请上述实施例中,步骤S3046,根据新的标志位集合,得到识别阈值包括:
步骤S30462,获取新的标志位集合中每个标志位的取值,以及每个标志位对应的权值。
具体地,可以为每个标志位设置不同的权值,其中,可以将进程对预设存储区域中的文件进行恶意篡改对应的权值设置为最高。
步骤S30464,根据每个标志位的取值,以及每个标志位对应的权值,计算得到识别阈值。
在一种可选的方案中,可以计算行为位图中每个标志位对应的权值与每个标志位的取值的乘积,并将计算得到的多个乘积值进行相加,即可得到该识别阈值。
可选地,在本申请上述实施例中,在步骤S306,确定进程为勒索软件对应的进程之后,该方法还包括:步骤S316,查杀进程,并隔离进程对应的文件。
在一种可选的方案中,在确定新建的进程为勒索软件对应的进程之后,可以在勒索软件形成破坏之前,将识别出的进程杀掉,禁止进程运行,并隔离进程对应的二进制文件,实现勒索软件的实时防御。
图4是根据本申请实施例的一种可选的勒索软件的识别方法的流程图,下面结合图4对本申请一种优选的实施例进行详细说明,如图4所示,该方法可以包括如下步骤:
步骤S41,启动进程。
可选地,为了实现勒索软件的实时防御,可以启动驱动程序的进程,驱动程序监控所有新建进程。
步骤S42,监控进程是否遍历预设区域内的文件,且未经授权对预设区域内的文件进行加密,且未经授权以特定的格式对预设区域内的文件进行重命名。
可选地,当监控到进程遍历预设区域内的文件,判断进程是否未经授权对预设区域内的文件进行加密,且以特定的格式对预设区域内的文件进行重命名,即当监控到进程遍历用户的敏感文件时,判断进程是否对敏感文件进行加密修改,并以特定的格式重命名的行为,如果是,则进入步骤S43;如果否,则直接进入步骤S44。
步骤S43,设置行为位图对应位。
可选地,可以将行为位图中该判断依据对应的标志位进行置位,即将行为位图中该判断依据对应的标志位的取值修改为“1”,并在执行完之后进入步骤S44。
步骤S44,监控进程是否未经授权对预设区域内的文件进行删除操作或向预设存储区域内拷贝文件的操作。
可选地,监控进程是否未经授权对预设区域内的文件进行删除操作或向预设存储区域内拷贝文件的操作,即监控进程是否有自删除行为或自拷贝到系统目录行为,如果是,则进入步骤S45;如果否,则直接进入步骤S46。
步骤S45,设置行为位图对应位。
可选地,可以将行为位图中该判断依据对应的标志位进行置位,即将行为位图中该判断依据对应的标志位的取值修改为“1”,并在执行完之后进入步骤S46。
步骤S46,监控进程是否未经授权执行注入操作或设置自启动项的操作。
可选地,监控进程是否未经授权执行注入操作或设置自启动项的操作,即监控进程是否有注入行为或设置自启动项行为,如果是,则进入步骤S47;如果否,则直接进入步骤S48。
步骤S47,设置行为位图对应位。
可选地,可以将行为位图中该判断依据对应的标志位进行置位,即将行为位图中该判断依据对应的标志位的取值修改为“1”,并在执行完之后进入步骤S48。
步骤S48,监控进程是否存在感染操作或发送勒索通知的操作。
可选地,监控进程是否存在感染操作或发送勒索通知操作,如果是,则进入步骤S49;如果否,则直接进入步骤S410。
步骤S49,设置行为位图对应位。
可选地,可以将行为位图中该判断依据对应的标志位进行置位,即将行为位图中该判断依据对应的标志位的取值修改为“1”,并在执行完之后进入步骤S410。
步骤S410,计算识别阈值。
可选地,可以通过加权计算或根据贝叶斯公式计算识别阈值,即概率,其中,第一个判断依据对应的权重最高。当计算的概率达到预定分值时,确定进程为勒索软件的进程,可以把进程杀掉,并把进程对应的二进制文件进行隔离。
通过上述步骤S41至步骤S410,可以基于进程行为的分析,识别进程是否为勒索软件的进程,确保在对用户正常文件产生危害之前查杀勒索软件进程并且隔离对应的二进制文件,识别何勒索软件效率和正确率较高,并且不存在滞后问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例3
根据本申请实施例,还提供了一种用于实施上述勒索软件的识别方法的勒索软件的识别装置,如图5所示,该装置500包括:监控单元502、第一确定单元504和第二确定单元506。
其中,监控单元502用于监控新建的进程;第一确定单元504用于当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;第二确定单元506用于当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
具体地,上述的识别阈值可以是通过加权计算或者根据贝叶斯公式计算概率得到的分值,分值越高表明该进程越有可能是勒索软件对应的进程;上述的预设存储区域可以是系统目录的存储区域;上述的预设存储区域内的存储内容可以是计算机终端的系统目录中的敏感文件,勒索软件常对敏感文件进行加密,敏感文件的类型可以是doc、c、cpp、java、html、ppt等,本申请对此不作限定;上述的预设阈值可以是区分勒索软件对应的进程的最小分值。
需要说明的是,为了进一步防止勒索软件对用户的正常文件产生危害,可以在预设存储区域内预先存储作为诱饵的存储内容,勒索软件优先对作为诱饵的存储内容进行加密。
在一种可选的方案中,可以在需要进行勒索软件防护的计算机终端上安装安全防护软件,启动安全防护软件的进程,通过驱动监控计算机终端上所有的新建进程,监控每个新建的进程是否存在异常操作,即监控每个新建的进程是否执行了勒索软件对应的进程所执行的多个操作行为相匹配的一个或多个操作,如果监控到进程不存在异常操作,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程;如果监控到进程存在异常操作,即监控到进程执行了勒索软件对应的进程所执行的多个操作中的一个或多个操作,则基于异常操作的操作行为,确定识别该进程为勒索软件对应的进程的识别阈值,并将识别阈值与勒索软件对应的进程的最小分值进行比较,如果识别阈值超过勒索软件对应的进程的最小分值,则确定该进程为勒索软件对应的进程;如果识别阈值小于勒索软件对应的进程的最小分值,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程。
根据本申请上述实施例,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,从而实现识别勒索软件的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
可选地,在本申请上述实施例中,如图5所示,第一确定单元504包括:获取模块508,设置模块510和处理模块512。
其中,获取模块508用于获取标志位集合,其中,标志位集合包括:多个标志位,每个标志位与预先获取的勒索软件对应的进程所执行的一个操作相对应;设置模块510用于设置异常操作的操作行为对应的标志位的取值,得到新的标志位集合;处理模块512用于根据新的标志位集合,得到识别阈值。
具体地,上述的标志位集合可以是行为位图,勒索软件的识别依据可以有多种,为了方便确定识别阈值,可以在行为位图中为每种识别依据设置一个对应的标志位,每个标志位的取值可以为“0”或“1”,例如,每个标志位的初始值可以为0,如果满足识别依据,则将识别依据对应的标志位置位,即将识别依据对应的标志位的取值修改为“1”。
在一种可选的方案中,在对勒索软进行识别之前,可以预先对勒索软件对应的进程所执行的操作行为进行统计,为每个操作行为设置一个对应的标志位,当确定新建的进程存在异常操作时,可以将行为位图中异常操作的操作行为对应的标志位置位,并保持其他标志位的取值不变,从而得到更新后的行为位图,根据更新后的行为位图中每个标志位的取值,可以得到该识别阈值,通过将识别阈值与勒索软件对应的进程的最小分值进行比较,即可确定该进程是否为勒索软件对应的进程。
可选地,在本申请上述实施例中,如图5所示,设置模块510包括:第一设置子模块514、第二设置子模块516、第三设置子模块518和第四设置子模块520。
其中,第一设置子模块514用于如果监控到进程未经授权对预设存储区域内的文件进行篡改,则设置标志位集合中第一标志位的取值;第二设置子模块516用于如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则设置标志位集合中第二标志位的取值;第三设置子模块518用于如果监控到进程未经授权执行注入操作或设置自启动项的操作,则设置标志位集合中第三标志位的取值;第四设置子模块520用于如果监控到进程存在感染操作或发送勒索通知的操作,则设置标志位集合中第四标志位的取值。
在一种可选的方案中,在监控进程的过程中,可以首先监控进程是否未经授权对系统目录中的敏感文件进行篡改,如果监控到进程未经授权对系统目录中的敏感文件进行篡改,则可以将第一标志位置位,如果监控到进程未对系统目录中的敏感文件进行篡改,则可以保持第一标志位的取值不变,并进一步监控进程是否未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则可以将第二标志位置位,如果监控到进程未对预设存储区域内的文件进行删除或未向预设存储区域内拷贝文件,则可以保持第二标志位的取值不变,并进一步监控进程是否未经授权执行注入操作或设置自启动项的操作,如果监控到进程未经授权执行注入操作或设置自启动项的操作,则可以将第三标志位置位,如果监控到进程未执行注入操作或设置自启动项的操作,则可以保持第三标志位的取值不变,最后监控进程是否存在感染操作或发送勒索通知的操作,如果监控到进程存在感染操作或发送勒索通知的操作,则可以将第四标志位置位,如果监控到进程不存在感染操作或发送勒索通知的操作,则可以保持第四标志位的取值不变。
可选地,在本申请上述实施例中,如图5所示,第一设置子模块514还用于如果监控到进程对文件进行加密,且对文件进行重命名,则确定进程对预设存储区域中的文件进行恶意篡改。
具体地,勒索软件一旦运行成功即刻可以对系统目录中的敏感文件进行加密,如果受害者没有提前备份数据,则不可能恢复被加密的文件。
在一种可选的方案中,在新建进程之后,可以监控进程,当监控到进程遍历系统目录中的敏感文件时,可以监控敏感文件是否被加密修改,以及敏感文件是否以特定的格式重命名,如果监控到敏感文件被加密修改,且被以特定的格式重命名,则确定进程对预设区域中的文件进行恶意篡改,并将行为位图中的第一标识位置位。
需要说明的是,特定的格式可以是指敏感文件的整个名称,包括前缀和后缀,例如,可以将前缀和后缀的内容进行交换。也可以是敏感文件的前缀名称,例如,可以在敏感文件的原有前缀名称前增加特殊的字符,比如增加“*”。也可以是敏感文件的后缀名称,例如,将敏感文件的后缀名称修改为特定的类型。
可选地,在本申请上述实施例中,如图5所示,处理模块512包括:获取子模块522和计算子模块524。
其中,获取子模块522用于获取新的标志位集合中每个标志位的取值,以及每个标志位对应的权值;计算子模块524用于根据每个标志位的取值,以及每个标志位对应的权值,计算得到识别阈值。
具体地,可以为每个标志位设置不同的权值,其中,可以将进程对预设存储区域中的文件进行恶意篡改对应的权值设置为最高。
在一种可选的方案中,可以计算行为位图中每个标志位对应的权值与每个标志位的取值的乘积,并将计算得到的多个乘积值进行相加,即可得到该识别阈值。
可选地,在本申请上述实施例中,如图5所示,该装置500还包括:处理单元526。
其中,处理单元526用于查杀进程,并隔离进程对应的文件。
在一种可选的方案中,在确定新建的进程为勒索软件对应的进程之后,可以在勒索软件形成破坏之前,将识别出的进程杀掉,禁止进程运行,并隔离进程对应的二进制文件,实现勒索软件的实时防御。
实施例4
根据本申请实施例,还提供了一种安全处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图6是根据本申请实施例的一种安全处理方法的流程图,如图6所示,该安全处理方法包括如下步骤:
步骤S602,监控新建的进程。
步骤S604,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。
具体地,上述的识别阈值可以是通过加权计算或者根据贝叶斯公式计算概率得到的分值,分值越高表明该进程越有可能是勒索软件对应的进程;上述的预设存储区域可以是系统目录的存储区域;上述的预设存储区域内的存储内容可以是计算机终端的系统目录中的敏感文件,勒索软件常对敏感文件进行加密,敏感文件的类型可以是doc、c、cpp、java、html、ppt等,本申请对此不作限定。
需要说明的是,为了进一步防止勒索软件对用户的正常文件产生危害,可以在预设存储区域内预先存储作为诱饵的存储内容,勒索软件优先对作为诱饵的存储内容进行加密。
步骤S606,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
具体地,上述的预设阈值可以是区分勒索软件对应的进程的最小分值。
步骤S608,查杀勒索软件对应的进程。
在一种可选的方案中,可以在需要进行勒索软件防护的计算机终端上安装安全防护软件,启动安全防护软件的进程,通过驱动监控计算机终端上所有的新建进程,监控每个新建的进程是否存在异常操作,即监控每个新建的进程是否执行了勒索软件对应的进程所执行的多个操作行为相匹配的一个或多个操作,如果监控到进程不存在异常操作,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程;如果监控到进程存在异常操作,即监控到进程执行了勒索软件对应的进程所执行的多个操作中的一个或多个操作,则基于异常操作的操作行为,确定识别该进程为勒索软件对应的进程的识别阈值,并将识别阈值与勒索软件对应的进程的最小分值进行比较,如果识别阈值超过勒索软件对应的进程的最小分值,则确定该进程为勒索软件对应的进程;如果识别阈值小于勒索软件对应的进程的最小分值,则确定该进程不是勒索软件对应的进程,即该进程是正常软件对应的进程,进一步可以在勒索软件形成破坏之前,将识别出的进程杀掉,禁止进程运行,并隔离进程对应的二进制文件,实现勒索软件的实时防御。
根据本申请上述实施例,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,并查杀进程,从而实现识别勒索软件并进行处理的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
实施例5
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行勒索软件的识别方法中以下步骤的程序代码:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
可选地,图7是根据本申请实施例的一种计算机终端的结构框图。如图7所示,该计算机终端700可以包括:一个或多个(图中仅示出一个)处理器702、存储器704。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的勒索软件的识别方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的勒索软件的识别方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端700。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
可选的,上述处理器还可以执行如下步骤的程序代码:获取标志位集合,其中,标志位集合包括:多个标志位,每个标志位与预先获取的勒索软件对应的进程所执行的一个操作相对应;设置异常操作的操作行为对应的标志位的取值,得到新的标志位集合;根据新的标志位集合,得到识别阈值。
可选的,上述处理器还可以执行如下步骤的程序代码:在基于异常操作确定识别阈值之前,如果监控到进程未经授权对预设存储区域内的文件进行篡改,则设置标志位集合中第一标志位的取值;如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则设置标志位集合中第二标志位的取值;如果监控到进程未经授权执行注入操作或设置自启动项的操作,则设置标志位集合中第三标志位的取值;如果监控到进程存在感染操作或发送勒索通知的操作,则设置标志位集合中第四标志位的取值。
可选的,上述处理器还可以执行如下步骤的程序代码:如果监控到进程对文件进行加密,且对文件进行重命名,则确定进程对预设存储区域中的文件进行恶意篡改。
可选的,上述处理器还可以执行如下步骤的程序代码:获取新的标志位集合中每个标志位的取值,以及每个标志位对应的权值;根据每个标志位的取值,以及每个标志位对应的权值,计算得到识别阈值。
可选的,上述处理器还可以执行如下步骤的程序代码:在确定进程为勒索软件对应的进程之后,查杀进程,并隔离进程对应的文件。
采用本申请实施例,监控新建的进程,当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程,从而实现识别勒索软件的目的。容易注意到的是,由于通过监控进程是否存在异常操作,以及通过识别阈值识别进程是否为勒索软件对应的进程,确保勒索软件在对用户正常文件产生危害之前识别出勒索软件,并进一步对识别出的勒索软件进行处理,从而达到提高识别效率和识别正确率的技术效果。因此,本申请上述实施了提供的方案解决了现有的勒索软件的识别方法通过黑名单方式进行识别存在滞后,导致处理效率低的技术问题。
本领域普通技术人员可以理解,图7所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图7其并不对上述电子装置的结构造成限定。例如,计算机终端700还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图7所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的勒索软件的识别方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:监控新建的进程;当监控到进程存在异常操作时,基于异常操作的操作行为,确定识别进程为勒索软件对应的进程的识别阈值,其中,异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当识别阈值满足预设阈值时,将进程确定为勒索软件对应的进程。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:获取标志位集合,其中,标志位集合包括:多个标志位,每个标志位与预先获取的勒索软件对应的进程所执行的一个操作相对应;设置异常操作的操作行为对应的标志位的取值,得到新的标志位集合;根据新的标志位集合,得到识别阈值。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在基于异常操作确定识别阈值之前,如果监控到进程未经授权对预设存储区域内的文件进行篡改,则设置标志位集合中第一标志位的取值;如果监控到进程未经授权对预设存储区域内的文件进行删除或进程未经授权向预设存储区域内拷贝文件,则设置标志位集合中第二标志位的取值;如果监控到进程未经授权执行注入操作或设置自启动项的操作,则设置标志位集合中第三标志位的取值;如果监控到进程存在感染操作或发送勒索通知的操作,则设置标志位集合中第四标志位的取值。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:如果监控到进程对文件进行加密,且对文件进行重命名,则确定进程对预设存储区域中的文件进行恶意篡改。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:获取新的标志位集合中每个标志位的取值,以及每个标志位对应的权值;根据每个标志位的取值,以及每个标志位对应的权值,计算得到识别阈值。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在确定进程为勒索软件对应的进程之后,查杀进程,并隔离进程对应的文件。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (16)

1.一种勒索软件的识别设备,其特征在于,包括:
监控装置,用于监控新建的进程;
处理器,用于当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,以当所述识别阈值满足预设阈值时,将所述进程确定为勒索软件对应的进程;
其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作。
2.一种勒索软件的识别方法,其特征在于,包括:
监控新建的进程;
当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;
当所述识别阈值满足预设阈值时,将所述进程确定为所述勒索软件对应的进程。
3.根据权利要求2所述的方法,其特征在于,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值包括:
获取标志位集合,其中,所述标志位集合包括:多个标志位,每个标志位与所述预先获取的勒索软件对应的进程所执行的一个操作行为相对应;
设置所述异常操作的操作行为对应的标志位的取值,得到新的标志位集合;
根据所述新的标志位集合,得到所述识别阈值。
4.根据权利要求3所述的方法,其特征在于,设置所述异常操作的操作行为对应的标志位的取值包括:
如果监控到所述进程未经授权对预设存储区域内的文件进行篡改,则设置所述标志位集合中第一标志位的取值;
如果监控到所述进程未经授权对所述预设存储区域内的文件进行删除或所述进程未经授权向所述预设存储区域内拷贝文件,则设置所述标志位集合中第二标志位的取值;
如果监控到所述进程未经授权执行注入操作或设置自启动项的操作,则设置所述标志位集合中第三标志位的取值;
如果监控到所述进程存在感染操作或发送勒索通知的操作,则设置所述标志位集合中第四标志位的取值。
5.根据权利要求4所述的方法,其特征在于,确定所述进程未经授权对预设存储区域中的文件进行篡改包括:
如果监控到所述进程对所述文件进行加密,且对所述文件进行重命名,则确定所述进程未经授权对所述预设存储区域中的文件进行恶意篡改。
6.根据权利要求3所述的方法,其特征在于,根据所述新的标志位集合,得到所述识别阈值包括:
获取所述新的标志位集合中每个标志位的取值,以及每个标志位对应的权值;
根据所述每个标志位的取值,以及所述每个标志位对应的权值,计算得到所述识别阈值。
7.根据权利要求2至6中任意一项所述的方法,其特征在于,在将所述进程确定为勒索软件对应的进程之后,查杀所述进程,并隔离所述进程对应的文件。
8.一种勒索软件的识别装置,其特征在于,包括:
监控单元,用于监控新建的进程;
第一确定单元,用于当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;
第二确定单元,用于当所述识别阈值满足预设阈值时,将所述进程确定为所述勒索软件对应的进程。
9.根据权利要求8所述的装置,其特征在于,所述第一确定单元还包括:
获取模块,用于获取标志位集合,其中,所述标志位集合包括:多个标志位,每个标志位与所述预先获取的勒索软件对应的进程所执行的一个操作行为相对应;
设置模块,用于设置所述异常操作的操作行为对应的标志位的取值,得到新的标志位集合;
处理模块,用于根据所述新的标志位集合,得到所述识别阈值。
10.根据权利要求9所述的装置,其特征在于,所述设置模块包括:
第一设置子模块,用于如果监控到所述进程未经授权对预设存储区域内的文件进行篡改,则设置所述标志位集合中第一标志位的取值;
第二设置子模块,用于如果监控到所述进程未经授权对所述预设存储区域内的文件进行删除或所述进程未经授权向所述预设存储区域内拷贝文件,则设置所述标志位集合中第二标志位的取值;
第三设置子模块,用于如果监控到所述进程未经授权执行注入操作或设置自启动项的操作,则设置所述标志位集合中第三标志位的取值;
第四设置子模块,用于如果监控到所述进程存在感染操作或发送勒索通知的操作,则设置所述标志位集合中第四标志位的取值。
11.根据权利要求10所述的装置,其特征在于,所述第一设置子模块还用于如果监控到所述进程对所述文件进行加密,且对所述文件进行重命名,则确定所述进程对所述预设存储区域中的文件进行恶意篡改。
12.根据权利要求9所述的装置,其特征在于,所述处理模块包括:
获取子模块,用于获取所述新的标志位集合中每个标志位的取值,以及每个标志位对应的权值;
计算子模块,用于根据所述每个标志位的取值,以及所述每个标志位对应的权值,计算得到所述识别阈值。
13.根据权利要求8至12中任意一项所述的装置,其特征在于,所述装置还包括:处理单元,用于查杀所述进程,并隔离所述进程对应的文件。
14.一种安全处理方法,其特征在于,包括:
监控新建的进程;
当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;
当所述识别阈值满足预设阈值时,将所述进程确定为所述勒索软件对应的进程;
查杀所述勒索软件对应的进程。
15.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行如下处理步骤:监控新建的进程;当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当所述识别阈值满足预设阈值时,将所述进程确定为所述勒索软件对应的进程。
16.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行如下处理步骤:监控新建的进程;当监控到所述进程存在异常操作时,基于所述异常操作的操作行为,确定识别所述进程为勒索软件对应的进程的识别阈值,其中,所述异常操作是指与预先获取的勒索软件对应的进程所执行的多个操作行为相匹配的操作;当所述识别阈值满足预设阈值时,将所述进程确定为所述勒索软件对应的进程。
CN201710591377.2A 2017-07-19 2017-07-19 勒索软件的识别方法、装置和设备、安全处理方法 Active CN109284608B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710591377.2A CN109284608B (zh) 2017-07-19 2017-07-19 勒索软件的识别方法、装置和设备、安全处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710591377.2A CN109284608B (zh) 2017-07-19 2017-07-19 勒索软件的识别方法、装置和设备、安全处理方法

Publications (2)

Publication Number Publication Date
CN109284608A true CN109284608A (zh) 2019-01-29
CN109284608B CN109284608B (zh) 2022-10-18

Family

ID=65184546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710591377.2A Active CN109284608B (zh) 2017-07-19 2017-07-19 勒索软件的识别方法、装置和设备、安全处理方法

Country Status (1)

Country Link
CN (1) CN109284608B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112162913A (zh) * 2020-10-30 2021-01-01 珠海格力电器股份有限公司 操作的执行方法和装置、存储介质、电子装置
CN114117436A (zh) * 2022-01-27 2022-03-01 奇安信科技集团股份有限公司 勒索程序识别方法、装置、电子设备、存储介质及产品
CN115329332A (zh) * 2022-08-18 2022-11-11 广西飞创信息科技有限公司 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1945590A (zh) * 2006-10-30 2007-04-11 毛德操 通过进程行为的配伍禁忌提高操作系统安全性的方法
US20100269175A1 (en) * 2008-12-02 2010-10-21 Stolfo Salvatore J Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
CN101901321A (zh) * 2010-06-04 2010-12-01 华为终端有限公司 终端防御恶意程序的方法、装置及系统
CN103856368A (zh) * 2011-06-27 2014-06-11 北京奇虎科技有限公司 一种监控程序的方法及系统
US20160378988A1 (en) * 2015-06-26 2016-12-29 Quick Heal Technologies Private Limited Anti-ransomware
CN106503551A (zh) * 2016-10-28 2017-03-15 福建平实科技有限公司 一种针对勒索软件的处理方法和系统
CN106611123A (zh) * 2016-12-02 2017-05-03 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106650438A (zh) * 2015-11-04 2017-05-10 阿里巴巴集团控股有限公司 一种恶意程序检测的方法及装置
CN106844097A (zh) * 2016-12-29 2017-06-13 北京奇虎科技有限公司 一种针对恶意加密软件的防护方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1945590A (zh) * 2006-10-30 2007-04-11 毛德操 通过进程行为的配伍禁忌提高操作系统安全性的方法
US20100269175A1 (en) * 2008-12-02 2010-10-21 Stolfo Salvatore J Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
CN101901321A (zh) * 2010-06-04 2010-12-01 华为终端有限公司 终端防御恶意程序的方法、装置及系统
CN103856368A (zh) * 2011-06-27 2014-06-11 北京奇虎科技有限公司 一种监控程序的方法及系统
US20160378988A1 (en) * 2015-06-26 2016-12-29 Quick Heal Technologies Private Limited Anti-ransomware
CN106650438A (zh) * 2015-11-04 2017-05-10 阿里巴巴集团控股有限公司 一种恶意程序检测的方法及装置
CN106503551A (zh) * 2016-10-28 2017-03-15 福建平实科技有限公司 一种针对勒索软件的处理方法和系统
CN106611123A (zh) * 2016-12-02 2017-05-03 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN106844097A (zh) * 2016-12-29 2017-06-13 北京奇虎科技有限公司 一种针对恶意加密软件的防护方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
VINAYAKA JYOTHI等: "BRAIN: BehavioR Based Adaptive Intrusion Detection in Networks: Using Hardware Performance Counters to Detect DDoS Attacks", 《2016 29TH INTERNATIONAL CONFERENCE ON VLSI DESIGN AND 2016 15TH INTERNATIONAL CONFERENCE ON EMBEDDED SYSTEMS (VLSID)》 *
石磊等: "勒索软件研究", 《无线互联科技》 *
谭昕等: "基于机器学习的Mac OS平台加密勒索软件主动防御方案", 《现代计算机(专业版)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112162913A (zh) * 2020-10-30 2021-01-01 珠海格力电器股份有限公司 操作的执行方法和装置、存储介质、电子装置
CN114117436A (zh) * 2022-01-27 2022-03-01 奇安信科技集团股份有限公司 勒索程序识别方法、装置、电子设备、存储介质及产品
CN115329332A (zh) * 2022-08-18 2022-11-11 广西飞创信息科技有限公司 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统
CN115329332B (zh) * 2022-08-18 2023-03-10 广西飞创信息科技有限公司 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统

Also Published As

Publication number Publication date
CN109284608B (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
US10924502B2 (en) Network security using inflated files for anomaly detection
US9258321B2 (en) Automated internet threat detection and mitigation system and associated methods
US10630726B1 (en) Cybersecurity threat detection and mitigation system
Kumar et al. Machine learning classification model for network based intrusion detection system
CN110414258A (zh) 文件处理方法和系统、数据处理方法
CN109766696A (zh) 软件权限的设置方法及装置、存储介质、电子装置
EP3786823A1 (en) An endpoint agent extension of a machine learning cyber defense system for email
US10970188B1 (en) System for improving cybersecurity and a method therefor
Saxena et al. General study of intrusion detection system and survey of agent based intrusion detection system
CN108496328A (zh) 恶意bgp劫持的精确实时识别
US20120143650A1 (en) Method and system of assessing and managing risk associated with compromised network assets
US11765192B2 (en) System and method for providing cyber security
US20220239630A1 (en) Graphical representation of security threats in a network
WO2019004928A1 (en) AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS
WO2015047802A2 (en) Advanced persistent threat (apt) detection center
CN109272381A (zh) 业务推荐方法、装置、电子设备及可读存储介质
CN114761953A (zh) 用于对抗网络攻击的攻击活动智能和可视化
US20230208869A1 (en) Generative artificial intelligence method and system configured to provide outputs for company compliance
CN109284608A (zh) 勒索软件的识别方法、装置和设备、安全处理方法
CN107563192A (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
WO2023283357A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
US20170235960A1 (en) Intelligent system for forecasting threats in a virtual attack domain
US20230239318A1 (en) Cyber security restoration engine
CN114598671A (zh) 会话消息处理方法、装置、存储介质以及电子设备
CN108595957A (zh) 浏览器主页篡改检测方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant