CN109413048B - 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 - Google Patents

基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 Download PDF

Info

Publication number
CN109413048B
CN109413048B CN201811158439.1A CN201811158439A CN109413048B CN 109413048 B CN109413048 B CN 109413048B CN 201811158439 A CN201811158439 A CN 201811158439A CN 109413048 B CN109413048 B CN 109413048B
Authority
CN
China
Prior art keywords
file
folder
determining
mapping
use environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811158439.1A
Other languages
English (en)
Other versions
CN109413048A (zh
Inventor
王文君
宋秋霞
周恒�
李明蕊
许超凡
郑力达
陈曦
辜乘风
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN201811158439.1A priority Critical patent/CN109413048B/zh
Publication of CN109413048A publication Critical patent/CN109413048A/zh
Application granted granted Critical
Publication of CN109413048B publication Critical patent/CN109413048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品,能够在一定程度上保护了终端或者网络中真实的文件,提高了终端或者网络的安全性。本发明实施例提供的基于文件型蜜罐检测勒索软件方法,包括:监测映射文件夹对应的日志文件;所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为。

Description

基于文件型蜜罐检测勒索软件方法、电子设备及程序产品
技术领域
本申请涉及数据处理领域,尤其涉及一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品。
背景技术
随着计算机网络增长以及被存储在由那些网络互连的计算机和数据库上的数据的增加,获取对这些计算机和数据库的未经授权的访问的尝试也在逐渐增长。
其中不乏很多恶意应用程序,这些恶意应用可实施若干具体动作,诸如:盗窃密码和其他机密用户数据、连接计算机到机器人网络(bot network)以实行拒绝服务(DoS)攻击或发送垃圾邮件、干扰系统的正常运行以通过许诺恢复可操作性来从用户敲诈钱财(例如勒索软件)等。
这些恶意应用程序带来的直接后果就是计算机或者网络上的数据的丢失、受感染的计算机或者网络遭受停机或者被破坏而无法工作,造成严重的安全问题。
发明内容
本申请实施例中提供了一种基于文件型蜜罐检测勒索软件方法、电子设备及程序产品,能够在一定程度上保护了终端或者网络中真实的文件,提高了终端或者网络的安全性。
第一方面,本发明实施例提供了一种基于文件型蜜罐检测勒索软件方法,包括:
监测映射文件夹对应的日志文件;所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;
当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,在监控映射文件夹对应的日志文件之前,所述方法还包括:
获取当前使用环境信息,根据所述当前使用环境信息确定映射文件夹信息;
根据所述映射文件夹信息以及当前使用环境中的原始文件信息,生成具有语义的目标文件,存储在所述映射文件夹中。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获取当前使用环境信息,根据所述当前使用环境信息确定映射文件夹信息,包括:
获取磁盘的剩余总容量以及磁盘名称;
根据所述磁盘的剩余总容量以及磁盘名称,确定映射文件夹容量及映射文件夹名称;
具体采用如下公式:
Figure BDA0001819462500000021
其中,x1表示所述磁盘的剩余总容量,y1表示所述映射文件夹容量。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标文件,包括第一规格文件以及第二规格文件;
所述第一规格文件占比采用如下公式进行计算:
Figure BDA0001819462500000022
其中,x2表示系统运行内存,并且,系统运行内存小于8G则取值1、8G-64G之间则取值2、64G以上取值3;
x3表示系统稳定性,并且,正式版本取值为1、非正式版本取值为0;
x4表示系统是否安装有GPU,并且,有取值1、没有取值0;
y2表示所述第一规格文件占比;
所述第二规格文件占比采用如下公式进行计算:
Figure BDA0001819462500000031
其中,y3表示所述第二规格文件占比。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述第二规格文件包括第二规格文件甲、第二规格文件乙;所述第二规格文件甲的数量与所述第二规格文件乙的数量相等;所述方法还包括:
按照时间先后顺序,将所述映射文件夹内的所有文件按照第二规格文件甲、第一规格文件、第二规格文件乙的顺序进行排序。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据当前使用环境中的原始文件信息,生成具有语义的目标文件,包括:
采集当前使用环境中的原始文件,作为初始数据;
对所述初始数据中的文件名进行短语分词;
在短语分词得到的至少一个候选词中选择目标用词,将所述目标用词作为文件名,将所述初始数据的后缀作为目标文件后缀,形成目标文件名;
生成具有语义的文件内容,所述文件内容与所述目标文件名共同形成所述目标文件。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
复制所述映射文件夹内的目标文件;
切断当前使用环境中终端使用的网卡;
将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中,包括:
确定按照指定规则分类的数据集;
计算样本与数据集中所有数据的距离数值;
将所有距离数值进行递增排序,计算平均值;根据所有距离数值中小于平均值的数量确定第一系数,以及根据所有距离数值中大于或者等于平均值的数量确定第二系数;根据第一系数和第二系数对所有距离数值进行增益或者惩罚修正;
根据增益或者惩罚修正后的结果,确定第三系数;
根据第三系数确定目标样本;
确定目标样本所在类别出现的频率,输出频率最高的类别。
第二方面,本发明实施例还提供一种电子设备,所述电子设备包括处理器以及存储器;所述存储器用于存储指令,所述指令被所述处理器执行时,使得所述设备执行如第一方面中任一种所述的方法。
第三方面,本发明实施例还提供一种程序产品,可直接加载到电子设备的内部存储器中,并含有软件代码,所述程序产品经由电子设备载入并执行后能够实现如第一方面中任一种所述的方法。
本发明实施例提供的基于文件型蜜罐检测勒索软件方法、电子设备及程序产品,首先监测映射文件夹对应的日志文件,当日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为,由于在本发明实施例中,映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹,当遭受恶意应用程序的扫描加密等操作时,能够诱导恶意应用程序扫描映射文件夹内的文件,从而保护了终端或者网络中真实的文件,提高了终端或者网络的安全性,避免了现有技术中,恶意应用程序会使得计算机或者网络上的数据的丢失、受感染的计算机或者网络遭受停机或者被破坏而无法工作,造成严重的安全问题的情况发生。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的流程图;
图2为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的另一流程图;
图3为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的场景示意图;
图4为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的另一流程图;
图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
随着计算机网络增长,很多恶意应用程序对于计算机或者网络的破坏日益严重,例如,某勒索软件,在动态检测引擎中,当前检测勒索软件常用的方法主要为设置陷阱文件并检测其指纹变化或监控系统API(Application Programming Interface,应用程序接口)操作,而这些方法都不能准确地区勒索软件和其他类型的恶意代码。并且,检测机制并非实时进行,通过事后采集用户环境中勒索软件的特征值,需要花费比较多的时间精力,只做到了勒索软件的检测分类,并未阻止勒索软件的破坏。造成严重的安全问题。因此,为了能够对这种情况进行处理,本发明实施例中提供一种数据处理方法及系统,用于降低恶意应用程序对计算机或者网络的破坏,提高网络安全性。
具体地,图1为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的流程图,如图1所示,本实施例的基于文件型蜜罐检测勒索软件方法,具体可以包括如下步骤:
101、监测映射文件夹对应的日志文件。
在本发明实施例中,为了能够“掩盖”终端或者网络中的真实文件信息,采用设计一个映射文件夹的方式,映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;通过监测映射文件夹对应的日志文件来确定是否具有攻击源进行攻击。可以理解的是,在本发明实施例中,映射文件夹为文件型蜜罐,目的在于诱导勒索软件优先扫描映射文件夹。
102、当日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为。
在本发明实施例中,通过实时监测日志文件中指定指令发生的顺序,指令执行时间、后缀数量等来确定是否具有机器行为,例如,以指令为例,用户搜索的指令主要是open、close两种,勒索软件扫描加密的指令比用户搜索的指令多,主要有open、close、opendir、rename四种,有opendir、rename指令则是机器行为。又例如,以停留时间为例,对文件进行open操作,结合日志中的停留时间,如果open文件和close文件的指令停留时间在秒级单位,一般认为是机器行为。又例如,以后缀数量为例,如果对文件进行rename操作后,新文件的文件名后缀有两层(例如.pdf..xls等),则是机器行为。针对大文件的open、close和rename操作可能指令停留时间会在秒级单位(例如close大文件CentOS 64-2-s004.vmdk时,日志中记录到时间为1秒)。
进一步地,由于勒索软件等恶意应用程序有限优先进行扫描或者读取数据等操作。具体地,由于每一台终端或者网络的配置不同,存储的文件大小也会不同。因此,本发明实施例中还介绍如何生成映射文件夹。具体地,图2为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的另一流程图,如图2所示,本实施例的基于文件型蜜罐检测勒索软件方法,在步骤101之前,还可以包括如下步骤:
103、获取当前使用环境信息,根据当前使用环境信息确定映射文件夹信息。
为了能够达到更好的防范效果,可以预先获取在当前使用环境中的当前使用环境信息。例如,在一个具体的实施过程中,可以获取磁盘总空间信息、系统运行内存信息、系统版本信息、其他硬件信息;其中,磁盘总空间信息可以是20G、50G、500G等,系统运行内存信息可以是4G、8G等,系统版本信息可以是破解版、绿色版、未激活版、非正式版、企业版、专业版、发行版、标准版、稳定版、旗舰版、升级版等,其他硬件信息可以是是否安装有GPU(Graphics Processing Unit,图形处理器)。
根据磁盘总空间信息,包括但不限于磁盘的剩余总容量以及磁盘名称、系统运行内存信息、系统版本信息、其他硬件信息,确定映射文件夹容量信息。映射文件夹容量信息可以包括映射文件夹容量、映射文件夹名称等信息。
具体地,在本发明实施例中,确定映射文件夹容量信息可以使用下述公式来完成:
Figure BDA0001819462500000081
其中,x1表示磁盘的剩余总容量、y1表示映射文件夹容量。
x1取值参考为,20表示20G,50表示50G,500表示500G,以此类推。
由于现有技术中的计算机等终端,普遍是以C盘为开头进行命名的,而勒索软件在对用户计算机环境进行扫描侵入后,可能并非是以C为开头进行扫描,因此,在本发明实施例中,映射文件夹名称可以是从A~Z中任意一个字母为名称,例如,A盘、Z盘、M盘、T盘等。
并且,在本发明实施例中,y1只与x1磁盘空间有关,在磁盘空间大小不同划分的情况下,y1的划分占比也有所不同,随着磁盘空间越来越大,y1的占比会降低。
104、根据映射文件夹信息以及当前使用环境中的原始文件信息,生成具有语义的目标文件,存储在映射文件夹中。
在本发明实施例中,考虑到勒索软件在对用户计算机环境进行扫描侵入后,会对用户文件进行加密操作以达到“勒索目的”。勒索软件对某些文件类型具有偏向性,例如,用户文档、密钥证书文件、压缩文件以及多媒体文件等。其中,用户文档的后缀可以是txt,doc(x),ppt(x),xls(x),pdf,sql,conf,java,c,py等;密钥证书文件的后缀可以是key,pem,crt,cer等;压缩文件的后缀可以是zip,rar,7z等;多媒体文件的后缀可以是jp(e)g,mp3,mp4,avi,mkv,rmvb等。并且,勒索软件对文件进行扫描和加密时,会通过计算文件名和文件内容的熵来判断该文件是否为自动生成文件。
因此,综合考虑到勒索软件的设计原理,在本发明实施例中,映射文件夹中的文件不能直接使用脚本来生成随机性很强的内容(例如dt35jxsi48l0.docx等文件),为了达到真实性以及提高安全性的目的,具体可以采用如下步骤来生成目标文件:
采集当前使用环境中的原始文件,作为初始数据。具体地,可以通过读取存储数据信息来进行确定。例如,“computer.png”,“user guide.pdf”,“briefintroduction.docx”,“value.xlsx”等。
对初始数据中的文件名进行短语分词。具体地,可以使用分词软件进行短语分词,再对每个分词后的词语进行同义词/共现词查询,得到语义相似的几个候选词。
在短语分词得到的至少一个候选词中选择目标用词,首先将目标用词作为文件名,将初始数据的后缀作为目标文件后缀,形成目标文件名。具体地,由于候选词有多个的情况,就需要从多个候选词中选择目标用词,在该过程中,可以通过相似性公式得出两个单词语义接近程度,表示为w1->[w2,Similarity(w1,w2)]。例如,computer->[CPU,0.95]->[PC,0.9]->[calculator,0.88]->[mac,0.73];user->[buyer,0.88]->[customer,0.83]->[purchaser,0.79]->[shopper,0.6];guide->[lead,0.9]->[mentor,0.81]->[model,0.63]->[teacher,0.51];brief->[short,0.99]->[compressed,0.94]->[abrupt,0.77]->[little,0.5];introduction->[initiation,0.87]->[addition,0.73]->[presentation,0.55];value->[cost,0.84]->[price,0.73]->[expense,0.7]->[charge,0.68]。
然后,可以从候选词中选择语义最接近的单词,也就是得分最高的单词,该目标用词作为新的文件名,后缀采取和原始文件一致,形成目标文件名。例如,“CPU.png”,“buyerlead.pdf”,“short initiation.docx”,“cost.xlsx”。
接着,为了进一步的达到模拟当前使用环境中的真实文件的目的,还需要在目标文件名对应的文件中生成具有语义的文件内容。使得,文件内容与目标文件名共同形成目标文件。具体地,可以使用搜索引擎搜索一些英文小说,从中选取一些句子、篇章或者片段来生成文件内容,使得目标文件更加具有语义和可读性。
最后,存储目标文件至映射文件夹中。
由于真实的当前使用环境中,用户存储的文件大小会不同,数量也会不同,因此,为了进一步的达到仿真的目的,使得映射文件夹中的文件与当前使用环境中的文件分布、文件大小更相似,在本发明实施例中,还对映射文件夹中的目标文件进行了考虑,具体地,可以根据映射文件夹容量信息确定第一规格文件以及第二规格文件各自的占比;第一规格文件占比为第一规格文件总容量占映射文件夹容量的比值;第二规格文件占比为第二规格文件总容量占映射文件夹容量的比值。其中,第一规格文件占比可以通过如下公式来进行计算:
Figure BDA0001819462500000101
Figure BDA0001819462500000102
其中,x2表示系统运行内存、x3表示系统稳定性、x4表示系统是否安装有GPU,y2表示第一规格文件占比,y3表示第二规格文件占比。
在一个具体的实现过程中,x2的取值参考为,内存小于8G则取值1,8G-64G之间则取值2,64G以上取值3;x3的取值参考为,破解版、绿色版、未激活版等非正式版本则取值为0,其他版本如企业版、专业版、发行版、标准版、稳定版、旗舰版、升级版等正式版本取值为1;x4的取值参考为取值0表示没有,取值1表示有。
并且,在本发明实施例中,y2与x2、x3和x4均有关系,是因为大文件的大小比重直接受到加密速度有关,而x2、x3和x4均与加密速度有直接影响,y2的最大值为9/100*(8+1+1)=90%,最小值为9/100*(2+0+0)=18%。
可以理解的是,在本发明实施例中,第一规格文件可以是文件较大的文件,第二规格文件可以是文件较小的文件。在一个具体的实现过程中,第二规格文件的大小可以为10kb。
由于用户在使用终端时,也会进行检索、重命名等操作,为了能够将用户行为与勒索软件的扫描行为区分,在本发明实施例中,还可以对映射文件夹中的文件进行排序。并且,在本发明实施例中,映射文件夹中还会有不同的层级结构,例如,各级子文件夹。使得,生成的目标文件可以放置在不同层级的子文件夹中。
考虑勒索软件扫描可能会按照文件名A-Z排序或者按照文件的时间属性进行排序,图3为本发明实施例提供的数据处理方法的场景示意图,如图3所示,我们考虑设计一个“橄榄型”的文件大小结构、并将文件时间属性进行取相同值,当勒索软件侵入并开始扫描加密时,首先会从“橄榄型”结构中头尾两端任选一个方向进行扫描加密,头尾两端的第二规格文件能够快速响应勒索软件的扫描。在前述内容中计算得出y1、y2、y3后,可以得出“橄榄型”结构的大小分配和具体文件数量。可以理解的是,勒索软件的扫描动作属于机器扫描,机器扫描的速度远远要高于用户打开文件夹的速度。基于此,可以按照时间先后顺序,将映射文件夹内的所有文件按照第二规格文件甲、第一规格文件、第二规格文件乙的顺序进行排序。文件时间属性从创建文件可能的时间戳分布中可以抽取,当映射文件夹中的文件具有不同时间属性的文件时,所在的子文件夹的时间属性也需要更新。在这种情况下,文件夹的创建时间总是文件夹内所有子文件和子文件夹创建时间的最小值,而修改时间和访问时间是对应时间戳的最大值。
这样,在系统日志中对其进行监控,可以快速检测出勒索软件的扫描加密行为,并让其扫描到中间第一规格文件进行加密时有所阻碍,可以理解的是,文件越大,加密时间越长,其中“橄榄型”中间使用第一规格文件,第一规格文件可以是采用高压缩比的已加密文件,其作用为对加密文件进行二次加密,使得被扫描耗时更长。
本发明实施例提供的基于文件型蜜罐检测勒索软件方法,首先监测映射文件夹对应的日志文件,当日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为,由于在本发明实施例中,映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹,当遭受恶意应用程序的扫描加密等操作时,能够诱导恶意应用程序扫描映射文件夹内的文件,从而保护了终端或者网络中真实的文件,提高了终端或者网络的安全性,避免了现有技术中,恶意应用程序会使得计算机或者网络上的数据的丢失、受感染的计算机或者网络遭受停机或者被破坏而无法工作,造成严重的安全问题的情况发生。
基于前述内容,本发明实施例还提供一种基于文件型蜜罐检测勒索软件方法,主要涉及当终端或者网络中遭受勒索软件攻击时的举措。具体地,图4为本发明实施例提供的基于文件型蜜罐检测勒索软件方法的另一流程图,如图4所示,本发明实施例提供的基于文件型蜜罐检测勒索软件方法,还可以包括如下步骤:
105、复制映射文件夹内的目标文件。
具体地,基于前述内容可知,映射文件夹内有两种规格的文件,分别是第一规格文件、第二规格文件,则可以选取一种规格的文件进行自我复制,延长勒索软件的扫描时间。为了达到更好的效果,优选对文件较大的第一规格文件进行自我复制。
106、切断当前使用环境中终端使用的网卡。
切断攻击源使用的网卡的操作,可以具体为,启动命令脚本,对攻击源的网卡进行断网操作,可以有效减少勒索软件的破坏程度。
107、将当前使用环境中的原始文件信息迁移至攻击源未攻击的文件夹中。
寻找规避文件夹的操作,可以具体为,规避文件夹是指勒索软件在侵入用户环境时,不会对此类文件夹进行加密的文件夹,以防破坏系统环境导致用户无法开机,从而达不到“勒索”目的。针对勒索软件加密过程,采集了一些数据,主要包括一些常见文件夹,根据文件夹的特性,进行特征值提取,并标注加密与否的结果,部分数据如下表所示:
Figure BDA0001819462500000121
Figure BDA0001819462500000131
其中,x1表示系统底层支撑文件数目;x2表示硬件驱动文件数目;x3表示动态链接库文件数目;x4表示系统文件数目;x5表示windows组件文件数目;x6表示通用库文件数目;x7表示历史文件数目;x8表示应用数据文件数目;x9表示临时文件数目;x10表示个人账户配置文件数目;x11表示用户文件数目;x12表示下载文件数目;x13表示用户登录文件数目;x14表示软件程序文件;x15表示用户环境配置文件;y表示”勒索”应用程序对文件夹的加密情况,T表示TRUE,即为加密,反之F表示FALSE,即为不加密。
将用户环境中的文件夹分为两类,一类为规避文件夹,一类为非规避文件夹,对于规避文件夹,首先确定按照指定规则分类的数据集,
例如,sample_data={“/windows”:[7000,200,20000,1000,200,2000,100,100,50,0,0,10,0,0,0,“F”],“/program files”:[0,0,500,0,10,1000,0,10000,0,0,1000,0,0,2000,0,“F”],“/local setings”:[0,0,100,100,0,0,500,10,100,2000,10,0,200,0,500,“F”],“/appdata”:[0,0,500,200,0,200,0,3000,400,500,5000,100,200,500,100,“F”];“/my documents”:[0,0,10,10 0,0,0,0,200,200,500,100,50,0,100,“T”],“/users”:[0,0,20,10,0,0,200,0,100,100,1000,100,50,0,200,“T”],“/program files(x86)”:[0,0,50,0,0,0,0,2000,0,0,500,0,0,200,0,“T”],“/desktop”:[0,0,0,0,0,0,0,0,10,0,500,50,0,0,0,“T”]}。
然后计算样本与数据集中所有数据的距离数值,具体可以采用如下公式:
Figure BDA0001819462500000141
其中x、y为两个样本,n为维度,xi、yi为x、y第i个维度上的特征值,d为距离。
将所有距离数值进行递增排序,计算平均值;具体可以采用如下公式:
Figure BDA0001819462500000142
其中,di为第i个距离数值,
Figure BDA0001819462500000143
为平均值。
根据所有距离数值中小于平均值的数量确定第一系数,以及根据所有距离数值中大于或者等于平均值的数量确定第二系数;根据第一系数和第二系数对所有距离数值进行增益或者惩罚修正。具体可以采用如下公式:
Figure BDA0001819462500000144
其中,d′为修正后距离值。
对于距离小于
Figure BDA0001819462500000145
的点来说,给定系数1/2作为惩罚系数;对于距离大于
Figure BDA0001819462500000146
的点来说,给定系数2作为增益系数。增益惩罚修正的目的是为了让距离远的点更远,让距离近的点更近,在之后选择最近邻点时,更具有一般性。
根据增益或者惩罚修正后的结果,确定第三系数k;计算距离值d’小于
Figure BDA0001819462500000147
的点的个数,如果个数大于
Figure BDA0001819462500000148
Figure BDA0001819462500000149
说明点的散布相对均匀;如果个数小于
Figure BDA00018194625000001410
则说明点的散布比较分散,例如,k取值为5,选取最近的5个点值。
根据第三系数确定目标样本;具体,根据k进行选择,距离数值最小的k个已知样本。
确定目标样本所在类别出现的频率,输出频率最高的类别。
在选出的已知样本中,对出现的类别进行统计,用count计数,公式如下:
Figure BDA00018194625000001411
如果已知样本中FALSE的结果大于TRUE的结果,则y=FALSE;反之,y=TRUE。
通过该方式,知晓了当前使用环境中的文件夹进行是否规避的分类,对于非规避文件夹的文件,将其放入一个规避文件夹内,具体可以采用移动的指令进行操作。例如,将/userDocuments下的所有文件移到/windows/中:使用mv/userDocuments/*/windows命令。
本发明实施例提供的基于文件型蜜罐检测勒索软件方法,在前述内容的基础上,进一步的对监控到有机器行为时,及时采取复制目标文件、切断网卡、文件迁移等操作,不仅能够发现有勒索软件,还能够根据勒索软件及时采用阻止措施,进一步地保护了终端或者网络中真实的文件,提高了终端或者网络的安全性,避免了现有技术中,恶意应用程序会使得计算机或者网络上的数据的丢失、受感染的计算机或者网络遭受停机或者被破坏而无法工作,造成严重的安全问题的情况发生。
为了实现前述方法步骤,本发明实施例还提供一种电子设备,图5为本发明实施例提供的电子设备的结构示意图,如图5所示,本发明实施例提供的电子设备数据处理系统,具体可以包括:处理器11以及存储器12。
存储器12用于存储指令,所述指令被所述处理器11执行时,使得所述设备执行如前述内容中任意一种基于文件型蜜罐检测勒索软件方法。
为了实现前述方法步骤,本发明实施例还提供一种程序产品,可直接加载到电子设备的内部存储器中,并含有软件代码,所述程序产品经由电子设备载入并执行后能够实现如前述内容中任意一种基于文件型蜜罐检测勒索软件方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种基于文件型蜜罐检测勒索软件方法,其特征在于,包括:
监测映射文件夹对应的日志文件;所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹;
当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件,确定当前使用环境中具有攻击源的机器行为,
在监控映射文件夹对应的日志文件之前,所述方法还包括:
获取当前使用环境信息,根据所述当前使用环境信息确定映射文件夹信息;
根据所述映射文件夹信息以及当前使用环境中的原始文件信息,生成具有语义的目标文件,存储在所述映射文件夹中,
所述获取当前使用环境信息,根据所述当前使用环境信息确定映射文件夹信息,包括:
获取磁盘的剩余总容量以及磁盘名称;
根据所述磁盘的剩余总容量以及磁盘名称,确定映射文件夹容量及映射文件夹名称;
具体采用如下公式:
Figure FDA0002833624590000011
其中,x1表示所述磁盘的剩余总容量,y1表示所述映射文件夹容量。
2.根据权利要求1所述的方法,其特征在于,所述目标文件,包括第一规格文件以及第二规格文件;
所述第一规格文件占比采用如下公式进行计算:
Figure FDA0002833624590000021
其中,x2表示系统运行内存,并且,系统运行内存小于8G则取值1、8G-64G之间则取值2、64G以上取值3;
x3表示系统稳定性,并且,正式版本取值为1、非正式版本取值为0;
x4表示系统是否安装有GPU,并且,有取值1、没有取值0;
y2表示所述第一规格文件占比;
所述第二规格文件占比采用如下公式进行计算:
Figure FDA0002833624590000022
其中,y3表示所述第二规格文件占比。
3.根据权利要求2所述的方法,其特征在于,所述第二规格文件包括第二规格文件甲、第二规格文件乙;所述第二规格文件甲的数量与所述第二规格文件乙的数量相等;所述方法还包括:
按照时间先后顺序,将所述映射文件夹内的所有文件按照第二规格文件甲、第一规格文件、第二规格文件乙的顺序进行排序。
4.根据权利要求1所述的方法,其特征在于,所述根据当前使用环境中的原始文件信息,生成具有语义的目标文件,包括:
采集当前使用环境中的原始文件,作为初始数据;
对所述初始数据中的文件名进行短语分词;
在短语分词得到的至少一个候选词中选择目标用词,将所述目标用词作为文件名,将所述初始数据的后缀作为目标文件后缀,形成目标文件名;
生成具有语义的文件内容,所述文件内容与所述目标文件名共同形成所述目标文件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
复制所述映射文件夹内的目标文件;
切断当前使用环境中终端使用的网卡;
将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中。
6.根据权利要求5所述的方法,其特征在于,所述将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中,包括:
确定按照指定规则分类的数据集;
计算样本与数据集中所有数据的距离数值;
将所有距离数值进行递增排序,计算平均值;根据所有距离数值中小于平均值的数量确定第一系数,以及根据所有距离数值中大于或者等于平均值的数量确定第二系数;根据第一系数和第二系数对所有距离数值进行增益或者惩罚修正;
根据增益或者惩罚修正后的结果,确定第三系数;
根据第三系数确定目标样本;
确定目标样本所在类别出现的频率,输出频率最高的类别。
7.一种电子设备,其特征在于,所述电子设备包括处理器以及存储器;所述存储器用于存储指令,所述指令被所述处理器执行时,使得所述设备执行如权利要求1~6中任一种所述的方法。
8.一种计算机可读存储介质,其特征在于,可直接加载到电子设备的内部存储器中,并含有软件代码,所述计算机可读存储介质经由电子设备载入并执行后能够实现如权利要求1~6中任一种所述的方法。
CN201811158439.1A 2018-09-30 2018-09-30 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 Active CN109413048B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811158439.1A CN109413048B (zh) 2018-09-30 2018-09-30 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811158439.1A CN109413048B (zh) 2018-09-30 2018-09-30 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品

Publications (2)

Publication Number Publication Date
CN109413048A CN109413048A (zh) 2019-03-01
CN109413048B true CN109413048B (zh) 2021-06-04

Family

ID=65466686

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811158439.1A Active CN109413048B (zh) 2018-09-30 2018-09-30 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品

Country Status (1)

Country Link
CN (1) CN109413048B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112651023A (zh) * 2020-12-29 2021-04-13 南京联成科技发展股份有限公司 一种用于检测和阻止恶意勒索软件攻击的方法
CN116415240A (zh) * 2021-12-31 2023-07-11 华为云计算技术有限公司 一种勒索病毒检测方法以及相关系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563192A (zh) * 2017-08-10 2018-01-09 北京神州绿盟信息安全科技股份有限公司 一种勒索软件的防护方法、装置、电子设备及存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104978520A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种基于实际业务系统的蜜罐数据构造方法及系统
CN104615935B (zh) * 2015-03-04 2017-06-20 哈尔滨工业大学 一种面向Xen虚拟化平台的隐藏方法
CN105844154B (zh) * 2016-03-19 2018-09-07 浙江大学 一种基于内部蜜罐的恶意程序探测方法
IL249827A0 (en) * 2016-12-28 2017-03-30 Mimran Dudu A method for modeling attack patterns in honey traps (computerization)
CN106951781A (zh) * 2017-03-22 2017-07-14 福建平实科技有限公司 勒索软件防御方法和装置
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统
CN108156163A (zh) * 2017-12-28 2018-06-12 广州锦行网络科技有限公司 基于蜜罐技术的多维欺骗诱饵实现系统及方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563192A (zh) * 2017-08-10 2018-01-09 北京神州绿盟信息安全科技股份有限公司 一种勒索软件的防护方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
An architecture for intrusion detection using honey pot;Zhi-Hong Tian;《Proceedings of the 2003 International Conference on Machine Learning and Cybernetics (IEEE Cat. No.03EX693)》;20040219;2096-2100 *

Also Published As

Publication number Publication date
CN109413048A (zh) 2019-03-01

Similar Documents

Publication Publication Date Title
US11924233B2 (en) Server-supported malware detection and protection
US20210256127A1 (en) System and method for automated machine-learning, zero-day malware detection
US11188650B2 (en) Detection of malware using feature hashing
Scaife et al. Cryptolock (and drop it): stopping ransomware attacks on user data
Li et al. Large-scale identification of malicious singleton files
US8955133B2 (en) Applying antimalware logic without revealing the antimalware logic to adversaries
US8776236B2 (en) System and method for providing storage device-based advanced persistent threat (APT) protection
RU2614557C2 (ru) Система и способ обнаружения вредоносных файлов на мобильных устройствах
US9215197B2 (en) System, method, and computer program product for preventing image-related data loss
EP3370183B1 (en) Characterizing malware files for similarity searching
US9805192B1 (en) Systems and methods for file classification
CN111382430A (zh) 用于对计算机系统的对象进行分类的系统和方法
US20120174227A1 (en) System and Method for Detecting Unknown Malware
US8336100B1 (en) Systems and methods for using reputation data to detect packed malware
US20050262567A1 (en) Systems and methods for computer security
Davies et al. Differential area analysis for ransomware attack detection within mixed file datasets
CN107871089B (zh) 文件防护方法及装置
TW201812634A (zh) 威脅情報雲
CN109413048B (zh) 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品
US9659182B1 (en) Systems and methods for protecting data files
US8474038B1 (en) Software inventory derivation
US8655844B1 (en) File version tracking via signature indices
EP3113065A1 (en) System and method of detecting malicious files on mobile devices
Davies et al. Majority voting ransomware detection system
Rowe Identifying forensically uninteresting files using a large corpus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant