CN110502894A - 操作行为的识别方法、设备和系统 - Google Patents
操作行为的识别方法、设备和系统 Download PDFInfo
- Publication number
- CN110502894A CN110502894A CN201810478940.XA CN201810478940A CN110502894A CN 110502894 A CN110502894 A CN 110502894A CN 201810478940 A CN201810478940 A CN 201810478940A CN 110502894 A CN110502894 A CN 110502894A
- Authority
- CN
- China
- Prior art keywords
- file
- program
- behavior
- information entropy
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种操作行为的识别方法、设备和系统。其中,该设备包括:监视装置,用于监控对文件进行操作的程序;处理器,与监视装置连接,用于监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。本申请解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种操作行为的识别方法、设备和系统。
背景技术
勒索软件是一种流行的木马,通过加密用户的文件来绑架用户文件的方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。勒索软件的传播手段与常见的木马相似,主要包括以下多种:借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;与其他恶意软件捆绑发布;作为电子邮件附件传播;借助可移动存储介质传播;利用系统漏洞来传播。一旦用户受到勒索软件的感染,通常会让计算机屏幕弹出提示消息,称用户文件被加密,要求支付赎金。此时用户的关键数据可能已经被加密,而密码只有远端的勒索者手中,给数据安全带来极大危害。
目前主要的防护手段主要包括如下多种:第一种是时实备份技术,当勒索软件绑架用户数据时,用户可以恢复到最近一次备份,从而降低损失,但是需要消耗的资源比较高;第二种是文件访问控制技术,每一种文档对应用一种或几种文档编辑器,限制只有这些编辑器的进程才能对文档进行修改编辑,但是需要的管理成本比较高;第三种是密钥恢复技术,勒索软件实现者在实现过程中可能会存在漏洞和疏忽,没有清除内存中加密密钥,可以利用内存中残留的密钥,进而恢复用户被绑架的数据,但是严重依赖勒索软件本身实现的漏洞;第四种是二进制检测技术,对已经发现的勒索软件取二进制特征,检测符合这种特征的程序并禁止他们运行,但是这种技术无法应对新的变种。
针对现有技术中操作行为的识别方式资源消耗大、实现难度高的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种操作行为的识别方法、设备和系统,以至少解决现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
根据本申请实施例的一个方面,提供了一种操作行为的识别设备,包括:监视装置,用于监控对文件进行操作的程序;处理器,与监视装置连接,用于监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
根据本申请实施例的另一方面,还提供了一种操作行为的识别方法,包括:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
根据本申请实施例的另一方面,还提供了一种操作行为的识别装置,包括:监控模块,用于监控对文件进行操作的程序;获取模块,用于监控到程序对文件进行操作完毕,获取文件的信息熵值;确定模块,用于在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
根据本申请实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行如下步骤:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行如下步骤:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
根据本申请实施例的另一方面,还提供了一种操作行为的识别系统,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
在本申请实施例中,通过监视装置监控对文件进行操作的程序,通过处理器监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例1的一种操作行为的识别设备的示意图;
图2是根据本申请实施例的一种可选的操作系统的示意图;
图3是根据本申请实施例的一种可选的操作行为的识别方法的示意图;
图4是根据本申请实施例的一种可选的打开行为的识别方法的示意图;
图5是根据本申请实施例的一种可选的覆盖行为的识别方法的示意图;
图6是根据本申请实施例的一种用于实现操作行为的识别方法的计算机终端(或移动设备)的硬件结构框图;
图7是根据本申请实施例2的一种操作行为的识别方法的流程图;
图8是根据本申请实施例3的一种操作行为的识别装置的示意图;
图9是根据本申请实施例4的一种操作行为的识别方法的流程图;
图10是根据本申请实施例5的一种操作行为的识别装置的示意图;
图11是根据本申请实施例6的一种操作行为的识别设备的示意图;以及
图12是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
勒索软件:可以是一种流行的木马,通过加密用户的文件来绑架用户文件的方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
信息熵:Shannon借鉴了热力学的概念,把信息中排除了冗余后的平均信息量可以称为“信息熵”,并给出了计算信息熵的数学表达式。
实施例1
由于目前勒索软件对数据安全影响较大,为了对勒索软件进行防护,现有技术提供的操作行为的识别方式资源消耗大、实现难度高、管理成本高,导致用户体验感差。
为了解决上述技术问题,本申请提出了一种操作行为的识别设备,图1是根据本申请实施例1的一种操作行为的识别设备的示意图,如图1所示,该设备可以包括:监视装置12和处理器14。
其中,监视装置12用于监控对文件进行操作的程序;处理器14与监视装置连接,用于监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的监视装置和处理器可以是在操作系统的内核层增加的“文件操作监视部件”,通过“文件操作监视部件”来截获程序对文件的所有操作,上述操作可以包括:打开操作、覆盖操作、删除操作、关闭操作等;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定;上述的信息熵值可以是用来度量文件内容随机性的一个数值,对于系统中的正常文件,文件内容有序性较大,也即文件内容的随机性较小,从而得到的信息熵值较小,而对于加密文件,文件内容有序性较小,也即文件内容的随机性较大,从而得到的信息熵值较大,因此通过信息熵值可以对正常文件和加密文件进行区分;上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
进一步地,当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
在一种可选的方案中,当用户应用程序通过操作系统内核接口层访问文件系统驱动,并对文件进行打开、覆盖或者删除等操作,从而通过在操作系统内核层增加“文件操作监视部件”,由“文件操作监视部件”截获该用户应用程序的操作,当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,如果计算得到的信息熵值达到加密文件的信息熵值标准,则可以确定该用户应用程序的操作行为属于加密行为,从而可以确定该用户应用程序非常有可能是勒索软件。
图3是根据本申请实施例的一种可选的操作行为的识别方法的示意图,下面结合图3对本申请一种优选的实施例进行详细说明。如图3所示,当程序关闭文件时,“文件操作监视部件”计算文档的信息熵值,判断信息熵值是否达到加密域值,如果达到,则可以确定程序执行了加密操作,也即确定程序的操作行为属于加密行为。
本申请上述实施例1所提供的方案,通过监视装置监控对文件进行操作的程序,通过处理器监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例1的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
本申请上述实施例中,处理器还用于当监控到程序对文件进行打开操作时,对文件进行备份。
具体地,上述的打开操作可以是写打开操作,也即,程序打开文件,并对文件进行写操作。
在一种可选的方案中,当用户应用程序打开一个文档时,“文件操作监视部件”可以临时备份当前需要打开的文件。
需要说明的是,可以设置一个全局文件操作的关联记录库,用于储存文件操作的关联记录,例如,可以记录操作的文件以及操作该文件的程序。
图4是根据本申请实施例的一种可选的打开行为的识别方法的示意图,下面结合图4对本申请一种优选的实施例进行详细说明。如图4所示,当程序打开一个文档时,“文件操作监视部件”可以判断是否为写打开,如果是,则备份文件,并添加文件操作关联记录,然后转交给系统执行相应的打开操作;如果否(例如,可以是读打开),则可以直接转交给系统执行相应的打开操作。
本申请上述实施例中,处理器还用于当监控到程序对文件进行覆盖操作时,获取文件和覆盖后的文件的相似度,判断相似度是否小于或等于预设相似度,在相似度小于或等于预设相似度的情况下,对文件进行备份,并存储覆盖操作对应的关联信息。
具体地,上述的预设相似度可以通过海量计算统计得到的;上述的关联信息可以存储在关联记录库中。
在一种可选的方案中,当用户应用程序要覆盖一个文档时,“文件操作监视部件”可以检测两个文件相似度,如果不相似则可以临时备份被覆盖的文件,并且记录一条关联信息。
图5是根据本申请实施例的一种可选的覆盖行为的识别方法的示意图,下面结合图5对本申请一种优选的实施例进行详细说明。如图5所示,当程序覆盖一个文档时,“文件操作监视部件”可以计算两个文件的相似度,如果不相似则备份被覆盖的文件,并添加文件操作关联记录,然后转交给系统执行相应的打开操作;如果程序未覆盖文件,则可以直接转交给系统执行相应的打开操作。
本申请上述实施例中,处理器还用于当监控到程序对文件进行删除操作时,对文件进行备份,并存储删除操作对应的关联信息。
在一种可选的方案中,当用户应用程序要删除一个文件时,“文件操作监视部件”可以备份原文件建立一条与当前程序及操作的关联信息。
需要说明的是,上述的备份机制可以是临时备份机制,不需要额外的硬件存储资源,在端点本地即可完成,占用资源少。
本申请上述实施例中,处理器还用于在确定程序的操作行为属于加密行为之后,输出提示信息,和/或对程序的操作行为进行阻断,并根据备份后的文件,对文件进行恢复,其中,提示信息用于提示程序的操作行为属于加密行为。
具体地,在确定程序的操作行为属于加密行为之后,可以根据用户预先设置的配置策略,确定需要向用户进行提示还是采取自动恢复机制;上述的提示信息可以包括:属于加密行为的程序,向用户提示该程序可能是勒索软件。
在一种可选的方案中,当确定程序的操作行为属于加密行为,也即确定勒索软件在加密用户文档时,可以第一时间给予用户提示信息,用户可以根据提示信息选择是否需要恢复对应的文件,当用户选择需要恢复对应的文件时,可以利用临时备份文件进行文件恢复。
在另一种可选的方案中,当确定程序的操作行为属于加密行为,也即确定勒索软件在加密用户文档时,可以第一时间对该程序的操作行为作阻断,并恢复加密的文件内容,也即,可以自动利用临时备份文件进行文件恢复。
如图3所示,在确定程序执行了加密操作之后,可以提示用户,并判断是否需要恢复,如果用户确定需要恢复,则可以从全局文件操作的关联记录库中追溯对应文件,并恢复对应文件。
本申请上述实施例中,在文件的信息熵值未达到预设信息熵值的情况下,确定程序的操作行为不属于加密行为,则删除备份后的文件。
在一种可选的方案中,当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,如果计算得到的信息熵值未达到加密文件的信息熵值标准,则可以确定该用户应用程序的操作行为不属于加密行为,进一步可以删除临时备份后的文件,从而达到降低占用资源的目的。
通过上述方案,通过检测程序对文件的加密行为,可实现当勒索软件在加密用户文档时,第一次时间给予用户提示或对行为做阻断,并恢复其加密的文档内容。同时不需要配套硬件来做文档备份存储,也不需要维护一个大而全的编辑器白名单。因为基于的是行为判断,从而可以很好的处理勒索软件的新变种。
实施例2
根据本申请实施例,还提供了一种操作行为的识别方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图6示出了一种用于实现操作行为的识别方法的计算机终端(或移动设备)的硬件结构框图。如图6所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的操作行为的识别方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的操作行为的识别方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图6所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图6仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。
在上述运行环境下,本申请提供了如图7所示的操作行为的识别方法。图7是根据本申请实施例2的一种操作行为的识别方法的流程图。如图7所示,该方法可以包括如下步骤:
步骤S702,监控对文件进行操作的程序。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定,可以通过在操作系统的内核层增加的“文件操作监视部件”对用户应用程序对文件的操作进行监控。
需要说明的是,当监控到用户应用程序对文件进行操作时,可以将该用户应用程序和文件进行显示,从而方便用户根据用户应用程序和文件的名称、存储路径等信息,确定此次操作是否为合法操作,也即,判断是否是用户自己进行的操作,或者是否是合法程序进行的操作。
步骤S704,监控到程序对文件进行操作完毕,获取文件的信息熵值。
进一步地,当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,上述的信息熵值可以是用来度量文件内容随机性的一个数值,对于系统中的正常文件,文件内容有序性较大,也即文件内容的随机性较小,从而得到的信息熵值较小,而对于加密文件,文件内容有序性较小,也即文件内容的随机性较大,从而得到的信息熵值较大,因此通过信息熵值可以对正常文件和加密文件进行区分。
步骤S706,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
具体地,上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
在一种可选的方案中,当用户应用程序通过操作系统内核接口层访问文件系统驱动,并对文件进行打开、覆盖或者删除等操作,从而通过在操作系统内核层增加“文件操作监视部件”,由“文件操作监视部件”截获该用户应用程序的操作,当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,如果计算得到的信息熵值达到加密文件的信息熵值标准,则可以确定该用户应用程序的操作行为属于加密行为,从而可以确定该用户应用程序非常有可能是勒索软件。
需要说明的是,在确定程序的操作行为属于加密行为之后,可以确定该用户应用程序是勒索软件的可能性较大,为了方便用户及时获知判断结果,可以将程序的操作行为属于加密行为的识别结果进行显示,从而用户可以及时进行处理,避免勒索软件对文件进行操作,造成损失。
下面结合图3对本申请一种优选的实施例进行详细说明。如图3所示,当程序关闭文件时,“文件操作监视部件”计算文档的信息熵值,判断信息熵值是否达到加密域值,如果达到,则可以确定程序执行了加密操作,也即确定程序的操作行为属于加密行为。
本申请上述实施例2所提供的方案,通过监控对文件进行操作的程序,通过监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例2的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
本申请上述实施例中,当监控到程序对文件进行打开操作时,对文件进行备份。
具体地,上述的打开操作可以是写打开操作,也即,程序打开文件,并对文件进行写操作。
在一种可选的方案中,当用户应用程序打开一个文档时,“文件操作监视部件”可以临时备份当前需要打开的文件。
需要说明的是,可以设置一个全局文件操作的关联记录库,用于储存文件操作的关联记录,例如,可以记录操作的文件以及操作该文件的程序。
如图4所示,当程序打开一个文档时,“文件操作监视部件”可以判断是否为写打开,如果是,则备份文件,并添加文件操作关联记录,然后转交给系统执行相应的打开操作;如果否(例如,可以是读打开),则可以直接转交给系统执行相应的打开操作。
需要说明的是,在将文件进行备份之后,可以将备份文件的存储路径进行显示,从而用户可以根据显示的存储路径获取到备份文件,从而避免勒索软件对文件进行操作造成的损失。
本申请上述实施例中,当监控到程序对文件进行覆盖操作时,上述方法还包括获取文件和覆盖后的文件的相似度;判断相似度是否小于或等于预设相似度;在相似度小于或等于预设相似度的情况下,对文件进行备份,并存储覆盖操作对应的关联信息。
具体地,上述的预设相似度可以通过海量计算统计得到的;上述的关联信息可以存储在关联记录库中。
在一种可选的方案中,当用户应用程序要覆盖一个文档时,“文件操作监视部件”可以检测两个文件相似度,如果不相似则可以临时备份被覆盖的文件,并且记录一条关联信息。
下面结合图5对本申请一种优选的实施例进行详细说明。如图5所示,当程序覆盖一个文档时,“文件操作监视部件”可以计算两个文件的相似度,如果不相似则备份被覆盖的文件,并添加文件操作关联记录,然后转交给系统执行相应的打开操作;如果程序未覆盖文件,则可以直接转交给系统执行相应的打开操作。
需要说明的是,在将文件进行备份,并存储覆盖操作对应的关联信息之后,可以将备份文件的存储路径以及关联信息进行显示,从而用户可以根据显示的存储路径获取到备份文件,并根据关联信息确定可能是勒索软件的用户应用程序,并对用户应用程序进行处理,从而避免勒索软件对文件进行操作造成的损失。
本申请上述实施例中,当监控到程序对文件进行删除操作时,对文件进行备份,并存储删除操作对应的关联信息。
在一种可选的方案中,当用户应用程序要删除一个文件时,“文件操作监视部件”可以备份原文件建立一条与当前程序及操作的关联信息。
需要说明的是,上述的备份机制可以是临时备份机制,不需要额外的硬件存储资源,在端点本地即可完成,占用资源少。
本申请上述实施例中,在步骤S706,确定程序的操作行为属于加密行为之后,该方法还包括如下一种或多种:
步骤S708,输出提示信息,其中,提示信息用于提示程序的操作行为属于加密行为。
具体地,在确定程序的操作行为属于加密行为之后,可以根据用户预先设置的配置策略,确定需要向用户进行提示还是采取自动恢复机制;上述的提示信息可以包括:属于加密行为的程序,向用户提示该程序可能是勒索软件。
需要说明的是,为了输出提示信息,可以直接显示提示信息,也可以播放提示信息对应的语音告警信息,从而用户可以及时获知操作文件的用户应用程序可能是勒索软件,并对用户应用程序和文件进行处理。
步骤S710,对程序的操作行为进行阻断,并根据备份后的文件,对文件进行恢复。
在一种可选的方案中,当确定程序的操作行为属于加密行为,也即确定勒索软件在加密用户文档时,可以第一时间给予用户提示信息,用户可以根据提示信息选择是否需要恢复对应的文件,当用户选择需要恢复对应的文件时,可以利用临时备份文件进行文件恢复。
在另一种可选的方案中,当确定程序的操作行为属于加密行为,也即确定勒索软件在加密用户文档时,可以第一时间对该程序的操作行为作阻断,并恢复加密的文件内容,也即,可以自动利用临时备份文件进行文件恢复。
如图3所示,在确定程序执行了加密操作之后,可以提示用户,并判断是否需要恢复,如果用户确定需要恢复,则可以从全局文件操作的关联记录库中追溯对应文件,并恢复对应文件。
需要说明的是,在对文件进行恢复之后,可以显示恢复结果,从而用户可以确定存在勒索软件,并且文件恢复成功,用户可以正常操作文件。
本申请上述实施例中,在文件的信息熵值未达到预设信息熵值的情况下,确定程序的操作行为不属于加密行为,则删除备份后的文件。
在一种可选的方案中,当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,如果计算得到的信息熵值未达到加密文件的信息熵值标准,则可以确定该用户应用程序的操作行为不属于加密行为,进一步可以删除临时备份后的文件,从而达到降低占用资源的目的。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例3
根据本申请实施例,还提供了一种用于实施上述操作行为的识别方法的操作行为的识别装置,如图8所示,该装置800包括:
监控模块802,用于监控对文件进行操作的程序。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定,可以通过在操作系统的内核层增加的“文件操作监视部件”对用户应用程序对文件的操作进行监控。
获取模块804,用于监控到程序对文件进行操作完毕,获取文件的信息熵值。
进一步地,当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,上述的信息熵值可以是用来度量文件内容随机性的一个数值,对于系统中的正常文件,文件内容有序性较大,也即文件内容的随机性较小,从而得到的信息熵值较小,而对于加密文件,文件内容有序性较小,也即文件内容的随机性较大,从而得到的信息熵值较大,因此通过信息熵值可以对正常文件和加密文件进行区分。
确定模块806,用于在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
具体地,上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
此处需要说明的是,上述监控模块802、获取模块804和确定模块806对应于实施例1中的步骤S702至步骤S706,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
本申请上述实施例3所提供的方案,通过监控对文件进行操作的程序,通过监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例3的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
本申请上述实施例中,该装置还包括:处理模块,用于当监控到程序对文件进行打开操作时,对文件进行备份。
本申请上述实施例中,该装置还包括:处理模块,用于当监控到程序对文件进行覆盖操作时,获取文件和覆盖后的文件的相似度;判断相似度是否小于或等于预设相似度;在相似度小于或等于预设相似度的情况下,对文件进行备份,并存储覆盖操作对应的关联信息。
本申请上述实施例中,该装置还包括:处理模块,用于当监控到程序对文件进行删除操作时,对文件进行备份,并存储删除操作对应的关联信息。
本申请上述实施例中,该装置还包括如下一种或多种:
输出模块,用于输出提示信息,其中,提示信息用于提示程序的操作行为属于加密行为。
恢复模块,用于对程序的操作行为进行阻断,并根据备份后的文件,对文件进行恢复。
本申请上述实施例中,该装置还包括:删除模块,用于在文件的信息熵值未达到预设信息熵值的情况下,确定程序的操作行为不属于加密行为,则删除备份后的文件。
实施例4
根据本申请实施例,还提供了一种操作行为的识别方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图9是根据本申请实施例4的一种操作行为的识别方法的流程图。如图9所示,该方法可以包括如下步骤:
步骤S902,显示监控到对文件进行操作的程序和文件。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定,可以通过在操作系统的内核层增加的“文件操作监视部件”对用户应用程序对文件的操作进行监控。
步骤S904,在监控到程序对文件进行操作完毕的情况下,显示程序的识别结果,其中,识别结果用于表征程序的操作行为是否属于加密行为,识别结果是通过判断文件的信息熵值是否达到预设信息熵值得到的。
进一步地,当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,上述的信息熵值可以是用来度量文件内容随机性的一个数值,对于系统中的正常文件,文件内容有序性较大,也即文件内容的随机性较小,从而得到的信息熵值较小,而对于加密文件,文件内容有序性较小,也即文件内容的随机性较大,从而得到的信息熵值较大,因此通过信息熵值可以对正常文件和加密文件进行区分;上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
在一种可选的方案中,当用户应用程序通过操作系统内核接口层访问文件系统驱动,并对文件进行打开、覆盖或者删除等操作,从而通过在操作系统内核层增加“文件操作监视部件”,由“文件操作监视部件”截获该用户应用程序的操作,并显示该用户应用程序和该文件,从而可以确定每次操作的具体文件和操作该文件的用户应用程序。当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,通过判断计算得到的信息熵值是否达到加密文件的信息熵值标准,可以得到该用户应用程序的操作行为是否属于加密行为的识别结果,并显示该识别结果,从而用户可以及时确定该用户应用程序是否为勒索软件。
本申请上述实施例4所提供的方案,在显示监控到对文件进行操作的程序和文件之后,在监控到程序对文件进行操作完毕的情况下,通过判断文件的信息熵值是否达到预设信息熵值得到识别结果,并显示程序的识别结果,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例4的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例5
根据本申请实施例,还提供了一种用于实施上述操作行为的识别方法的操作行为的识别装置,如图10所示,该装置1000包括:
第一显示模块1002,用于显示监控到对文件进行操作的程序和文件。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定,可以通过在操作系统的内核层增加的“文件操作监视部件”对用户应用程序对文件的操作进行监控。
第二显示模块1004,用于在监控到程序对文件进行操作完毕的情况下,显示程序的识别结果,其中,识别结果用于表征程序的操作行为是否属于加密行为,识别结果是通过判断文件的信息熵值是否达到预设信息熵值得到的。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
此处需要说明的是,上述第一显示模块1002和第二显示模块1004对应于实施例4中的步骤S902至步骤S904,两个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例4所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例2提供的计算机终端10中。
本申请上述实施例5所提供的方案,在显示监控到对文件进行操作的程序和文件之后,在监控到程序对文件进行操作完毕的情况下,通过判断文件的信息熵值是否达到预设信息熵值得到识别结果,并显示程序的识别结果,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例5的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
实施例6
根据本申请实施例,还提供了一种操作行为的识别设备的实施例。
图11是根据本申请实施例6的一种操作行为的识别设备的示意图,如图11所示,该设备可以包括:监视装置12和显示器16。
其中,监视装置12用于监控对文件进行操作的程序;显示器16与监视装置连接,用于显示程序和文件,且在监控到程序对文件进行操作完毕的情况下,显示程序的识别结果,其中,识别结果用于表征程序的操作行为是否属于加密行为,识别结果是通过判断文件的信息熵值是否达到预设信息熵值得到的。
可选地,上述的信息熵值用于表征文件的平均信息量。
具体地,如图2所示,操作系统可以包括:系统服务、操作系统内核接口层、文件系统驱动、卷驱动、磁盘驱动、总线驱动,操作系统通过操作系统内核接口层与用户应用程序进行数据交互;上述的监视装置和处理器可以是在操作系统的内核层增加的“文件操作监视部件”,通过“文件操作监视部件”来截获程序对文件的所有操作,上述操作可以包括:打开操作、覆盖操作、删除操作、关闭操作等;上述的程序可以是安装在操作系统中的用户应用程序,本申请对此不作具体限定;上述的信息熵值可以是用来度量文件内容随机性的一个数值,对于系统中的正常文件,文件内容有序性较大,也即文件内容的随机性较小,从而得到的信息熵值较小,而对于加密文件,文件内容有序性较小,也即文件内容的随机性较大,从而得到的信息熵值较大,因此通过信息熵值可以对正常文件和加密文件进行区分;上述的预设信息熵值可以是加密文件的信息熵值标准,也即,加密文件的平均信息量标准。
进一步地,当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
在一种可选的方案中,当用户应用程序通过操作系统内核接口层访问文件系统驱动,并对文件进行打开、覆盖或者删除等操作,从而通过在操作系统内核层增加“文件操作监视部件”,由“文件操作监视部件”截获该用户应用程序的操作,并显示该用户应用程序和该文件,从而可以确定每次操作的具体文件和操作该文件的用户应用程序。当监控到该用户应用程序对文件进行操作完毕,关闭文件时,“文件操作监视部件”可以计算文件内容的信息熵值,通过判断计算得到的信息熵值是否达到加密文件的信息熵值标准,可以得到该用户应用程序的操作行为是否属于加密行为的识别结果,并显示该识别结果,从而用户可以及时确定该用户应用程序是否为勒索软件。
本申请上述实施例6所提供的方案,在显示监控到对文件进行操作的程序和文件之后,在监控到程序对文件进行操作完毕的情况下,通过判断文件的信息熵值是否达到预设信息熵值得到识别结果,并显示程序的识别结果,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例6的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
实施例7
根据本申请实施例,还提供了一种用于实施上述操作行为的识别方法的操作行为的识别系统,该系统包括:
处理器。以及
存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
本申请上述实施例7所提供的方案,通过监视装置监控对文件进行操作的程序,通过处理器监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的上述实施例7的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
实施例8
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
可选地,图12是根据本申请实施例的一种计算机终端的结构框图。如图12所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1202以及存储器1204。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的操作行为的识别方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的操作行为的识别方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
可选的,上述处理器还可以执行如下步骤的程序代码:当监控到程序对文件进行打开操作时,对文件进行备份。
可选的,上述处理器还可以执行如下步骤的程序代码:当监控到程序对文件进行覆盖操作时,获取文件和覆盖后的文件的相似度;判断相似度是否小于或等于预设相似度;在相似度小于或等于预设相似度的情况下,对文件进行备份,并存储覆盖操作对应的关联信息。
可选的,上述处理器还可以执行如下步骤的程序代码:当监控到程序对文件进行删除操作时,对文件进行备份,并存储删除操作对应的关联信息。
可选的,上述处理器还可以执行如下步骤的程序代码:在确定程序的操作行为属于加密行为之后,输出提示信息,其中,提示信息用于提示程序的操作行为属于加密行为;对程序的操作行为进行阻断,并根据备份后的文件,对文件进行恢复。
可选的,上述处理器还可以执行如下步骤的程序代码:在文件的信息熵值未达到预设信息熵值的情况下,确定程序的操作行为不属于加密行为,则删除备份后的文件。
可选的,上述处理器还可以执行如下步骤的程序代码:当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
采用本申请实施例,监控对文件进行操作的程序,监控到程序对文件进行操作完毕,获取文件的信息熵值,在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为,从而实现加密行为识别的目的。
容易注意到的是,由于监控到程序对文件进行操作完毕后,根据文件的信息熵值,判断该程序的操作行为是否属于加密行为,与现有技术相比,可以通过程序对写入文件内容的信息熵作为度量来识别加密行为,无需维护一个大而全的编辑器白名单,并且能够较好的处理勒索软件的新变种,达到降低资源消耗,简化操作行为识别过程,降低实现难度,提升用户体验感的技术效果。
由此,本申请提供的方案解决了现有技术中操作行为的识别方式资源消耗大、实现难度高的技术问题。
本领域普通技术人员可以理解,图12所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图12其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图12中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图12所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例9
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的操作行为的识别方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:监控对文件进行操作的程序;监控到程序对文件进行操作完毕,获取文件的信息熵值;在文件的信息熵值达到预设信息熵值的情况下,确定程序的操作行为属于加密行为。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:当监控到程序对文件进行打开操作时,对文件进行备份。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:当监控到程序对文件进行覆盖操作时,获取文件和覆盖后的文件的相似度;判断相似度是否小于或等于预设相似度;在相似度小于或等于预设相似度的情况下,对文件进行备份,并存储覆盖操作对应的关联信息。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:当监控到程序对文件进行删除操作时,对文件进行备份,并存储删除操作对应的关联信息。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:在确定程序的操作行为属于加密行为之后,输出提示信息,其中,提示信息用于提示程序的操作行为属于加密行为;对程序的操作行为进行阻断,并根据备份后的文件,对文件进行恢复。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:在文件的信息熵值未达到预设信息熵值的情况下,确定程序的操作行为不属于加密行为,则删除备份后的文件。
可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:当监控到程序对文件进行关闭操作时,确定程序对文件进行操作完毕。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (17)
1.一种操作行为的识别设备,其特征在于,包括:
监视装置,用于监控对文件进行操作的程序;
处理器,与所述监视装置连接,用于监控到所述程序对所述文件进行操作完毕,获取所述文件的信息熵值,在所述文件的信息熵值达到预设信息熵值的情况下,确定所述程序的操作行为属于加密行为。
2.根据权利要求1所述的设备,其特征在于,所述处理器还用于当监控到所述程序对所述文件进行打开操作时,对所述文件进行备份。
3.根据权利要求1所述的设备,其特征在于,所述处理器还用于当监控到所述程序对所述文件进行覆盖操作时,获取所述文件和覆盖后的文件的相似度,判断所述相似度是否小于或等于预设相似度,在所述相似度小于或等于所述预设相似度的情况下,对所述文件进行备份,并存储所述覆盖操作对应的关联信息。
4.根据权利要求1所述的设备,其特征在于,所述处理器还用于当监控到所述程序对所述文件进行删除操作时,对所述文件进行备份,并存储所述删除操作对应的关联信息。
5.根据权利要求1所述的设备,其特征在于,所述信息熵值用于表征所述文件的平均信息量。
6.一种操作行为的识别方法,其特征在于,包括:
监控对文件进行操作的程序;
监控到所述程序对所述文件进行操作完毕,获取所述文件的信息熵值;
在所述文件的信息熵值达到预设信息熵值的情况下,确定所述程序的操作行为属于加密行为。
7.根据权利要求6所述的方法,其特征在于,当监控到所述程序对所述文件进行打开操作时,对所述文件进行备份。
8.根据权利要求6所述的方法,其特征在于,当监控到所述程序对所述文件进行覆盖操作时,所述方法还包括:
获取所述文件和覆盖后的文件的相似度;
判断所述相似度是否小于或等于预设相似度;
在所述相似度小于或等于所述预设相似度的情况下,对所述文件进行备份,并存储所述覆盖操作对应的关联信息。
9.根据权利要求6所述的方法,其特征在于,当监控到所述程序对所述文件进行删除操作时,对所述文件进行备份,并存储所述删除操作对应的关联信息。
10.根据权利要求7至9中任意一项所述的方法,其特征在于,在确定所述程序的操作行为属于加密行为之后,所述方法还包括如下一种或多种:
输出提示信息,其中,所述提示信息用于提示所述程序的操作行为属于加密行为;
对所述程序的操作行为进行阻断,并根据备份后的文件,对所述文件进行恢复。
11.根据权利要求10所述的方法,其特征在于,在所述文件的信息熵值未达到所述预设信息熵值的情况下,确定所述程序的操作行为不属于加密行为,则删除备份后的文件。
12.根据权利要求10所述的方法,其特征在于,当监控到所述程序对所述文件进行关闭操作时,确定所述程序对所述文件进行操作完毕。
13.一种操作行为的识别方法,其特征在于,包括:
显示监控到对文件进行操作的程序和所述文件;
在监控到所述程序对所述文件进行操作完毕的情况下,显示所述程序的识别结果,其中,所述识别结果用于表征所述程序的操作行为是否属于加密行为,所述识别结果是通过判断所述文件的信息熵值是否达到预设信息熵值得到的。
14.一种操作行为的识别设备,其特征在于,包括:
监视装置,用于监控对文件进行操作的程序;
显示器,与所述监视装置连接,用于显示所述程序和所述文件,且在监控到所述程序对所述文件进行操作完毕的情况下,显示所述程序的识别结果,其中,所述识别结果用于表征所述程序的操作行为是否属于加密行为,所述识别结果是通过判断所述文件的信息熵值是否达到预设信息熵值得到的。
15.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行如下步骤:监控对文件进行操作的程序;监控到所述程序对所述文件进行操作完毕,获取所述文件的信息熵值;在所述文件的信息熵值达到预设信息熵值的情况下,确定所述程序的操作行为属于加密行为。
16.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行如下步骤:监控对文件进行操作的程序;监控到所述程序对所述文件进行操作完毕,获取所述文件的信息熵值;在所述文件的信息熵值达到预设信息熵值的情况下,确定所述程序的操作行为属于加密行为。
17.一种操作行为的识别系统,其特征在于,包括:
处理器;以及
存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:监控对文件进行操作的程序;监控到所述程序对所述文件进行操作完毕,获取所述文件的信息熵值;在所述文件的信息熵值达到预设信息熵值的情况下,确定所述程序的操作行为属于加密行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810478940.XA CN110502894B (zh) | 2018-05-18 | 2018-05-18 | 操作行为的识别方法、设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810478940.XA CN110502894B (zh) | 2018-05-18 | 2018-05-18 | 操作行为的识别方法、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110502894A true CN110502894A (zh) | 2019-11-26 |
CN110502894B CN110502894B (zh) | 2023-03-21 |
Family
ID=68584267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810478940.XA Active CN110502894B (zh) | 2018-05-18 | 2018-05-18 | 操作行为的识别方法、设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110502894B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861133A (zh) * | 2021-02-19 | 2021-05-28 | 智巡密码(上海)检测技术有限公司 | 基于随机性阈值的勒索软件判定检测方法 |
CN113343236A (zh) * | 2021-06-23 | 2021-09-03 | 西安邮电大学 | 一种动静检测融合的勒索病毒检测系统及方法 |
CN115242488A (zh) * | 2022-07-20 | 2022-10-25 | 广东瑞普科技股份有限公司 | 一种国产网络安全运维系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050141531A1 (en) * | 2003-12-25 | 2005-06-30 | Hitachi, Ltd. | Communication relay method and relay device |
CN105721242A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
CN106557696A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 用于检测恶意数据加密程序的系统和方法 |
CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
-
2018
- 2018-05-18 CN CN201810478940.XA patent/CN110502894B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050141531A1 (en) * | 2003-12-25 | 2005-06-30 | Hitachi, Ltd. | Communication relay method and relay device |
CN106557696A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 用于检测恶意数据加密程序的系统和方法 |
CN105721242A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861133A (zh) * | 2021-02-19 | 2021-05-28 | 智巡密码(上海)检测技术有限公司 | 基于随机性阈值的勒索软件判定检测方法 |
CN113343236A (zh) * | 2021-06-23 | 2021-09-03 | 西安邮电大学 | 一种动静检测融合的勒索病毒检测系统及方法 |
CN115242488A (zh) * | 2022-07-20 | 2022-10-25 | 广东瑞普科技股份有限公司 | 一种国产网络安全运维系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110502894B (zh) | 2023-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109993316B (zh) | 执行机器学习流程的方法及系统 | |
CN110414258A (zh) | 文件处理方法和系统、数据处理方法 | |
CN105493054B (zh) | 使用双文件系统的快速数据保护 | |
CN110471834B (zh) | 多交易渠道下的信用卡模拟测试方法及相关设备 | |
CN110852374B (zh) | 数据检测方法、装置、电子设备以及存储介质 | |
CN109325349A (zh) | 一种安全管理方法、终端设备及计算机可读存储介质 | |
CN107506663A (zh) | 基于可信bmc的服务器安全启动方法 | |
CN107026842A (zh) | 一种安全问题的生成以及身份验证的方法及装置 | |
CN110502894A (zh) | 操作行为的识别方法、设备和系统 | |
CN103870356B (zh) | 一种信息处理方法及电子设备 | |
CN104023133B (zh) | 移动终端的防盗方法及装置 | |
CN103559435B (zh) | 终端设备的调试端口控制方法和装置 | |
CN106127009B (zh) | 一种图标的显示方法及终端 | |
CN104580118B (zh) | 一种密码修改方式的推荐方法及装置 | |
CN108572918A (zh) | 性能测试方法、装置、计算机设备及存储介质 | |
US20200372416A1 (en) | Method, apparatus and system for performing machine learning by using data to be exchanged | |
CN104850318A (zh) | 瞬时消息显示控制的方法及设备 | |
CN105868611A (zh) | 生物信息认证方法、装置和移动终端 | |
CN113192639B (zh) | 信息预测模型的训练方法、装置、设备及存储介质 | |
CN103019929A (zh) | 计算机软件分析系统 | |
CN107463380A (zh) | 消息处理方法、装置及电子设备 | |
CN108830383A (zh) | 用于展示机器学习建模过程的方法及系统 | |
CN107329806A (zh) | 一种开发环境构建方法及装置 | |
CN112634017A (zh) | 远程开卡激活方法、装置、电子设备及计算机存储介质 | |
CN106778124A (zh) | 一种隐藏应用的使用方法以及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40016344 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |