CN112287346A - 一种基于irp分析的加密勒索软件实时监测系统及方法 - Google Patents
一种基于irp分析的加密勒索软件实时监测系统及方法 Download PDFInfo
- Publication number
- CN112287346A CN112287346A CN202011278527.2A CN202011278527A CN112287346A CN 112287346 A CN112287346 A CN 112287346A CN 202011278527 A CN202011278527 A CN 202011278527A CN 112287346 A CN112287346 A CN 112287346A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- file
- irp
- encryption
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 119
- 238000000034 method Methods 0.000 title claims abstract description 86
- 230000008569 process Effects 0.000 claims abstract description 70
- 230000006870 function Effects 0.000 claims description 24
- 230000006399 behavior Effects 0.000 claims description 13
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 238000005259 measurement Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明属于加密勒索软件监测技术领域,具体涉及一种基于IRP分析的加密勒索软件实时监测系统及方法,包括下列步骤:诱饵监控;部署诱饵文件,当加密勒索软件进程试图写入诱饵文件时,立即将该进程标识为恶意并终止进程;通过文件监控和进程监控协同运作,判定行为是否为恶意加密;加密函数钩子;在系统内置的加密函数处放置钩子,捕获在加密时所使用的秘钥,当恶意加密发生时,可以根据此模块内置的数据库,找到加密时所用的对称密钥,来解密已被加密的文件。本发明结合进程的IRP特征和文件监控,做到实时识别运行中的勒索软件,可以通过其行为进行快速识别,做到了更及时的监测。本发明用于加密勒索软件的实时监测。
Description
技术领域
本发明属于加密勒索软件监测技术领域,具体涉及一种基于IRP分析的加密勒索软件实时监测系统及方法。
背景技术
网络中存在着大量的加密勒索软件,这种恶意软件可能入侵企业或个人的电脑,对电脑中重要的数据文件进行加密并勒索高昂的赎金,在没有防护软件的情况下,数据文件一旦被加密将无法被还原,受到此攻击的个人或企业都将面临严重的经济或数据损失。
现有技术存在的问题或缺陷:现有勒索软件监测机制提供实时预警效果有限,可能会导致大量文件的不可逆加密,且当用户主动对文件进行加密时,监测系统难以区分良性加密和恶意的加密,存在一定的误报问题。
发明内容
针对上述现有的监测系统难以区分良性加密和恶意的加密,存在一定的误报问题的技术问题,本发明提供了一种识别速度快、准确率高、误报率低的基于IRP分析的加密勒索软件实时监测系统及方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于IRP分析的加密勒索软件实时监测方法,包括下列步骤:
S1、诱饵监控;部署诱饵文件,当加密勒索软件进程试图写入诱饵文件时,立即将该进程标识为恶意并终止进程;
S2、通过文件监控和进程监控协同运作,判定行为是否为恶意加密;
S3、加密函数钩子;在系统内置的加密函数处放置钩子,捕获在加密时所使用的秘钥,当恶意加密发生时,可以根据此模块内置的数据库,找到加密时所用的对称密钥,来解密已被加密的文件。
所述S1中的诱饵监控自动在磁盘各个位置部署诱饵文件,当有IRP请求对应的是对诱饵文件进行的修改,诱饵监控可以立即判定该IRP请求的进程是恶意加密软件,并对该请求进行拦截和终止。
所述S2中文件监控和进程监控协同运作的方法为:
所述文件监控为:文件更改监控在文件发生修改时,通过文件修改前后的相似性度量和熵度量之间的差别,判断文件是否被加密;文件分类监控通过学习并分析用户文件行为,对数据文件进行分类,标记出有较高可能性被用户主动加密的文件;
所述进程监控为:根据进程的IRP请求特征,使用机器学习分类器对进程进行分类,并识别恶意加密进程。
所述S2中当IRP请求没有操作诱饵文件时所述文件监控和所述进程监控将协同运作,所述文件监控判断此IRP请求是否是对文件进行加密修改并对用户文件进行分类,所述进程监控根据IRP特征对进程进行分类,当文件监控判定此次IRP操作是一次加密操作,且进程监控根据IRP特征判定进程为恶意时,可以充分认定该行为为恶意加密。
所述S3中的加密函数钩子当加密行为发生时调用系统内置加密函数,并记录此次加密使用密钥,根据密钥对被恶意加密文件还原。
一种基于IRP分析的加密勒索软件实时监测系统,包括诱饵监控模块、文件监控模块、进程监控模块、加密函数钩子模块,所述诱饵监控模块通过并列关系连接有文件监控模块、进程监控模块,所述诱饵监控模块、文件监控模块、进程监控模块均通过通信连接有加密函数钩子模块。
还包括IRP记录器、IRP解析器,所述IRP记录器连接有IRP解析器,所述IRP解析器分别与诱饵监控模块、文件监控模块、进程监控模块连接。
所述加密函数钩子模块内设置有数据库,所述数据库内包含有对称密钥。
本发明与现有技术相比,具有的有益效果是:
本发明通过基于IRP分析的勒索软件监测技术,结合进程的IRP特征和文件监控,做到实时识别运行中的勒索软件,可以通过其行为进行快速识别,做到了更及时的监测,并有较高的准确率和较低的误报率,即使重要数据已经被加密也可以恢复。
附图说明
图1为本发明的流程框图;
图2为本发明的主要步骤图;
图3为本发明的结构示意图。
其中:1为诱饵监控模块,2为文件监控模块,3为进程监控模块,4为加密函数钩子模块,5为IRP记录器,6为IRP解析器,7为数据库。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于IRP分析的加密勒索软件实时监测方法,如图1、图2所示,包括下列步骤:
步骤一、诱饵监控;部署诱饵文件,当加密勒索软件进程试图写入诱饵文件时,立即将该进程标识为恶意并终止进程;
步骤二、通过文件监控和进程监控协同运作,判定行为是否为恶意加密;
步骤三、加密函数钩子;在系统内置的加密函数处放置钩子,捕获在加密时所使用的秘钥,当恶意加密发生时,可以根据此模块内置的数据库,找到加密时所用的对称密钥,来解密已被加密的文件。
进一步,步骤一中的诱饵监控自动在磁盘各个位置部署诱饵文件,当有IRP请求对应的是对诱饵文件进行的修改,诱饵监控可以立即判定该IRP请求的进程是恶意加密软件,并对该请求进行拦截和终止。
进一步,步骤二中文件监控和进程监控协同运作的方法为:
文件监控为:文件更改监控在文件发生修改时,通过文件修改前后的相似性度量和熵度量之间的差别,判断文件是否被加密;文件分类监控通过学习并分析用户文件行为,对数据文件进行分类,标记出有较高可能性被用户主动加密的文件;
进程监控为:根据进程的IRP请求特征,使用机器学习分类器对进程进行分类,并识别恶意加密进程。
进一步,步骤二中当IRP请求没有操作诱饵文件时文件监控和进程监控将协同运作,文件监控判断此IRP请求是否是对文件进行加密修改并对用户文件进行分类,进程监控根据IRP特征对进程进行分类,当文件监控判定此次IRP操作是一次加密操作,且进程监控根据IRP特征判定进程为恶意时,可以充分认定该行为为恶意加密。
进一步,步骤三中的加密函数钩子当加密行为发生时调用系统内置加密函数,并记录此次加密使用密钥,根据密钥对被恶意加密文件还原。
一种基于IRP分析的加密勒索软件实时监测系统,如图3所示,包括诱饵监控模块1、文件监控模块2、进程监控模块3、加密函数钩子模块4,诱饵监控模块1通过并列关系连接有文件监控模块2、进程监控模块3,诱饵监控模块1、文件监控模块2、进程监控模块3均通过通信连接有加密函数钩子模块4。所述诱饵监控模块1用于部署诱饵文件,当勒索软件试图写入此类文件时,可立即标识该进程为恶意;所述文件监控模块2用于文件发生修改时判断文件是否被加密并对用户文件行为进行学习;所述进程监控模块3根据进程的IRP请求特征,判定进程行为是否恶意;所述加密函数钩子模块4用于在系统内置加密函数处放置钩子,捕获文件加密时所使用的秘钥。
进一步,还包括IRP记录器5、IRP解析器6,IRP记录器5连接有IRP解析器6,IRP解析器6分别与诱饵监控模块1、文件监控模块2、进程监控模块3连接。当进程尝试读取/修改文件而产生I/O操作时,会产生对应的IRP请求,每个请求对应着一次文件的修改,IRP记录器5可以捕获并记录IRP请求,并将其发送给IRP解析器6进行解析。
进一步,加密函数钩子模块4内设置有数据库7,数据库7内包含有对称密钥。当恶意加密发生时,可以根据加密函数钩子模块4内置的数据库7,找到加密时所用的对称密钥,来解密已被加密的文件。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于IRP分析的加密勒索软件实时监测方法,其特征在于:包括下列步骤:
S1、诱饵监控;部署诱饵文件,当加密勒索软件进程试图写入诱饵文件时,立即将该进程标识为恶意并终止进程;
S2、通过文件监控和进程监控协同运作,判定行为是否为恶意加密;
S3、加密函数钩子;在系统内置的加密函数处放置钩子,捕获在加密时所使用的秘钥,当恶意加密发生时,可以根据此模块内置的数据库,找到加密时所用的对称密钥,来解密已被加密的文件。
2.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法,其特征在于:所述S1中的诱饵监控自动在磁盘各个位置部署诱饵文件,当有IRP请求对应的是对诱饵文件进行的修改,诱饵监控可以立即判定该IRP请求的进程是恶意加密软件,并对该请求进行拦截和终止。
3.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法,其特征在于:所述S2中文件监控和进程监控协同运作的方法为:
所述文件监控为:文件更改监控在文件发生修改时,通过文件修改前后的相似性度量和熵度量之间的差别,判断文件是否被加密;文件分类监控通过学习并分析用户文件行为,对数据文件进行分类,标记出有较高可能性被用户主动加密的文件;
所述进程监控为:根据进程的IRP请求特征,使用机器学习分类器对进程进行分类,并识别恶意加密进程。
4.根据权利要求3所述的一种基于IRP分析的加密勒索软件实时监测方法,其特征在于:所述S2中当IRP请求没有操作诱饵文件时所述文件监控和所述进程监控将协同运作,所述文件监控判断此IRP请求是否是对文件进行加密修改并对用户文件进行分类,所述进程监控根据IRP特征对进程进行分类,当文件监控判定此次IRP操作是一次加密操作,且进程监控根据IRP特征判定进程为恶意时,可以充分认定该行为为恶意加密。
5.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法,其特征在于:所述S3中的加密函数钩子当加密行为发生时调用系统内置加密函数,并记录此次加密使用密钥,根据密钥对被恶意加密文件还原。
6.一种基于IRP分析的加密勒索软件实时监测系统,其特征在于:包括诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)、加密函数钩子模块(4),所述诱饵监控模块(1)通过并列关系连接有文件监控模块(2)、进程监控模块(3),所述诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)均通过通信连接有加密函数钩子模块(4)。
7.根据权利要求6所述的一种基于IRP分析的加密勒索软件实时监测系统,其特征在于:还包括IRP记录器(5)、IRP解析器(6),所述IRP记录器(5)连接有IRP解析器(6),所述IRP解析器(6)分别与诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)连接。
8.根据权利要求6所述的一种基于IRP分析的加密勒索软件实时监测系统,其特征在于:所述加密函数钩子模块(4)内设置有数据库(7),所述数据库(7)内包含有对称密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278527.2A CN112287346A (zh) | 2020-11-16 | 2020-11-16 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278527.2A CN112287346A (zh) | 2020-11-16 | 2020-11-16 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112287346A true CN112287346A (zh) | 2021-01-29 |
Family
ID=74398219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011278527.2A Pending CN112287346A (zh) | 2020-11-16 | 2020-11-16 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112287346A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113626811A (zh) * | 2021-07-19 | 2021-11-09 | 武汉大学 | 基于诱饵文件的勒索软件早期检测方法及系统 |
| US20230063792A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Encryption monitor register and system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN107580699A (zh) * | 2015-05-11 | 2018-01-12 | 高通股份有限公司 | 用于特定于行为的致动以实时白名单化的方法和系统 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| CN111277539A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
-
2020
- 2020-11-16 CN CN202011278527.2A patent/CN112287346A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107580699A (zh) * | 2015-05-11 | 2018-01-12 | 高通股份有限公司 | 用于特定于行为的致动以实时白名单化的方法和系统 |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN111277539A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器勒索病毒防护系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| 于慧等: "混合加密型勒索软件密文还原方法研究", 《计算机工程与应用》, no. 10, pages 101 - 107 * |
| 陈政等: "基于动态符号执行的勒索软件检测方法", 《计算机工程》, no. 06, pages 110 - 116 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113626811A (zh) * | 2021-07-19 | 2021-11-09 | 武汉大学 | 基于诱饵文件的勒索软件早期检测方法及系统 |
| US20230063792A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Encryption monitor register and system |
| US11954337B2 (en) * | 2021-08-26 | 2024-04-09 | International Business Machines Corporation | Encryption monitor register and system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112287346A (zh) | 一种基于irp分析的加密勒索软件实时监测系统及方法 | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| CN102184371B (zh) | Sql语句的数据库操作权限检测方法与系统 | |
| CN107169368A (zh) | 一种保证信息安全的计算机系统 | |
| CN113157652A (zh) | 一种基于用户操作审计的用户行画像和异常行为检测方法 | |
| CN113438249A (zh) | 一种基于策略的攻击溯源方法 | |
| CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| CN117880155A (zh) | 一种通信数据追踪系统 | |
| CN109657490A (zh) | 一种办公文件透明加解密方法及系统 | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| CN117370972A (zh) | 一种隐私数据的入侵检测方法及装置 | |
| CN116881948A (zh) | 一种基于通用数据库的数据加密管理系统及其方法 | |
| CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 | |
| CN115643045A (zh) | 一种触发式爬虫搜检预警系统 | |
| KR102221726B1 (ko) | Edr 단말 장치 및 방법 | |
| CN114186222A (zh) | 一种勒索病毒的防护方法及系统 | |
| KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
| CN118138316B (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
| CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 | |
| CN118381672B (zh) | 基于人工智能的数据安全动态防护方法及系统 | |
| CN116483290B (zh) | 一种数据存储装置的远程监控系统及其方法 | |
| US20230342042A1 (en) | Securing a data storage device against rogue hosts | |
| CN118368151B (zh) | 基于机器学习的网络安全威胁检测方法及系统 | |
| US20240289476A1 (en) | Unauthorized access detection device and unauthorized access detection method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210129 |
|
| RJ01 | Rejection of invention patent application after publication |