CN112560031A - 一种勒索病毒检测方法及系统 - Google Patents

Abstract

本发明公开了一种勒索病毒检测方法及系统。解决了传统勒索病毒检测识别基于已知恶意行为特征库，无法有效识别多变的勒索病毒的问题。方法包括对文件及目录进行监控，提取行为特征，进行异常检测，若存在异常，判断对应应用为勒索病毒，对勒索病毒进行处理。本发明能够利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行应用为检测勒索病毒。

Description

一种勒索病毒检测方法及系统

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种勒索病毒检测方法及系统。

背景技术

传统的勒索病毒检测识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前应用是否正常，是否存在风险性或已知攻击行为。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则黑名单，而规则黑名单往往又是已知威胁的整理集合，导致目前传统勒索病毒安全策略规则长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其特征已知后方能更新相关安全策略，从而对其进行相关检出和告警。因此，当前的勒索病毒检测识别方法无法有效识别多变的勒索病毒。

发明内容

本发明主要是解决了传统勒索病毒检测识别基于已知恶意行为特征库，无法有效识别多变的勒索病毒的问题，提供了一种勒索病毒检测方法及系统。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种勒索病毒检测方法，包括以下步骤：

S1.对文件及目录进行监控，记录对文件或目录的操作行为；

S2.分析操作行为提取行为特征；

S3.对诱饵文件进行异常检测，

对操作方法进行异常检测，

通过恶意特征库匹配进行异常检测，

通过正常行为特征库匹配进行异常检测，

输出各异常检测结果；

S4. 异常检测存在异常，判断对应应用为勒索病毒；

S5.对勒索病毒进行处理。

本发明能够利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行为应用为勒索病毒。

通过对回收站、其他常规目录进行监控，获取后续的行为特征。监控的指标有：操作应用、操作方法、操作对象,操作行为记录采用格式为：时间 操作应用 操作方法 操作对象。分析操作行为的动态特征以及静态特征，如hash值、操作方法（读取、写入、删除等），从而获取该操作应用的行为特征。所有行为特征记录在一个文件上，其中在该文件上的记录格式与操作行为记录格式一样。

绝大部分勒索病毒会删除原始文件导致回收站目录出现大量文件现象，勒索病毒在加密文件过程中会将所有加密的文件后缀名进行修改，且修改后的后缀名相同，以及勒索病毒在加密文件的过程中会在所有被加密的目录新增特定的文件，该文件称为勒索信息文件，勒索信息文件的文件内容、大小、文件名在所有目录中都相同。由此这里的操作方法包括回收站骤量输入、批量文件名修改、相同文件新增。

对进行勒索病毒进行处理包括对勒索病毒进行进行异常处理、拦截和告警。

作为一种优选方案，步骤S3中对诱饵文件进行异常检测过程包括：

S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；

S302.分析行为特征，是否存在对诱饵文件操作的应用；

S303.若存在，确定对诱饵文件操作的应用，输出W_f0=1，反之W_f0=0。1表示该操作应用为勒索病毒，0表示该操作应用为正常应用。勒索病毒通过目录遍历的方式对文件进行加密操作。在遍历的过程中，会先遍历系统盘之外的盘符，同时具有ASCII码较小的目录名或文件名会优先加密。通过设定诱饵文件为最小数字或ASCII较小的字符，同时将诱饵文件置于非系统盘下ASCII小的目录名下的目录，从而达到文件诱饵的效果。通过分析行为特征，查找是否有对诱饵文件进行操作的日志记录。

作为一种优选方案，步骤S3中对操作方法进行异常检测包括回收站输入异常检测，回收站输入异常检测过程包括：

S311.分析行为特征，提取回收站骤量输入相关值；

S312.进行回收站骤量输入检测计算，

T_fx{(R,H)}

其中，R为被监控的回收站目录，H为统计周期，T_fx为时间H内，R目录内新增文件个数；周期可以人工调整。这里回收站骤量输入检测计算是筛选出相同操作应用的记录。

S313.进行异常比较，

W_f1{(T_fx,N)}

其中，N为指定的阈值；

当T_fx > N 时，则W_f1{(T_fx,N)} = 1,认为删除相关文件的操作应用为勒索病毒。

当T_fx < N 时，则W_f1{(T_fx,N)} = 0。则认为为正常操作。

本方案异常比较为W_f1算法，将R目录内新增文件个数与N进行比较。

作为一种优选方案，步骤S3中对操作方法进行异常检测包括文件名修改异常检测，文件名修改异常检测过程包括：

S321. 分析行为特征，提取批量文件名修改相关值；

S322.进行批量文件名修改经常计算，

Q_fx{(F_x,M,H)}

其中F_x为被监控的目录集合，M为后缀名，Q_fx为时间H内，F_x目录内新增特定后缀名M的文件数量；被监控的目录集合可以人工调整。

S323.进行异常比较，

W_f2{(Q_fx,N)}

当Q_fx > N 时，则W_f2{(Q_fx,N)} = 1,认为修改相关后缀名的操作应用为勒索病毒。

当Q_fx < N 时，则W_f2{(Q_fx,N)} = 0。则认为为正常操作。

本方案异常比较为W_f2算法，将新增特定后缀名M的文件数量与N进行比较。W_f2计算是选出相同操作应用的记录数量。

作为一种优选方案，步骤S3中对操作方法进行异常检测包括文件新增异常检测，文件新增异常检测过程包括：

S331.分析行为特征，提取相同文件新增相关值；

S332.进行相同文件新增计算，

P_fx{(F_x,S,H)}

其中F_x为被监控的目录集合，S为新增文件名，P_fx为时间H内，F_x目录内新增文件名S的文件数量；

S333.进行异常比较，

W_f3{(P_fx,N)}

当P_fx > N 时，则W_f3{(P_fx,N)} = 1，认为新增相关文件的操作应用为勒索病毒。

当P_fx < N 时，则W_f3{(P_fx,N)} = 0；则认为为正常操作。

本方案异常比较为W_f3算法，将新增文件名S的文件数量与N进行比较。

作为一种优选方案，步骤S3中通过恶意特征库匹配进行异常检测的过程包括：

S341.设置静态的恶意特征库R(r₁,r₂,r₃...r_n)，其中r₁…r_n为已收集到的勒索病毒应用的hash值；

S342.生成应用的静态特征，

Y_fx{(a)}

其中a为操作应用路径，通过Y_fx生成操作应用的hash值；

S343.进行异常比较，

W_f4{(Y_fx,R(r₁,r₂,r₃...r_n))}

当Y_fx ∈ R(r₁,r₂,r₃...r_n) 时，则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 1,从而认为该操作应用为勒索病毒。

反之则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 0。认为是正常应用。

本方案异常比较为W_f4算法，判断每个操作应用的hash值是否属于恶意特征库R(r₁,r₂,r₃...r_n)。

作为一种优选方案，步骤S3中通过正常行为特征库匹配进行异常检测的过程包括：

S351. 通过自动化学习获取在正常模式下的操作域集合，

M_fx{(a_x,b_y,c_z)}

其中a为操作应用，b为对文件的操作行为类型， c为被操作文件,x为正常模式下操作应用数，y为正常模式下操作行为类型数，z为正常模式下被操作文件数，(a_x,b_y,c_z)为正常模式下操作域；操作行为类型集合如删除、读取、写入、复制等。对常见的文件及其操作应用和行为进行统计分析，最终获得一个正常模式下的操作域集合M_fx。

S352.分析行为特征，对应用操作行为进行特征提取，获取操作行为的操作域集合，

N{(a_i,b_j,c_k)}

其中i为记录的操作行为中操作应用数，j为记录的操作行为中操作行为类型数，k为记录的操作行为中被操作文件数；

S353.进行异常比较，

W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}

当 (a_i,b_j,c_k) ∈ M_fx{(a_x,b_y,c_z)}时，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=0，认为是正常操作应用。

反之，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=1。认为该操作应用为勒索病毒。

本方案异常比较为W_f5算法，判断N{(a_i,b_j,c_k)}的各个子项目是否匹配M_fx{(a_x,b_y,c_z)}子项。

作为一种优选方案，步骤S4的具体过程包括：

若W_f0、W_f1、W_f2、W_f3、W_f4、W_f5中的值为1，判断该异常检测对应的操作应用为勒索病毒，反之则为正常应用。

一种勒索病毒检测系统，包括，

诱饵单元，制作诱饵文件并将诱饵文件在非系统盘下进行布置；

文件监控单元，监控诱饵文件、常规文件及目录，记录对文件或目录的操作行为；

行为特征提取单元，分析记录的操作行为，提取行为特征；

匹配单元，基于异常比较算法，对诱饵文件操作、回收站骤量输入、文件名批量修改、新增文件、匹配恶意特征库、异常行为的应用进行异常检测，输出检测结果；

判断单元，对于匹配单元的检测结果进行判定，若其中一个异常检测存在异常，判断对应应用为勒索病毒；

告警单元，对被判定为勒索病毒的应用进行告警提示或拦截；

文件监控单元与行为特征提取单元连接，行为特征提取单元与匹配单元连接，匹配单元与判断单元连接，判断单元与告警单元连接。

因此，本发明的优点是：利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行为是勒索病毒行为。

附图说明

图1是本发明的一种流程示意图；

图2是本发明的一种结构框示图。

1-诱饵单元 2-文件监控单元 3-行为特征提取单元 4-匹配单元 5-判断单元 6-告警单元。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：

本实施例一种勒索病毒检测方法，如图1所示，包括以下步骤：

S1.对文件及目录进行监控，记录对文件或目录的操作行为；

S2.分析操作行为提取行为特征；

S3.对诱饵文件进行异常检测，

对操作方法进行异常检测，

通过恶意特征库匹配进行异常检测，

通过正常行为特征库匹配进行异常检测，

输出各异常检测结果；

S4. 异常检测存在异常，判断对应应用为勒索病毒；

S5.对进行勒索病毒进行处理。

步骤S1中，具体的是对诱饵文件、特定文件目录如回收站，以及设定常规的文件及目录进行实时监控。其中诱饵文件为在诱饵文件异常检测过程中要预先进行制作并安置，在监控进行时作为监控对象。监控的指标有：操作应用、操作方法、操作对象，对操作行为记录一般采用格式为：操作时间、操作应用、操作方法、操作对象。

步骤S2中分析操作行为的动态特征以及静态特征，如hash值、操作方法（读取、写入、删除等），从而获取该操作应用的行为特征。提取的行为特征都记录在一个特定的文件里，记录的格式为：时间 操作应用 操作方法 操作对象。

步骤S3中通过分析获得的行为特征，同时对诱饵文件进行异常检测、对操作方法进行异常检测、通过恶意特征库匹配进行异常检测、

通过正常行为特征库匹配进行异常检测，并输出个异常检测的结果。

基于勒索病毒通过目录遍历的方式对文件进行加密操作。在遍历的过程中，会先遍历系统盘之外的盘符，同时具有ASCII码较小的目录名或文件名会优先加密，设计了对诱饵文件进行异常检测。

对诱饵文件进行异常检测过程包括：

S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；

S302.分析行为特征，进行异常检测，是否存在对诱饵文件操作的应用；

S303.若存在，确定对诱饵文件操作的应用，输出W_f0=1，反之W_f0=0。

绝大部分勒索病毒会删除原始文件导致回收站目录出现大量文件的现象，因此存在回收站输入异常检测。

回收站输入异常检测过程包括：

S311.分析行为特征，提取回收站骤量输入相关值；

S312.进行回收站骤量输入检测计算，

T_fx{(R,H)}

其中，R为被监控的回收站目录，H为统计周期，T_fx为时间H内，R目录内新增文件个数；

S313.进行异常比较，

W_f1{(T_fx,N)}

其中，N为指定的阈值；

当T_fx > N 时，则W_f1{(T_fx,N)} = 1,

当T_fx < N 时，则W_f1{(T_fx,N)} = 0。

勒索病毒在加密文件的过程中，会将所有被加密的文件后缀名进行修改，且修改后的后缀都相同。因此存在文件名修改异常检测。

文件名修改异常检测过程包括：

S321. 分析行为特征，提取批量文件名修改相关值；

S322.进行批量文件名修改经常计算，

Q_fx{(F_x,M,H)}

其中F_x为被监控的目录集合，M为后缀名，Q_fx为时间H内，F_x目录内新增特定后缀名M的文件数量；

S323.进行异常比较，

W_f2{(Q_fx,N)}

当Q_fx > N 时，则W_f2{(Q_fx,N)} = 1,

当Q_fx < N 时，则W_f2{(Q_fx,N)} = 0。

勒索病毒在加密文件的过程中，为达到最终勒索从而获利的目的，会在所有被加密的目录新增特定的文件，一般该文件被称为勒索信息文件，上面提供勒索病毒作者的联系方式等。该勒索信息文件文件内容、大小、文件名在所有目录中都相同。因此存在文件新增异常检测。

文件新增异常检测过程包括：

S331.分析行为特征，提取相同文件新增相关值；

S332.进行相同文件新增计算，

P_fx{(F_x,S,H)}

其中F_x为被监控的目录集合，S为新增文件名，P_fx为时间H内，F_x目录内新增文件名S的文件数量；

S333.进行异常比较，

W_f3{(P_fx,N)}

当P_fx > N 时，则W_f3{(P_fx,N)} = 1，

当P_fx < N 时，则W_f3{(P_fx,N)} = 0。

通过恶意特征库匹配进行异常检测的过程包括：

S341.设置静态的恶意特征库R(r₁,r₂,r₃...r_n)，其中r₁…r_n为已收集到的勒索病毒应用的hash值；

S342.生成应用的静态特征，

Y_fx{(a)}

其中a为操作应用路径，通过Y_fx生成操作应用的hash值；

S343.进行异常比较，

W_f4{(Y_fx,R(r₁,r₂,r₃...r_n))}

当Y_fx ∈ R(r₁,r₂,r₃...r_n) 时，则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 1,

反之则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 0。

通过正常行为特征库匹配进行异常检测的过程包括：

S351. 通过自动化学习获取在正常模式下的操作域集合，

M_fx{(a_x,b_y,c_z)}

其中a为操作应用，b为对文件的操作行为类型， c为被操作文件,x为正常模式下操作应用数，y为正常模式下操作行为类型数，z为正常模式下被操作文件数，(a_x,b_y,c_z)为正常模式下操作域；

S352.分析行为特征，对应用操作行为进行特征提取，获取操作行为的操作域集合，

N{(a_i,b_j,c_k)}

其中i为记录的操作行为中操作应用数，j为记录的操作行为中操作行为类型数，k为记录的操作行为中被操作文件数；

S353.进行异常比较，

W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}

当 (a_i,b_j,c_k) ∈ M_fx{(a_x,b_y,c_z)}时，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=0，

反之，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=1。

步骤S4中，若W_f0、W_f1、W_f2、W_f3、W_f4、W_f5中任一个为1，判断对应的操作应用为勒索病毒，反之则为正常应用。由步骤S5对勒索病毒应用进行异常处理、拦截或告警。反之则正常运行通过。

以下再以一个实际例子对本方法进行具体的说明。

实际例子中，数据库服务器的系统Windows Server,共有C、D、E三个盘符，其上安装有SQL SERVER数据库，word应用及word文档，安全客户端安装在该系统上，采用本发明方法对勒索病毒检测。

业务正常运行情况下，SQL server应用对数据库进行读写操作，word应用对word文档进行各类编辑。

实际例子中用户未自定义统计周期H、T_fx，Q_fx,P_fx对应阈值n、N，则采用默认值，即H为默认间隔30s，n为默认阈值20个文件，N默认值为10。该n针对不同算法可自定义为不同数值。

步骤S1对诱饵文件、特定文件目录如回收站，以及设定常规的文件及目录进行实时监控。诱饵文件为在诱饵文件异常检测过程中预先进行制作并安置。实际例子中，根据盘符的ASCII码大小，将诱饵文件命名为111.txt，并放置在D盘下的多个目录。同时在D盘下新建目录明为1的文件夹，同样在该目录放置111.txt诱饵文件。

通过实时监控，记录对文件或目录的操作行为，监控的指标有：操作时间、操作应用、操作行为、操作对象。则监控记录格式如：12:00 word.exe 写入 test.docx文件。在常规的监控中，会记录下多条类似监控记录。

步骤S2，根据步骤S1中获取的大量监控记录，提取文件或目录的操作行为的行为特征，包括动态特征和静态特征。所有行为特征都实时记录在check.log上，其中记录格式为：12:00 word.exe 写入 test.docx文件为例。

步骤S3同时进行对诱饵文件进行异常检测、对操作方法进行异常检测、通过恶意特征库匹配进行异常检测、通过正常行为特征库匹配进行异常检测。

对诱饵文件进行异常检测过程包括：

S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；该步骤在实时检测前预先进行，在步骤S1中已经进行描述。

S302.提取监控记录check.log，以诱饵文件名111.txt为关键词，对check.log进行分析，分析是否有对诱饵文件进行操作的记录。

S303.若存在，确定对诱饵文件操作的应用，输出W_f0=1，反之W_f0=0。

回收站输入异常检测过程包括：

S311. 提取监控记录check.log进行分析，如果存在大量删除文件的操作，被删除的文件会进入回收站中，check.log中应会存在记录，提取相关记录。本实际例子假设回收站中存在记录：

9:00:00 xxx.exe 新增 1.txt 至 D:\$RECYCLE.BIN

9:00:01 xxx.exe 新增 2.txt 至D:\$RECYCLE.BIN

……

9:00:12 xxx.exe 新增 11.txt 至D:\$RECYCLE.BIN

从记录中可以看出，删除文件是在短时间内，大量不同文件名的文件进入D:\$RECYCLE.BIN（回收站目录）。

S312.可以统计以时间周期H=30s,以“新增”和“D:\$RECYCLE.BIN”为关键词，相同操作应用的被删除文件数量n，

n= T_fx{(R,H)}

其中R=D:\$RECYCLE.BIN，H=30s。

S313.根据获得的被删除文件数量n进行异常比较，采用算法W_f1，

W_f1{(T_fx,N)}

当T_fx > 10 时，则W_f1{(T_fx,N)} = 1,

当T_fx < 10时，则W_f1{(T_fx,N)} = 0。

这里T_fx > 10，W_f1{(T_fx,N)} = 1，由步骤S6判断删除相关文件的操作应用xxx.exe为勒索病毒。

文件名修改异常检测过程包括：

S321. 提取监控记录check.log进行分析，在加密文件过程中，如果所有被加密的文件后缀名进行修改，且修改的后缀名都相同，check.log中会存记录，提取相关记录。本实际例子假设存在相应记录：

10:00:01 xxx.exe 重命名 text.docx 至 text.docx.1qaz2wsx

10:00:02 xxx.exe 重命名test2.docx 至 test2.docx.1qaz2wsx

从记录中可以看出，对原始文件重命名的操作，操作应用均为xxx.exe，同时重命名的文件名后缀名都是相同的，即为1qaz2wsx。

S322.则统计以时间周期H=30s，以后缀名1qaz2wsx为关键词，相同操作应用的修改后缀名文件的数目n，

n= Q_fx{(F_x,M,H)}

其中F_x为监控目录，M为1qaz2wsx。

S323.根据获得的修改后缀名文件的数目n进行异常比较，采用算法W_f2，

W_f2{(Q_fx,N)}

当Q_fx > N 时，则W_f2{(Q_fx,N)} = 1, 由步骤S6判断删除相关文件的操作应用xxx.exe为勒索病毒。

当Q_fx < N 时，则W_f2{(Q_fx,N)} = 0。由步骤S6判断为正常应用。

文件新增异常检测过程包括：

S331. 提取监控记录check.log进行分析，在机密文件的过程中，新增特定的文件，文件内容、大小、文件名在所有目录中相同，check.log中会存记录，提取相关记录。本实际例子假设存在相应记录：

11:00:00 xxx.exe 新增 readme.txt

11:00:01 xxx.exe 新增 readme.txt

从记录中可以看出，在不同时间，xxx.exe将新增多个相同的文件readme.txt。

S332.则统计以时间周期H=30s，以“新增”和“readme.txt”为关键词，相同操作应用的新增readme.txt文件的数目n，

n= P_fx{(F_x,S,H)}

其中F_x为监控目录，S为readme.txt。

S333.根据获得的新增readme.txt文件的数目n进行异常比较，擦用算法W_f3，

W_f3{(P_fx,N)}

当P_fx > N 时，则W_f3{(P_fx,N)} = 1，由步骤S6判断新增相关文件的操作应用xxx.exe为勒索病毒。

当P_fx < N 时，则W_f3{(P_fx,N)} = 0。由步骤S6判断为正常应用。

通过恶意特征库匹配进行异常检测的过程包括：

S341.设置静态的恶意特征库R(r₁,r₂,r₃...r_n)，其中r₁…r_n为已收集到的勒索病毒应用的hash值；

S342. 提取监控记录check.log，根据操作应用行为特征记录生成应用的静态特征，

Y_fx{(a)}

其中a为操作应用路径，通过Y_fx生成操作应用的hash值；

S343.进行异常比较，

W_f4{(Y_fx,R(r₁,r₂,r₃...r_n))}

当Y_fx ∈ R(r₁,r₂,r₃...r_n) 时，则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 1, 由步骤S6判断相应操作应用为勒索病毒。反之则认为是正常应用。

通过正常行为特征库匹配进行异常检测的过程包括：

S351.安全客户端本身自动化分析，即对常见的文件及其操作应用和行为进行统计分析，得到正常模式下的操作域集合，

M_fx{(a_x,b_y,c_z)}

如本实际例子中提到的sql server应用程序即sqlserver.exe,文件操作程序word.exe。根据实际的使用情况我们知道，sqlserver.exe会对数据库文件进行操作，而数据库文件的后缀是固定的，即.mdf。因此针对数据库文件的文件操作域，a1 =sqlserver.exe，b1 = 写入，c1 = *.mdf。而word.exe会对word文件进行操作，而word文件的后缀是固定的，即docs或doc。因此针对word文件的文件操作域a2 = word.exe, b2 = 写入, c2 = *.doc ,c3 = doc。得到M_fx{(a1,b1,c1),(a2,b2,c2),(a2,b2,c3)}。用通俗的语言表达该操作域的策略即：

Doc或docs后缀的文件只能由word.exe进行操作，且操作行为为写入，当有其他的操作应用如xxx.exe想操作时，将会进行拦截或告警。或者当word.exe想对doc,docs后缀的文件进行删除时，由于删除的操作行为不在我的文件操作域之内，同样将会进行告警或拦截。

S352. 提取监控记录check.log进行分析，本实际例子中假设check.log包括记录如下：

9:00:00 xxx.exe 新增 1.txt 至 D:\$RECYCLE.BIN (回收站目录)

9:00:01 xxx.exe 新增 2.txt 至D:\$RECYCLE.BIN（回收站目录）

10:00:01 xxx.exe 重命名 text.docx 至 text.docx.1qaz2wsx

10:00:02 xxx.exe 重命名test2.docx 至 test2.docx.1qaz2wsx

11:00:00 xxx.exe 新增 readme.txt

11:00:01 xxx.exe 新增 readme.txt

12:00:02 word.exe 写入 test.docx

12:00:03 word.exe 写入 aa.txt

12:00:04 xxx.exe 写入test.docx

根据该记录，操作应用有xxx.exe,word.exe，即a1 = xxx.exe,a2 = word.exe，操作对象有c1 = 1.txt,c2 = 2.txt,c3=text.docx,c4=test2.docx,c5= readme.txt,c6 =aa.txt,操作行为有b1 = 新增 ，b2 = 重命名 ，b3 = 写入。

由此得到操作行为的操作域集合

N{(a1,b1,c1),(a1,b1,c2),(a1,b2,c3),(a1,b2,c4),(a1,b1,c5),(a2,b3,c3),(a2,b3,c6),(a1,b3,c6)}

S353.进行异常比较，采用算法W_f5,

W_f5{( N{(a1,b1,c1),(a1,b1,c2),(a1,b2,c3),(a1,b2,c4),(a1,b1,c5),(a2,b3,c3),(a2,b3,c6),(a1,b3,c6)}, M_fx{(a1,b1,c1),(a2,b2,c2),(a2,b2,c3)})}

判断N{(a_i,b_j,c_k)}的各个子项目是否匹配M_fx{(a_x,b_y,c_z)}子项，

当 (a_i,b_j,c_k) ∈ M_fx{(a_x,b_y,c_z)}时，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=0，由步骤S6判断对应的操作应用为正常应用。

反之，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=1。由步骤S6判断对应的操作应用xxx.exe为勒索病毒。

S5.对被判定为勒索病毒的应用进行告警提示或拦截。

本实施例还包括采用上述方法的一种勒索病毒检测系统，如图2所示，包括，

诱饵单元1，制作诱饵文件并将诱饵文件在非系统盘下进行布置；

文件监控单元2，监控诱饵文件、常规文件及目录，记录对文件或目录的操作行为；

行为特征提取单元3，分析记录的操作行为，提取行为特征；

匹配单元4，基于异常比较算法，对诱饵文件操作、回收站骤量输入、文件名批量修改、新增文件、匹配恶意特征库、异常行为的应用进行异常检测，输出检测结果；

判断单元5，对于匹配单元的检测结果进行判定，若其中一个异常检测存在异常，判断对应应用为勒索病毒；

告警单元6，对被判定为勒索病毒的应用进行告警提示或拦截；

文件监控单元与行为特征提取单元连接，行为特征提取单元与匹配单元连接，匹配单元与判断单元连接，判断单元与告警单元连接。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了诱饵单元、文件监控单元、行为特征提取单元、匹配单元等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。

Claims (9)

1.一种勒索病毒检测方法，其特征在于：包括以下步骤：

S1.对文件及目录进行监控，记录对文件或目录的操作行为；

S2.分析操作行为提取行为特征；

S3.对诱饵文件进行异常检测，

对操作方法进行异常检测，

通过恶意特征库匹配进行异常检测，

通过正常行为特征库匹配进行异常检测，

输出各异常检测结果；

S4.异常检测存在异常，判断对应操作应用为勒索病毒；

S5.对勒索病毒进行处理。

2.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对诱饵文件进行异常检测过程包括：

S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；

S302.分析行为特征，是否存在对诱饵文件操作的应用；

S303.若存在，确定对诱饵文件操作的应用，输出W_f0=1，反之W_f0=0。

3.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括回收站输入异常检测，回收站输入异常检测过程包括：

S311.分析行为特征，提取回收站骤量输入相关值；

S312.进行回收站骤量输入检测计算，

T_fx{(R,H)}

其中，R为被监控的回收站目录，H为统计周期，T_fx为时间H内，R目录内由相同操作应用新增文件个数；

S313.进行异常比较，

W_f1{(T_fx,N)}

其中，N为指定的阈值；

当T_fx > N 时，则W_f1{(T_fx,N)} = 1,

当T_fx < N 时，则W_f1{(T_fx,N)} = 0。

4.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括文件名修改异常检测，文件名修改异常检测过程包括：

S321. 分析行为特征，提取批量文件名修改相关值；

S322.进行批量文件名修改经常计算，

Q_fx{(F_x,M,H)}

其中F_x为被监控的目录集合，M为后缀名，Q_fx为时间H内，F_x目录内新增特定后缀名M的文件数量；

S323.进行异常比较，

W_f2{(Q_fx,N)}

当Q_fx > N 时，则W_f2{(Q_fx,N)} = 1,

当Q_fx < N 时，则W_f2{(Q_fx,N)} = 0。

5.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括文件新增异常检测，文件新增异常检测过程包括：

S331.分析行为特征，提取相同文件新增相关值；

S332.进行相同文件新增计算，

P_fx{(F_x,S,H)}

其中F_x为被监控的目录集合，S为新增文件名，P_fx为时间H内，F_x目录内新增文件名S的文件数量；

S333.进行异常比较，

W_f3{(P_fx,N)}

当P_fx > N 时，则W_f3{(P_fx,N)} = 1，

当P_fx < N 时，则W_f3{(P_fx,N)} = 0。

6.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中通过恶意特征库匹配进行异常检测的过程包括：

S341.设置静态的恶意特征库R(r₁,r₂,r₃...r_n)，其中r₁…r_n为已收集到的勒索病毒应用的hash值；

S342.生成应用的静态特征，

Y_fx{(a)}

其中a为操作应用路径，通过Y_fx生成操作应用的hash值；

S343.进行异常比较，

W_f4{(Y_fx,R(r₁,r₂,r₃...r_n))}

当Y_fx ∈ R(r₁,r₂,r₃...r_n) 时，则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 1,

反之则W_fx{(Y_fx,R(r₁,r₂,r₃...r_n))} = 0。

7.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中通过正常行为特征库匹配进行异常检测的过程包括：

S351. 通过自动化分析获取在正常模式下的操作域集合，

M_fx{(a_x,b_y,c_z)}

其中a为操作应用，b为对文件的操作行为类型， c为被操作文件,x为正常模式下操作应用数，y为正常模式下操作行为类型数，z为正常模式下被操作文件数，(a_x,b_y,c_z)为正常模式下操作域；

S352.分析行为特征，对应用操作行为进行特征提取，获取操作行为的操作域集合，

N{(a_i,b_j,c_k)}

其中i为记录的操作行为中操作应用数，j为记录的操作行为中操作行为类型数，k为记录的操作行为中被操作文件数；

S353.进行异常比较，

W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}

当 (a_i,b_j,c_k) ∈ M_fx{(a_x,b_y,c_z)}时，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=0，

反之，则W_f5{( N{(a_i,b_j,c_k)}, M_fx{(a_x,b_y,c_z)})}=1。

8.根据权利要求2-7任一项所述的一种勒索病毒检测方法，其特征是步骤S4的具体过程包括：

若W_f0、W_f1、W_f2、W_f3、W_f4、W_f5中的值为1，判断该异常检测对应的操作应用为勒索病毒，反之则为正常应用。

9.一种勒索病毒检测系统，采用权利要求1-8任一项中的方法，其特征在于：包括，

诱饵单元，制作诱饵文件并将诱饵文件在非系统盘下进行布置；

文件监控单元，监控诱饵文件、常规文件及目录，记录对文件或目录的操作行为；

行为特征提取单元，分析记录的操作行为，提取行为特征；

匹配单元，基于异常比较算法，对诱饵文件操作、回收站骤量输入、文件名批量修改、新增文件、匹配恶意特征库、异常行为的应用进行异常检测，输出检测结果；

判断单元，对于匹配单元的检测结果进行判定，若其中一个异常检测存在异常，判断对应应用为勒索病毒；

告警单元，对被判定为勒索病毒的应用进行告警提示或拦截；

文件监控单元与行为特征提取单元连接，行为特征提取单元与匹配单元连接，匹配单元与判断单元连接，判断单元与告警单元连接。

Images