CN113626811A - 基于诱饵文件的勒索软件早期检测方法及系统 - Google Patents
基于诱饵文件的勒索软件早期检测方法及系统 Download PDFInfo
- Publication number
- CN113626811A CN113626811A CN202110812059.0A CN202110812059A CN113626811A CN 113626811 A CN113626811 A CN 113626811A CN 202110812059 A CN202110812059 A CN 202110812059A CN 113626811 A CN113626811 A CN 113626811A
- Authority
- CN
- China
- Prior art keywords
- file
- bait
- folder
- software
- mru
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 claims abstract description 116
- 230000008569 process Effects 0.000 claims abstract description 86
- 238000012544 monitoring process Methods 0.000 claims abstract description 53
- 230000008859 change Effects 0.000 claims abstract description 27
- 230000006399 behavior Effects 0.000 claims description 87
- 230000002787 reinforcement Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 4
- 230000003068 static effect Effects 0.000 abstract description 15
- 230000000694 effects Effects 0.000 abstract description 11
- 238000012360 testing method Methods 0.000 abstract description 2
- 238000013461 design Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000004579 scanning voltage microscopy Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了基于诱饵文件的勒索软件早期检测方法及系统,其中方法包括:首先从文件名、文件内容等角度设计诱饵文件,在勒索软件最先访问的文件夹中部署静态诱饵,在当前用户最近访问过的文件夹中部署动态诱饵;实时监控与用户最近访问文件夹有关的进程事件;根据用户最近访问文件夹的变化情况实时地增加或删除动态诱饵,并更新诱饵监控列表;若事件是写入或删除已部署的诱饵文件,则认为该事件来自于勒索软件;若可疑事件的目标对象不是诱饵文件,则根据当前文件事件的可疑程度更新对相关进程的恶意程度评分,将超过阈值的进程标记为勒索软件。通过测试发现,本发明对未知勒索软件的检测准确率均为100%,且早期检测效果好。
Description
技术领域
本发明涉及软件安全技术领域,具体涉及一种基于诱饵文件的勒索软件早期检测方法及系统。
背景技术
勒索软件(Ransomware)是一种通过锁定操作系统或加密用户数据等方式限制用户访问设备或数据文件,并以此向用户勒索赎金的恶意软件。随着网络的飞速发展,勒索软件已经具有高对抗和目标精准化的特性。如何及时且准确地检测勒索软件,以将用户或企业的数据或财产损失降至最低,已成为行业内的研究热点。
针对勒索软件的检测方法可以分为静态特征分析、传统动态行为监控和基于诱饵的检测三类。静态特征分析指提取勒索软件样本的二进制文件中包含的特征信息,并利用这些静态信息构建勒索软件样本的特征库,最后与待检测样本进行特征匹配,以此来识别勒索软件。但目前的静态特征分析技术存在无法适应勒索软件更新速度、无法对抗恶意软件对抗技术的问题,因此对于新型或变种勒索软件的检测效果较差,检测的准确性较低。
动态行为监控指在沙箱或真实计算机中执行勒索软件样本,并分析其行为特征。聚焦于样本运行时的具体行为,并以此构建出勒索软件的特征模型来动态识别勒索软件。传统的动态行为监控技术主要关注勒索软件的文件访问行为和系统API调用行为,但需要捕获足够多的勒索软件运行信息才能触发报警条件,导致其检测不够及时,用户仍会遭受一定程度的损失,且难以消除正常加密和压缩软件对检测结果的干扰。
目前学术与产业界主要采用动态行为监控技术检测勒索软件,CryptoDrop方法从文件扩展名修改、文件内容相似度变化以及文件香农熵值变化三个方面对勒索软件行为进行建模,并在检测过程中对待检测进程在这三个方面的行为分别进行评分并汇总,最后将评分高于某一阈值的进程认定为勒索软件。RansomWall方法首先通过静态特征分析过滤出可疑的样本,随后通过底层驱动监控样本的文件读写行为、文件遍历以及写入文件内容的熵值大小等文件行为并构造了随机森林、SVM、逻辑回归和梯度树增强四种有监督分类器来识别勒索软件,实验证明梯度树增强算法的检测效果较好,但在静态分析阶段可能难以过滤出使用代码加壳或混淆技术的勒索软件,导致该方法整体漏报率上升。
在勒索软件检测领域,Unveil是首次提出的一种诱饵文件设计方法,该方法首先将诱饵文件分为文档、密钥和证书、压缩文件以及多媒体四种文件类型。然后通过谷歌搜索查询500个英文单词并获取到10万条英文句子,随之将所有句子进行分词和去重构成单词词库,最后随机从词库中选择单词构成诱饵文件的文件名及文件内容。然而该文献只说明了设计方法,未指出如何部署诱饵文件。Kumar M S等人提出将诱饵文件部署在用户的桌面和文档文件夹、磁盘根目录以及网络驱动器中,并将诱饵文件名的首字符设定为“!”。然而该方法的部署位置较少,且诱饵特征过于明显,存在被攻击者猜测的可能性。
综上可以看出,传统的静态特征分析和动态行为监控均存在不足,现有基于诱饵的检测方式也难以覆盖勒索软件文件访问的多样性,且往往采用静态部署诱饵文件,但新型勒索软件可能采取模式匹配方式对抗诱饵文件,从而导致目前检测方法的检测准确率偏低。
发明内容
本发明基于现有技术中勒索软件检测方法的局限性,提出了一种基于诱饵文件和进程文件行为的勒索软件早期检测方法及系统。该方法首先将诱饵文件部署到勒索软件最先可能访问的文件夹中(常用文件夹),同时在当前用户最近访问的文件夹中动态部署诱饵文件,通过监控对诱饵文件的可疑文件访问,以此来实现早期检测的目的。另外,针对非诱饵文件发起可疑文件行为的进程也会被监控,并进行恶意程度的评分,超过阈值的进程将会被认定为勒索软件。解决了现有技术中检测准确率偏低的技术问题。
为了解决上述技术问题,本发明第一方面提供了一种基于诱饵文件的勒索软件早期检测方法,包括:
设计并生成诱饵文件;
通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
使用文件过滤驱动技术从操作系统内核层监控文件事件;
将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
在一种实施方式中,所述方法还包括:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
在一种实施方式中,进程针对非诱饵文件的可疑文件行为包括写入高熵值内容、覆盖原文件、删除文件、目录遍历以及写入不同文件。
在一种实施方式中,设计并生成诱饵文件,包括:
使用生成对抗网络和强化学习技术自动生成真实可信的诱饵文件文件名,并从文件数量配置、文件类型配置、文件内容填充以及文件元数据配置设计诱饵文件。
在一种实施方式中,根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件,包括:
将当前MRU文件所在的文件夹作为初始位置进行诱饵部署;
在检测过程中实时检测为新增MRU文件和移除MRU文件两种操作,对于新增的MRU文件,判断该文件夹内是否已经部署有诱饵文件,如果没有,则在该文件夹内部署诱饵;对于移除的MRU文件,判断它所在的文件夹内是否仍有MRU文件,如果没有,则将该文件夹内的诱饵移除。
基于同样的发明构思,本发明第二方面提供了一种基于诱饵文件的勒索软件早期检测系统,包括:
诱饵文件生成模块,用于设计并生成诱饵文件;
注册表事件监控模块,用于通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
文件事件监控模块,用于使用文件过滤驱动技术从操作系统内核层监控文件事件;
诱饵部署模块,用于将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
勒索软件判定模块,用于根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
在一种实施方式中,所述系统还包括文件行为检测模块,用于:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
本发明提供的一种基于诱饵文件的勒索软件早期检测方法,首先设计并生成诱饵文件;并分别通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,使用文件过滤驱动技术从操作系统内核层监控文件事件;然后将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;最后根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
由于本发明提供的方法,将生成的诱饵文件静态部署在常用文件夹,并可以根据监控到的软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件,采用了动静态结合的方式来部署诱饵文件,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。可在勒索软件刚开始甚至尚未开始加密用户文件时就能进行检测,大大提高了检测的准确性以及检测效果。
进一步地,采用基于文件行为的检测方法通过实时监控系统中各进程的文件行为,并更新其恶意评分,可以作为不依赖诱饵文件的补充检测方式,进一步改善了检测效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中检测系统的整体结构图。
图2是本发明实施例中诱饵文件名的生成流程图。
图3是本发明实施例中诱饵文件的部署流程图。
图4是本发明实施例中针对诱饵文件的可疑行为检测图。
具体实施方式
本发明涉及一种基于诱饵文件和进程文件行为的勒索软件早期检测方法及系统。该方法包括:首先从文件名、文件内容等角度设计诱饵文件,在勒索软件最先访问的文件夹中部署静态诱饵,在当前用户最近访问过的文件夹中部署动态诱饵;实时监控与用户最近访问文件夹有关的进程事件;根据用户最近访问文件夹的变化情况实时地增加或删除动态诱饵,并更新诱饵监控列表;若事件是写入或删除已部署的诱饵文件,则认为该事件来自于勒索软件;若可疑事件的目标对象不是诱饵文件,则根据当前文件事件的可疑程度更新对相关进程的恶意程度评分,将超过阈值的进程标记为勒索软件。通过测试发现,本发明对未知勒索软件的检测准确率均为100%,且早期检测效果好。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本实施例提供了一种基于诱饵文件的勒索软件早期检测方法,包括:
设计并生成诱饵文件;
通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
使用文件过滤驱动技术从操作系统内核层监控文件事件;
将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
具体来说,本申请在部署诱饵文件时,除了将诱饵文件部署在常用目录内,还会根据MCU(最近使用)目录的变化在运行过程中动态添加或删除诱饵文件。并根据监控的文件事件,来检测进程针对诱饵文件的访问行为。
在一种实施方式中,所述方法还包括:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
为了进一步提高检测效果,本申请还监控进程针对非诱饵文件的可疑文件行为,并对每种可疑文件行为设定评分规则。
在一种实施方式中,进程针对非诱饵文件的可疑文件行为包括写入高熵值内容、覆盖原文件、删除文件、目录遍历以及写入不同文件。
在一种实施方式中,设计并生成诱饵文件,包括:
使用生成对抗网络和强化学习技术自动生成真实可信的诱饵文件文件名,并从文件数量配置、文件类型配置、文件内容填充以及文件元数据配置设计诱饵文件。
在一种实施方式中,根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件,包括:
将当前MRU文件所在的文件夹作为初始位置进行诱饵部署;
在检测过程中实时检测为新增MRU文件和移除MRU文件两种操作,对于新增的MRU文件,判断该文件夹内是否已经部署有诱饵文件,如果没有,则在该文件夹内部署诱饵;对于移除的MRU文件,判断它所在的文件夹内是否仍有MRU文件,如果没有,则将该文件夹内的诱饵移除。
基于同样的发明构思,本发明还提供了一种与实施例一中基于诱饵文件的勒索软件早期检测方法对应的系统,具体参见实施例二。
实施例二
本实施例提供了基于诱饵文件的勒索软件早期检测系统,包括:
诱饵文件生成模块,用于设计并生成诱饵文件;
注册表事件监控模块,用于通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
文件事件监控模块,用于使用文件过滤驱动技术从操作系统内核层监控文件事件;
诱饵部署模块,用于将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
勒索软件判定模块,用于根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
在一种实施方式中,所述系统还包括文件行为检测模块,用于:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
请参见图1,为本发明实施例中检测系统的整体结构图。
诱饵文件生成模块、诱饵文件部署模块和勒索软件判定模块构成诱饵部署与检测模块,用于在系统中的关键位置部署诱饵文件,并检测对诱饵文件的可疑访问行为,任何对诱饵文件进行写入或删除的进程都被认定为勒索软件;
注册表事件监控模块和文件事件监控模块构成进程事件监控模块,用于监控记录系统中所有进程产生的各类事件,并将过滤后的事件发送至诱饵部署与检测模块以及动态行为检测模块进行后续的分析检测;
文件行为检测模块,用于分析系统中各进程的文件行为,并根据每种文件行为的可疑程度对进程的恶意性进行评分,评分超过设定阈值的进程将被判定为勒索软件进程。
其中诱饵生成模块从文件命名、文件数量配置、文件类型配置、文件内容填充以及文件元数据配置等方面来设计诱饵文件,特别地,基于生成对抗网络和强化学习技术自动生成真实可信的诱饵文件文件名;诱饵部署模块一方面将诱饵文件静态部署在磁盘根目录以及勒索软件偏好的且与具体系统无关的特殊位置,另一方面在运行时根据进程事件监控模块传来的事件信息检测MRU(最近使用)文件夹的变化情况,并动态地新增或删除诱饵文件;勒索软件判定模块则是接收来自进程事件监控模块的文件事件信息,当检测到针对诱饵文件的写入和删除操作时,判定为勒索软件攻击。
进程事件监控模块负责对系统中各进程产生的进程事件进行实时监控,并将过滤后的事件发送至诱饵部署与检测模块和文件行为检测模块,进行后续的分析检测,包括注册表事件监控模块和文件事件监控模块。注册表事件监控模块通过监控Windows注册表事件来获取软件级MRU目录的变化;文件事件监控模块使用文件过滤驱动技术来从操作系统内核层监控文件事件,包括系统MRU保存目录内的创建和删除事件、针对诱饵文件的写入和删除事件、以及系统中所有的写入、删除和打开事件。
文件行为检测模块用于度量可疑文件行为和计算进程的恶意评分,根据进程事件监控模块传递的文件事件,对写入高熵值内容、覆盖原文件、删除文件、目录遍历以及写入不同文件等5种可疑文件行为进行检测和评分,对于评分超过设定阈值的进程,判定为勒索软件进程。
本发明提出了一种基于诱饵文件和文件行为的勒索软件早期检测方法及系统,能够准确并及时地检测出勒索软件,保护用户的数据和财产安全。具体来说,本发明具有以下优势:
1)动静态结合部署诱饵文件,通过实时跟踪MRU文件变化,动态地新增或删除诱饵文件。确保可以及时检测勒索软件,减少用户的损失。
2)基于诱饵的检测方法的早期检测效果最好,可在勒索软件刚开始甚至尚未开始加密用户文件时就能进行检测。
3)基于文件行为的检测方法通过实时监控系统中各进程的文件行为,并更新其恶意评分,可以作为不依赖诱饵文件的补充检测方式。
4)实验结果表明,两种检测方法对未知的勒索软件的检测率均为100%。
下面结合附图对各模块进行详细介绍与说明:
1、诱饵部署与检测模块:主要负责设计并在系统中的关键位置部署诱饵文件。诱饵文件指的是刻意伪造用于引诱攻击者的文件或数据。模块检测对诱饵文件的可疑访问行为,任何对诱饵文件进行写入或删除的进程都被认定为勒索软件。该模块可进一步分为诱饵文件生成模块、诱饵文件部署模块和勒索软件判定模块。
诱饵文件生成模块,为了吸引勒索软件,提高诱饵文件的真实性。本发明从文件命名、文件数量配置、文件类型配置、文件内容填充以及文件元数据配置等方面来设计诱饵文件。文件命名需要尽可能和正常文件名相似。为此,按照文件类型对真实文件名样本库分类,得到各类型诱饵文件的文件名数据集。如图2所示,在构造诱饵文件名时,本发明结合使用生成对抗网络和强化学习技术,生成器和判别器分别使用循环神经网络和卷积神经网络。生成器的输入为真实文件名数据集,输出为诱饵文件名。判别器则使用真实文件名数据集和生成器输出的数据作为输入进行训练,输出作为奖励。通过强化学习中的策略梯度方法来更新生成器的参数,实现梯度从判别器到生成器的回传。对于文件内容设计,则是首先根据文件类型填充与之相匹配的文件头部,然后根据文件类型填充随机数据。文件访问权限等元数据信息的配置则是首先将创建者配置为系统当前用户,并按照“创建日期<修改日期<=访问日期<当前日期”的逻辑条件配置文件时间。
诱饵文件部署模块,如图3所示,诱饵文件的部署方式包括静态部署和动态部署两部分。(勒索软件的遍历方式)在静态部署方法中,本发明在检测前便将诱饵文件部署在检测系统的磁盘根目录以及勒索软件偏好的且与具体系统无关的特殊位置,因此无论勒索软件的遍历方式如何,都会最先访问诱饵文件所在的文件夹,保证了检测方法的早期检测效果。
部分勒索软件会优先访问MRU(Most Recently Used,用户最近访问过)文件夹,且该目录是动态变化的,仅靠静态部署难以覆盖。因此本发明提出动态部署诱饵文件的方法,首先将当前MRU文件所在的文件夹作为初始位置进行诱饵部署,随后在检测过程中实时检测为新增MRU文件和移除MRU文件两种操作。对于新增的MRU文件,判断该文件夹内是否已经部署了诱饵文件,如果没有则在该文件夹内部署诱饵。对于移除的MRU文件,判断它所在的文件夹内是否仍有MRU文件,如果没有则将该文件夹内的诱饵移除。通过动静态部署相结合,确保可以及时检测到勒索软件的行为。
勒索软件判定模块,当诱饵部署完毕后,需要对针对诱饵文件的可疑行为进行检测,以此来识别勒索软件。如图4所示,目前勒索软件主要有3种加密方式,分别是密文覆盖原文、新建密文并删除原文以及新建密文并重写原文。因此,勒索软件针对诱饵文件的文件行为主要有读取文件、写入文件和删除文件3类。为减少杀毒软件和用户误操作造成的误报,本发明通过检测针对诱饵文件的写入和删除事件来识别勒索软件。
2、事件进行实时监控,并将过滤后事件发送至诱饵部署与检测模块以及动态行为检测模块进行后续的分析检测。由图1可知,事件监控的事件类型主要为注册表事件与文件事件,其中注册表事件主要与软件级MRU变化相关,而文件事件则与系统级MRU变化、诱饵文件行为检测以及可疑文件行为检测有关。
注册表事件监控,通过监控Windows注册表事件来监控软件级MRU保存目录的变化,并将变化情况反馈至后续的诱饵部署与检测模块,以便根据MRU变化情况完成诱饵的动态部署。
文件事件监控,通过文件过滤驱动从操作系统内核层监控文件事件。一方面,监控系统级MRU保存目录变化和针对诱饵文件的写入和删除事件,并传递给诱饵部署与检测模块,作为动态部署诱饵文件和识别勒索软件的依据;另一方面,监控系统中所有的写入文件、删除文件以及打开文件事件,并传递给动态行为检测模块以检测进程的可疑文件行为。
3、文件行为检测模块:文件行为检测模块负责分析系统中各进程的文件行为,并根据每种文件行为的可疑程度对每个进程的恶意性进行评分,最后将高评分进程标识为勒索软件。本发明总结了5种可疑文件行为,分别是写入高熵值内容、覆盖原文件、删除文件、目录遍历以及写入不同文件,每种可疑文件行为的评分取值范围为[0,1]。其中,写入内容熵值越高,评分t1越接近1;修改内容比例越高,评分t2越接近1;删除文件评分t3为1;文件夹内访问文件占比越高,评分t4越接近1;写入不同文件的频率越快,评分t5越接近1。当检测到进程P对于文件F的访问行为时,相应ti值的计算方式如下:
a)文件写入行为:首先根据写入内容熵值计算t1,然后更新P对F写入内容的总大小,并计算t2值;最后更新P写入不同文件的频率,并计算t5值;
b)文件打开行为:更新P已打开的且与F同路径下的文件总数,并计算t4值;
c)文件删除行为:将t3值设定为1;
当计算出ti值后,按照各ti值权重w1=0.9,w2=1.0,w3=0.6,w4=1.0,w5=1.0计算进程评分,并将评分超过设定阈值得进程P标识为勒索软件。
本发明首先根据目前相关研究在诱饵设计与部署方面的缺陷,提出了一套在勒索软件检测领域中的诱饵文件设计与部署方法。其次,为了解决在少数情形下基于诱饵的检测方法可能失效或无法及时检测到勒索软件的问题,又提出了一种补充检测方法。最后通过实时监控系统中各进程的文件行为更新其恶意评分,并将评分超过设定阈值的进程认定为勒索软件。
实验结果表明,两种方法对未知勒索软件的检测准确率均为100%,且早期检测效果均较好。在早期检查效果比较上,基于诱饵的检测方法整体上可最先发现勒索软件,但基于文件行为的检测方法在检测某些勒索软件家族时的早期检测效果更好,因此可作为前者的补充检测方法。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.基于诱饵文件的勒索软件早期检测方法,其特征在于,包括:
设计并生成诱饵文件;
通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
使用文件过滤驱动技术从操作系统内核层监控文件事件;
将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
3.如权利要求2所述的方法,其特征在于,进程针对非诱饵文件的可疑文件行为包括写入高熵值内容、覆盖原文件、删除文件、目录遍历以及写入不同文件。
4.如权利要求1所述的方法,其特征在于,设计并生成诱饵文件,包括:
使用生成对抗网络和强化学习技术自动生成真实可信的诱饵文件文件名,并从文件数量配置、文件类型配置、文件内容填充以及文件元数据配置设计诱饵文件。
5.如权利要求1所述的方法,其特征在于,根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件,包括:
将当前MRU文件所在的文件夹作为初始位置进行诱饵部署;
在检测过程中实时检测为新增MRU文件和移除MRU文件两种操作,对于新增的MRU文件,判断该文件夹内是否已经部署有诱饵文件,如果没有,则在该文件夹内部署诱饵;对于移除的MRU文件,判断它所在的文件夹内是否仍有MRU文件,如果没有,则将该文件夹内的诱饵移除。
6.基于诱饵文件的勒索软件早期检测系统,其特征在于,包括:
诱饵文件生成模块,用于设计并生成诱饵文件;
注册表事件监控模块,用于通过监控Windows注册表事件获取软件级MRU文件夹的变化情况,其中,MRU文件夹为最近使用文件夹;
文件事件监控模块,用于使用文件过滤驱动技术从操作系统内核层监控文件事件;
诱饵部署模块,用于将生成的诱饵文件部署在常用文件夹,并根据软件级MRU文件夹的变化情况在MRU文件夹动态部署诱饵文件;
勒索软件判定模块,用于根据监控的文件事件,检测针对诱饵文件的访问行为,当检测到进程针对诱饵文件的访问行为为写入和删除操作时,则判定为勒索软件攻击。
7.如权利要求6所述的系统,其特征在于,所述系统还包括文件行为检测模块,用于:
分析系统中进程针对非诱饵文件的可疑文件行为,对针对非诱饵文件的可疑文件行为设定进程的恶意性评分规则;
根据监控的文件事件和设定的恶意性评分规则,对进程进行评分;
将评分超出阈值的进程判定为勒索软件攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110812059.0A CN113626811A (zh) | 2021-07-19 | 2021-07-19 | 基于诱饵文件的勒索软件早期检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110812059.0A CN113626811A (zh) | 2021-07-19 | 2021-07-19 | 基于诱饵文件的勒索软件早期检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113626811A true CN113626811A (zh) | 2021-11-09 |
Family
ID=78380096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110812059.0A Pending CN113626811A (zh) | 2021-07-19 | 2021-07-19 | 基于诱饵文件的勒索软件早期检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113626811A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114416668A (zh) * | 2022-03-29 | 2022-04-29 | 杭州默安科技有限公司 | 一种pkg诱饵文件生成方法和系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
| KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
| CN110826070A (zh) * | 2019-11-12 | 2020-02-21 | 深信服科技股份有限公司 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
| CN111639336A (zh) * | 2020-04-16 | 2020-09-08 | 中国科学院信息工程研究所 | 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法 |
| CN112287346A (zh) * | 2020-11-16 | 2021-01-29 | 山西三友和智慧信息技术股份有限公司 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
| US20210182392A1 (en) * | 2019-12-17 | 2021-06-17 | Rangone, LLC | Method for Detecting and Defeating Ransomware |
-
2021
- 2021-07-19 CN CN202110812059.0A patent/CN113626811A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| KR20190080446A (ko) * | 2017-12-28 | 2019-07-08 | 숭실대학교산학협력단 | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 |
| CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
| CN110826070A (zh) * | 2019-11-12 | 2020-02-21 | 深信服科技股份有限公司 | 一种诱饵文件的隐藏方法、装置、电子设备及存储介质 |
| US20210182392A1 (en) * | 2019-12-17 | 2021-06-17 | Rangone, LLC | Method for Detecting and Defeating Ransomware |
| CN111639336A (zh) * | 2020-04-16 | 2020-09-08 | 中国科学院信息工程研究所 | 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法 |
| CN112287346A (zh) * | 2020-11-16 | 2021-01-29 | 山西三友和智慧信息技术股份有限公司 | 一种基于irp分析的加密勒索软件实时监测系统及方法 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨铮等: "一种基于诱饵文件的勒索软件及时检测方法", 《武汉大学学报(理学版)》, vol. 66, no. 5, 21 September 2020 (2020-09-21), pages 473 - 482 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114416668A (zh) * | 2022-03-29 | 2022-04-29 | 杭州默安科技有限公司 | 一种pkg诱饵文件生成方法和系统 |
| CN114416668B (zh) * | 2022-03-29 | 2022-07-08 | 杭州默安科技有限公司 | 一种pkg诱饵文件生成方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10977370B2 (en) | Method of remediating operations performed by a program and system thereof | |
| US11507663B2 (en) | Method of remediating operations performed by a program and system thereof | |
| Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
| US8756693B2 (en) | Malware target recognition | |
| US10685112B2 (en) | Machine learning model for malware dynamic analysis | |
| EP3885951B1 (en) | Method of remediating operations performed by a program and system thereof | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| CN103065094A (zh) | 用于检测目标为计算机引导过程的恶意软件的系统和方法 | |
| WO2011018271A1 (en) | Malware detection | |
| Gül et al. | A survey on anti-forensics techniques | |
| CN109388538A (zh) | 一种基于内核的文件操作行为监控方法及装置 | |
| CN107729752A (zh) | 一种勒索软件防御方法及系统 | |
| CN107688743A (zh) | 一种恶意程序的检测分析方法及系统 | |
| Eskandari et al. | To incorporate sequential dynamic features in malware detection engines | |
| CN109639726A (zh) | 入侵检测方法、装置、系统、设备及存储介质 | |
| Alazab et al. | Effective digital forensic analysis of the NTFS disk image | |
| US11822666B2 (en) | Malware detection | |
| CN113626811A (zh) | 基于诱饵文件的勒索软件早期检测方法及系统 | |
| Lourenço et al. | Catching web crawlers in the act | |
| Lin et al. | Three‐phase behavior‐based detection and classification of known and unknown malware | |
| Ramesh et al. | Integrated malware analysis using markov based model in machine learning | |
| CN115001763A (zh) | 钓鱼网站攻击检测方法、装置、电子设备及存储介质 | |
| CN111639336A (zh) | 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法 | |
| Kaur et al. | Detection of malware of code clone using string pattern back propagation neural network algorithm | |
| DE102005029887A1 (de) | Integritätsgeschützter Datenträger |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |