CN114780922A - 一种勒索软件识别方法、装置、电子设备及存储介质 - Google Patents
一种勒索软件识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114780922A CN114780922A CN202210509535.6A CN202210509535A CN114780922A CN 114780922 A CN114780922 A CN 114780922A CN 202210509535 A CN202210509535 A CN 202210509535A CN 114780922 A CN114780922 A CN 114780922A
- Authority
- CN
- China
- Prior art keywords
- file
- target
- detection result
- software
- lasso
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 202
- 230000008569 process Effects 0.000 claims abstract description 148
- 238000001514 detection method Methods 0.000 claims abstract description 125
- 230000002159 abnormal effect Effects 0.000 claims abstract description 53
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 241000700605 Viruses Species 0.000 description 8
- 230000006399 behavior Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006835 compression Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 241000234295 Musa Species 0.000 description 2
- 235000018290 Musa x paradisiaca Nutrition 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 235000015122 lemonade Nutrition 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种勒索软件识别方法、装置、电子设备及存储介质,涉及计算机安全领域,方法包括:实时获取文件操作日志,并从文件操作日志中提取文件名称及进程号;对文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;对进程号对应的目标进程进行异常操作检测,生成第二检测结果;若第一检测结果为目标文件已被恶意加密和/或第二检测结果为目标进程存在异常操作,则判定目标进程属于勒索软件;可实时获取文件操作日志,并对该日志中对应的文件及进程进行检测,当发现目标文件已被恶意加密或目标进程存在异常操作时,即可判定日志对应的进程属于勒索软件,能够快速发现计算机设备中的恶意勒索加密行为,进而可提升勒索程序的识别速率。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种勒索软件识别方法、装置、电子设备及存储介质。
背景技术
勒索软件(ransomware)是一种流行的木马软件,其通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。目前,主流的勒索病毒防御方法除了对已知病毒样本进行反病毒引擎识别查杀外,主要是通过设置诱饵文件的方式对未知勒索病毒进行检测,但是这种方法存在用户误操作、用户发现时已有部分文件加密等不足,所以,高效准确的识别恶意勒索软件就显得更加重要。
发明内容
本发明的目的是提供一种勒索软件识别方法、装置、电子设备及存储介质,可实时收集计算机中的各类文件操作信息,并对信息涉及的文件及进程进行及时的检测,进而可提升勒索程序的识别速率。
为解决上述技术问题,本发明提供一种勒索软件识别方法,包括:
实时获取文件操作日志,并从所述文件操作日志中提取文件名称及进程号;
对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;
对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果;
若所述第一检测结果为所述目标文件已被恶意加密和/或所述第二检测结果为所述目标进程存在异常操作,则判定所述目标进程属于勒索软件。
可选地,所述对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,包括:
获取所述目标文件的后缀名,并判断所述后缀名的长度是否大于第一预设阈值;
若是,则生成表示所述目标文件已被恶意加密的第一检测结果;
若否,则判断所述后缀名是否属于恶意加密后缀名;
若属于,则生成表示所述目标文件已被恶意加密的第一检测结果;
若不属于,则生成表示所述目标文件未被恶意加密的第一检测结果。
可选地,在获取所述目标文件的后缀名之后,还包括:
从所述目标文件中提取待测文件魔数,并获取与所述后缀名对应的正常文件魔数;
判断所述待测文件魔数与所述正常文件魔数是否相同;
若是,则生成表示所述目标文件未被恶意加密的第一检测结果;
若否,则生成表示所述目标文件已被恶意加密的第一检测结果。
可选地,所述对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,包括:
计算所述目标文件对应的文件重合指数,并判断所述文件重合指数是否小于第二预设阈值;
若是,则生成表示所述目标文件已被恶意加密的第一检测结果;
若否,则生成表示所述目标文件未被恶意加密的第一检测结果。
可选地,所述对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果,包括:
判断所述目标进程是否存在异常操作;所述异常操作为所述目标进程在预设时间段内执行的文件操作数量大于第三预设阈值,或所述目标进程对指定日志目录中的文件执行删除操作;
若是,则生成表示所述目标进程存在异常操作的第二检测结果;
若否,则生成表示所述目标进程不存在异常操作的第二检测结果。
可选地,在从所述文件操作日志中提取文件名称及进程号之后,还包括:
获取预设勒索软件情报库,并利用所述目标进程对应的程序文件计算目标哈希值;所述预设勒索软件情报库包含有勒索软件的哈希值;
若确定所述目标哈希值存储于所述预设勒索软件情报库,则进入判定所述目标进程属于勒索软件的步骤。
可选地,在判定所述目标进程属于勒索软件之前,还包括:
获取预设白名单;所述预设白名单中存储有可信软件的哈希值;
若确定所述目标哈希值未存储于所述预设白名单,则进入判定所述目标进程属于勒索软件的步骤。
本发明还提供一种勒索软件识别装置,包括:
获取模块,用于实时获取文件操作日志,并从所述文件操作日志中提取文件名称及进程号;
恶意加密检测模块,用于对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;
异常操作检测模块,用于对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果;
判定模块,用于若所述第一检测结果为所述目标文件已被恶意加密和/或所述第二检测结果为所述目标进程存在异常操作,则判定所述目标进程属于勒索软件。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的勒索软件识别方法的步骤。
本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的勒索软件识别方法的步骤。
本发明提供一种勒索软件识别方法,包括:实时获取文件操作日志,并从所述文件操作日志中提取文件名称及进程号;对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果;若所述第一检测结果为所述目标文件已被恶意加密和/或所述第二检测结果为所述目标进程存在异常操作,则判定所述目标进程属于勒索软件。
可见,本发明首先可实时获取文件操作日志,即能够实时收集计算机设备中发生的各类文件操作对应的详细信息,能够有效覆盖该设备中的所有文件及所有操作;在得到日志后,本发明将会从中提取文件名称及进程号,其中文件名称可表明被操作的目标文件,而进程号则可表明执行文件操作的目标进程;随后,本发明将对目标文件进行恶意加密检测,以及对目标进程进行异常操作检测,当发现目标文件已被恶意加密,或目标进程存在异常操作时,即可判定目标进程属于勒索软件,能够快速发现计算机设备中发生的恶意勒索加密行为,进而可有效提升勒索程序的识别速率。本发明还提供一种勒索软件识别装置、电子设备及存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种勒索软件识别方法的流程图;
图2为本发明实施例所提供的另一种勒索软件识别方法的流程图;
图3为本发明实施例所提供的一种勒索软件识别装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,主流的勒索病毒防御方法除了对已知病毒样本进行反病毒引擎识别查杀外,主要是通过设置诱饵文件的方式对未知勒索病毒进行检测,但是这种方法存在用户误操作、用户发现时已有部分文件加密等不足,所以,高效准确的识别恶意勒索软件就显得更加重要。有鉴于此,本发明可提供一种勒索软件识别方法,可实时收集计算机中的各类文件操作信息,并对信息涉及的文件及进程进行及时的检测,进而可提升勒索程序的识别速率。请参考图1,图1为本发明实施例所提供的一种勒索软件识别方法的流程图,该方法可以包括:
S101、实时获取文件操作日志,并从文件操作日志中提取文件名称及进程号。
相关技术中,通常会采用诱饵文件来进行勒索软件检测,其中诱饵文件通常会被放在指定文件目录中,进而现有方案通常会对这一指定目录进行监控,若发现异常则可判定发现勒索软件。然而上述方式存在明显的问题,例如诱饵文件通常是在某些目录创建的一些随机文件,然而用户可能会无意修改到此类文件,进而导致误报;又例如勒索软件可能并不一开始就加密这些诱饵文件,而是先去加密其他目录,等加密到诱饵文件,即操作系统可以识别并阻断勒索进程的时候,已经有部分文件已经加密了;又例如,某些勒索软件并不会加密所有文件,而是随机选择一部分文件进行加密,此时诱饵文件存在被绕过的可能。换而言之,现有技术难以有效防治勒索软件。
而在本发明实施例首先会从系统中实时地获取文件操作日志,这一日志记录有计算机设备中发生的各类文件操作。换而言之,本发明实施例可记录计算机系统中发生的、针对每一文件的文件操作,进而能够完整覆盖所有计算机文件及文件操作,可避免现有诱饵文件防范容易导致的漏检问题;此外,由于文件操作日志时实时获取的,换而言之,本发明实施例对勒索软件的识别过程也是实时进行的,能够及时有效地发现勒索软件。需要说明的是,本发明实施例所获取到的文件操作日志包含有可表示被操作文件的信息,即文件名称,以及包含有可表示执行该文件操作的目标进程的信息,即进程号。当然,文件操作日志中还可包含其他信息,例如具体的文件操作类型、执行文件操作的用户对应的用户名、目标进程对应的image(程序文件)等,可根据实际应用需求进行设定。进一步,本发明实施例并不限定文件操作日志的获取方式,例如可直接获取Linux系统中的audit模块(审计模块)所生成的audit日志,也可以获取Linux系统中的inotify模块所监听到的文件操作信息,并生成对应的文件操作日志,当然在其他类型的操作系统中,也可采用类似的系统服务来实现上述功能。为便于实现,在本发明实施例中,可将audit模块生成的audit日志作为文件操作日志。
进一步,由于进程对应的程序文件通常具有唯一的哈希值(hash),而勒索软件也是如此,因此可提前收集现有勒索软件对应的哈希值,形成勒索软件情报库,并在获取到文件操作日志时,利用日志中涉及的目标进程对应的程序文件(image)计算目标哈希值,进而利用目标哈希值及勒索软件情报库对目标进程进行首轮检测,若发现目标哈希值存储于勒索软件情报库中,则自动判定目标进程属于勒索软件。
在一种可能的情况中,在从文件操作日志中提取文件名称及进程号之后,还可以包括:
步骤11:获取预设勒索软件情报库,并利用目标进程对应的程序文件计算目标哈希值;预设勒索软件情报库包含有勒索软件的哈希值;
步骤12:若确定目标哈希值存储于预设勒索软件情报库,则进入判定目标进程属于勒索软件的步骤。
需要说明的是,本发明实施例并不限定哈希值的计算过程,可参考哈希值的相关技术。
S102、对文件名称对应的目标文件进行恶意加密检测,生成第一检测结果。
在获取到文件操作日志之后,本发明实施例可对该日志中涉及的目标文件进行恶意加密检测,以初步确定目标进程是否为恶意进程。本发明实施例并不限定恶意加密检测的具体方式,其可以通过检测目标文件的后缀名或文件重合指数(IC,Index ofCoincidence)的方式来实现。对于后缀名,正常文件的后缀名通常不会很长,但经过恶意加密后的文件可能带有过长的后缀名,因此可通过检测后缀名的长度来确定目标文件是否被恶意加密。此外,也可额外收集现有勒索软件对应加密文件的恶意加密后缀名,并在判定目标文件的后缀属于已知的恶意加密后缀名时,判定目标文件已被恶意加密。
在一种可能的情况中,对文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,可以包括:
步骤21:获取目标文件的后缀名,并判断后缀名的长度是否大于第一预设阈值;若是,则进入步骤22;若否,则进入步骤23;
步骤22:生成表示目标文件已被恶意加密的第一检测结果;
步骤23:判断后缀名是否属于恶意加密后缀名;若属于,则进入步骤24;若不属于,则进入步骤25;
步骤24:生成表示目标文件已被恶意加密的第一检测结果;
步骤25:生成表示目标文件未被恶意加密的第一检测结果。
需要说明的是,本发明实施例并不限定第一预设阈值的具体数值,可根据实际应用需求进行设定,例如可以为10。
当然,对于部分勒索软件,其对文件进行加密后,并不修改该文件的后缀名。此时,可利用文件魔数来判定目标文件是否被加密。具体的,很多类型的文件,其数据中起始的几个字节都是固定的,这几个字节的内容通常被称为文件魔数。即,文件魔数通常与文件类型相对应,而文件类型通常由文件后缀名表示。而文件若被加密修改,其文件魔数将无法与文件类型相对应。因此,只需要获取后缀名对应的正常文件魔数,同时从目标文件中提取待测文件魔数,进而将正常文件魔数与待测文件魔数进行比较,即可确定目标文件是否被加密。
在一种可能的情况中,在获取目标文件的后缀名之后,还可以包括:
步骤31:从目标文件中提取待测文件魔数,并获取与后缀名对应的正常文件魔数;
步骤32:判断待测文件魔数与正常文件魔数是否相同;若是,则进入步骤33;若否,则进入步骤34;
步骤33:生成表示目标文件未被恶意加密的第一检测结果;
步骤34:生成表示目标文件已被恶意加密的第一检测结果。
进一步,对目标文件的恶意加密检测也可通过计算文件重合指数的方式实现。具体的,加密文件的文件重合指数通常比明文文件的文件重合指数低,例如以英文文件来说,加密文件的文件重合指数接近0.0385,而明文则接近0.0667。因此,可计算目标文件对应的文件重合指数,并判断该指数是否小于预设阈值,即可判定目标文件是否被加密。
在一种可能的情况中,对文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,可以包括:
步骤41:计算目标文件对应的文件重合指数,并判断文件重合指数是否小于第二预设阈值;若是,则进入步骤42;若否,则进入步骤43;
步骤42:生成表示目标文件已被恶意加密的第一检测结果;
步骤43:生成表示目标文件未被恶意加密的第一检测结果。
需要说明的是,本发明实施例并不限定第二预设阈值的具体数值,可根据实际应用需求进行设定。
S103、对进程号对应的目标进程进行异常操作检测,生成第二检测结果。
本发明实施例还可对目标进程进行异常操作检测。具体的,勒索软件通常会执行某些特殊操作,因此可利用这些特殊操作来判定目标进程是否属于勒索软件。例如,对于正常的文件操作而言,其通常不会在短时间内操作大量的文件,因此可统计目标进程在预设时间段内所操作的文件数量,进而在确定该文件数量大于预设阈值时,判定目标进程存在异常操作。此外,勒索软件通常会采用删除日志文件的方式来掩盖异常文件操作行为,而日志文件通常保存在计算机系统的指定目录中,因此可检测目标进程是否对指定日志目录中的文件执行了删除操作,以此确定其是否存在异常操作行为。当然,确定目标进程是否存在异常操作行为的方式还很多,本发明实施例在此不再赘述,可根据实际应用需求进行设定。
在一种可能的情况中,对进程号对应的目标进程进行异常操作检测,生成第二检测结果,包括:
步骤51:判断目标进程是否存在异常操作;异常操作为目标进程在预设时间段内执行的文件操作数量大于第三预设阈值,或目标进程对指定日志目录中的文件执行删除操作;若是,则进入步骤52;若否,则进入步骤53;
步骤52:生成表示目标进程存在异常操作的第二检测结果;
步骤53:生成表示目标进程不存在异常操作的第二检测结果。
S104、若第一检测结果为目标文件已被恶意加密和/或第二检测结果为目标进程存在异常操作,则判定目标进程属于勒索软件。
在确定目标文件已被恶意加密,或是目标进程存在异常操作时,即可判定目标进程属于勒索软件。当然,为便于及时发现勒索软件,也可为目标进程设置一个风险值,同时为每一检测项设置对应的数值。当目标进程或目标文件被一个检测项判定为异常时,便可将该检测项的数值累加至目标进程的风险值之上,进而,只要风险值达到指定阈值时,便可自动判定目标进程属于勒索软件。当然,上述数值及指定阈值可根据实际应用需求进行设定,本发明实施例在此不做限定。
进一步,考虑到部分可信软件的操作与勒索软件类似,例如正常压缩软件也会执行文件压缩操作,进而可能会产生误报。因此,在本发明实施例中,还可设置白名单,并将可信软件的哈希值保存至白名单中,进而当目标进程存在风险时,可先查找其对应的哈希值是否保存在白名单中,若是则可忽略,若否则可判定为属于勒索软件。
在一种可能的情况中,在判定目标进程属于勒索软件之前,还可以包括:
步骤61:获取预设白名单;预设白名单中存储有可信软件的哈希值;
步骤62:若确定目标哈希值未存储于预设白名单,则进入判定目标进程属于勒索软件的步骤。
基于上述实施例,本发明首先可实时获取文件操作日志,即能够实时收集计算机设备中发生的各类文件操作对应的详细信息,能够有效覆盖该设备中的所有文件及所有操作;在得到日志后,本发明将会从中提取文件名称及进程号,其中文件名称可表明被操作的目标文件,而进程号则可表明执行文件操作的目标进程;随后,本发明将对目标文件进行恶意加密检测,以及对目标进程进行异常操作检测,当发现目标文件已被恶意加密,或目标进程存在异常操作时,即可判定目标进程属于勒索软件,能够快速发现计算机设备中发生的恶意勒索加密行为,进而可有效提升勒索程序的识别速率。
下面基于具体的例子介绍上述勒索软件识别方法。请参考图2,图2为本发明实施例所提供的另一种勒索软件识别方法的流程图。本方案可分为四个模块:文件监控模块,判断模块,白名单模块和阻断模块。
1、文件监控模块
文件监控模块主要是基于linux的audit来做,通过配置适当的规则,可以监控所有的文件操作。进而通过分析对应的audit日志,可以得到文件操作的文件名、用户名、对应的命令行、进程号及进程对应的image。最重要的一点是,这些识别都是实时的。
以规则-w/-prwxa-kfile-clone为例,当配置了这个规则后,一切的文件操作都会被记录下来,并保存到/var/log/audit/audit.log日志文件中,通过分析日志文件,可以获得本发明所需的信息。
2、勒索进程判别模块
勒索进程判别模块分为六个子模块,每个模块当识别到异常时,可赋予相应的分数。当总分数达到一定的阈值后,即可将对应的进程判断为勒索进程。
Score=M1+M2+M3+M4+M5+M6,M1...M6为每个模块的分数,当分值(Score)大于等于60分时,跳出剩余子模块的判断,判断相应进程为勒索进程。
2.1、Image判断模块
采集现有的勒索软件对应的哈希值并形成勒索软件情报库,进而将利用文件监控采集到的image文件计算得到的哈希值与勒索软件情报库做对比,若匹配相同则可直接赋值M1=100分,并跳出剩余子模块的判断,直接进入到白名单模块。
2.2、判断后缀模块
正常的文件后缀长度通常不会很长,例如常见的文件后缀为doc、txt等。当文件后缀的长度大于10时,或是文件的后缀为某些已知的勒索软件加密后缀时,赋值M2=30分。
常见的一些勒索软件后缀:
lucky=lucky勒索病毒
Ransomware=v2.0勒索病毒
loop=lucky勒索病毒
SERVER=CryptFile2/CryptoMix勒索病毒
conn=lucky勒索病毒
SYSTEM=CryptFile2/CryptoMix勒索病毒
crypt=lucky勒索病毒
BACKUP=CryptFile2/CryptoMix勒索病毒
bananaCrypt=BananaCrypt勒索病毒
saturn=Saturn勒索病毒
cypher=Shifr勒索病毒变种CryptWalker
*666=GlobeImposter勒索病毒
*4444=GlobeImposter勒索病毒
*865=GlobeImposter勒索病毒
aes256=AES勒索病毒
2.3、文件魔数模块
某些勒索软件可能并不会修改文件的后缀,所以增加了判断文件魔术的模块。常见的文件都有对应的魔数,当文件魔数与文件后缀不一致时,认为是异常操作,赋值M3=30分。
常见的文件魔数:
jpg=FFD8FF
mp3=494433
mp4=6674797069736F6D
wav=57415645
doc=D0CF11E0
xls=D0CF11E0
ppt=D0CF11E0
docx=504B0304
xlsx=504B0304
pptx=504B0304
pdf=25504446
2.4、是否短时间操作大量文件
正常文件操作是不会操作大量文件的,因此在确定进程在5s内操作10个以上的文件时,赋值M4=20分。
2.5、文件重合指数
当文件的文件重合指数值小于0.45时,赋值M5=20分。
2.6、是否有删除日志文件的操作
/var/log/这一目录下有大量日志,正常的进程是不会删除这些日志文件的,当检测到进程有删除操作这些日志的操作时,有可能是勒索软件想隐藏自己的痕迹,因此可判定异常,并赋值M6=10分。
3、白名单模块
某些进程操作文件的行为可能与勒索软件类似,比如某些压缩软件。为避免误报,可将此类可信软件的哈希值保存到白名单模块中。在判别模块已经判别某个进程为疑似勒索进程后,可获取进程对应的Image文件,并计算相应的哈希值,进而与白名单中已有的hash做匹对,若不在白名单中,判别为恶意进程,进入阻断模块,进行阻断操作,反之,正常执行程序。
4、阻断模块
阻断模块会将白名单模块送来的勒索进程阻断,同时,会将勒索进程Image文件对应的hash,更新到判别模块的hash子模块中,优化判别勒索软件的速度。
下面对本发明实施例提供的勒索软件识别装置、电子设备及存储介质进行介绍,下文描述的勒索软件识别装置、电子设备及存储介质与上文描述的勒索软件识别方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的一种勒索软件识别装置的结构框图,可以包括:
获取模块301,用于实时获取文件操作日志,并从文件操作日志中提取文件名称及进程号;
恶意加密检测模块302,用于对文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;
异常操作检测模块303,用于对进程号对应的目标进程进行异常操作检测,生成第二检测结果;
判定模块304,用于若第一检测结果为目标文件已被恶意加密和/或第二检测结果为目标进程存在异常操作,则判定目标进程属于勒索软件。
可选地,恶意加密检测模块302,可以包括:
第一检测子模块,用于获取目标文件的后缀名,并判断后缀名的长度是否大于第一预设阈值;若是,则生成表示目标文件已被恶意加密的第一检测结果;若否,则进入第二检测子模块;
第二检测子模块,用于判断后缀名是否属于恶意加密后缀名;若属于,则生成表示目标文件已被恶意加密的第一检测结果;若不属于,则生成表示目标文件未被恶意加密的第一检测结果。
可选地,恶意加密检测模块302,还可以包括:
文件魔数获取子模块,用于从目标文件中提取待测文件魔数,并获取与后缀名对应的正常文件魔数;
第三检测子模块,用于判断待测文件魔数与正常文件魔数是否相同;若是,则生成表示目标文件未被恶意加密的第一检测结果;若否,则生成表示目标文件已被恶意加密的第一检测结果。
可选地,恶意加密检测模块302,可以包括:
第四检测子模块,用于计算目标文件对应的文件重合指数,并判断文件重合指数是否小于第二预设阈值;若是,则生成表示目标文件已被恶意加密的第一检测结果;若否,则生成表示目标文件未被恶意加密的第一检测结果。
可选地,异常操作检测模块303,可以包括:
异常操作检测子模块,用于判断目标进程是否存在异常操作;异常操作为目标进程在预设时间段内执行的文件操作数量大于第三预设阈值,或目标进程对指定日志目录中的文件执行删除操作;若是,则生成表示目标进程存在异常操作的第二检测结果;若否,则生成表示目标进程不存在异常操作的第二检测结果。
可选地,该装置还可以包括:
勒索软件情报库模块,用于获取预设勒索软件情报库,并利用目标进程对应的程序文件计算目标哈希值;预设勒索软件情报库包含有勒索软件的哈希值;若确定目标哈希值存储于预设勒索软件情报库,则进入判定目标进程属于勒索软件的步骤。
可选地,该装置还可以包括:
白名单模块,用于获取预设白名单;预设白名单中存储有可信软件的哈希值;若确定目标哈希值未存储于预设白名单,则进入判定目标进程属于勒索软件的步骤。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的勒索软件识别方法的步骤。
由于电子设备部分的实施例与勒索软件识别方法部分的实施例相互对应,因此电子设备部分的实施例请参见勒索软件识别方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的勒索软件识别方法的步骤。
由于存储介质部分的实施例与勒索软件识别方法部分的实施例相互对应,因此存储介质部分的实施例请参见勒索软件识别方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种勒索软件识别方法、装置、电子设备及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种勒索软件识别方法,其特征在于,包括:
实时获取文件操作日志,并从所述文件操作日志中提取文件名称及进程号;
对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;
对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果;
若所述第一检测结果为所述目标文件已被恶意加密和/或所述第二检测结果为所述目标进程存在异常操作,则判定所述目标进程属于勒索软件。
2.根据权利要求1所述的勒索软件识别方法,其特征在于,所述对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,包括:
获取所述目标文件的后缀名,并判断所述后缀名的长度是否大于第一预设阈值;
若是,则生成表示所述目标文件已被恶意加密的第一检测结果;
若否,则判断所述后缀名是否属于恶意加密后缀名;
若属于,则生成表示所述目标文件已被恶意加密的第一检测结果;
若不属于,则生成表示所述目标文件未被恶意加密的第一检测结果。
3.根据权利要求2所述的勒索软件识别方法,其特征在于,在获取所述目标文件的后缀名之后,还包括:
从所述目标文件中提取待测文件魔数,并获取与所述后缀名对应的正常文件魔数;
判断所述待测文件魔数与所述正常文件魔数是否相同;
若是,则生成表示所述目标文件未被恶意加密的第一检测结果;
若否,则生成表示所述目标文件已被恶意加密的第一检测结果。
4.根据权利要求1所述的勒索软件识别方法,其特征在于,所述对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果,包括:
计算所述目标文件对应的文件重合指数,并判断所述文件重合指数是否小于第二预设阈值;
若是,则生成表示所述目标文件已被恶意加密的第一检测结果;
若否,则生成表示所述目标文件未被恶意加密的第一检测结果。
5.根据权利要求1所述的勒索软件识别方法,其特征在于,所述对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果,包括:
判断所述目标进程是否存在异常操作;所述异常操作为所述目标进程在预设时间段内执行的文件操作数量大于第三预设阈值,或所述目标进程对指定日志目录中的文件执行删除操作;
若是,则生成表示所述目标进程存在异常操作的第二检测结果;
若否,则生成表示所述目标进程不存在异常操作的第二检测结果。
6.根据权利要求1所述的勒索软件识别方法,其特征在于,在从所述文件操作日志中提取文件名称及进程号之后,还包括:
获取预设勒索软件情报库,并利用所述目标进程对应的程序文件计算目标哈希值;所述预设勒索软件情报库包含有勒索软件的哈希值;
若确定所述目标哈希值存储于所述预设勒索软件情报库,则进入判定所述目标进程属于勒索软件的步骤。
7.根据权利要求6所述的勒索软件识别方法,其特征在于,在判定所述目标进程属于勒索软件之前,还包括:
获取预设白名单;所述预设白名单中存储有可信软件的哈希值;
若确定所述目标哈希值未存储于所述预设白名单,则进入判定所述目标进程属于勒索软件的步骤。
8.一种勒索软件识别装置,其特征在于,包括:
获取模块,用于实时获取文件操作日志,并从所述文件操作日志中提取文件名称及进程号;
恶意加密检测模块,用于对所述文件名称对应的目标文件进行恶意加密检测,生成第一检测结果;
异常操作检测模块,用于对所述进程号对应的目标进程进行异常操作检测,生成第二检测结果;
判定模块,用于若所述第一检测结果为所述目标文件已被恶意加密和/或所述第二检测结果为所述目标进程存在异常操作,则判定所述目标进程属于勒索软件。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的勒索软件识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的勒索软件识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210509535.6A CN114780922A (zh) | 2022-05-11 | 2022-05-11 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210509535.6A CN114780922A (zh) | 2022-05-11 | 2022-05-11 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114780922A true CN114780922A (zh) | 2022-07-22 |
Family
ID=82437630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210509535.6A Pending CN114780922A (zh) | 2022-05-11 | 2022-05-11 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114780922A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115828228A (zh) * | 2023-02-22 | 2023-03-21 | 北京知其安科技有限公司 | 一种验证内存马检测能力的方法、装置及电子设备 |
| CN116611066A (zh) * | 2023-07-19 | 2023-08-18 | 深圳市科力锐科技有限公司 | 勒索病毒识别方法、装置、设备及存储介质 |
-
2022
- 2022-05-11 CN CN202210509535.6A patent/CN114780922A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115828228A (zh) * | 2023-02-22 | 2023-03-21 | 北京知其安科技有限公司 | 一种验证内存马检测能力的方法、装置及电子设备 |
| CN115828228B (zh) * | 2023-02-22 | 2023-04-28 | 北京知其安科技有限公司 | 一种验证内存马检测能力的方法、装置及电子设备 |
| CN116611066A (zh) * | 2023-07-19 | 2023-08-18 | 深圳市科力锐科技有限公司 | 勒索病毒识别方法、装置、设备及存储介质 |
| CN116611066B (zh) * | 2023-07-19 | 2024-03-22 | 深圳市科力锐科技有限公司 | 勒索病毒识别方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1751649B1 (en) | Systems and method for computer security | |
| US8484737B1 (en) | Techniques for processing backup data for identifying and handling content | |
| Mbol et al. | An efficient approach to detect torrentlocker ransomware in computer systems | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| US20180114020A1 (en) | Ransomware key extractor and recovery system | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN114780922A (zh) | 一种勒索软件识别方法、装置、电子设备及存储介质 | |
| Gül et al. | A survey on anti-forensics techniques | |
| CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN107871089B (zh) | 文件防护方法及装置 | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| Čeponis et al. | Towards a robust method of dataset generation of malicious activity for anomaly-based HIDS training and presentation of AWSCTD dataset | |
| US9785775B1 (en) | Malware management | |
| Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN115630373A (zh) | 一种云服务安全分析方法、监控设备及分析系统 | |
| CN116611058A (zh) | 一种勒索病毒检测方法及相关系统 | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |