CN115238275A - 一种基于安全态势感知的勒索软件检测方法及系统 - Google Patents
一种基于安全态势感知的勒索软件检测方法及系统 Download PDFInfo
- Publication number
- CN115238275A CN115238275A CN202210670762.7A CN202210670762A CN115238275A CN 115238275 A CN115238275 A CN 115238275A CN 202210670762 A CN202210670762 A CN 202210670762A CN 115238275 A CN115238275 A CN 115238275A
- Authority
- CN
- China
- Prior art keywords
- software
- access
- risk
- unit
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims abstract description 26
- 230000007123 defense Effects 0.000 claims abstract description 6
- 238000013527 convolutional neural network Methods 0.000 claims description 19
- 238000012549 training Methods 0.000 claims description 9
- 238000011156 evaluation Methods 0.000 claims description 8
- 238000013377 clone selection method Methods 0.000 claims description 7
- 230000001960 triggered effect Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000010367 cloning Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 3
- 210000000987 immune system Anatomy 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 230000035772 mutation Effects 0.000 claims description 3
- 238000012502 risk assessment Methods 0.000 claims description 3
- 238000004148 unit process Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 238000000638 solvent extraction Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000032823 cell division Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/20—Education
- G06Q50/205—Education administration or guidance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明公开了一种基于安全态势感知的勒索软件检测方法及系统,所述检测系统包括:网络检测模块,用于对来自不信任网络的链接、网页和软件进行常规勒索软件检测和变种勒索软件检测;服务器防御模块,包括智能化划分单元和安全策略单元,所述智能化划分单元用于对服务器系统中存储的文件和安装的软件进行分类,所述安全策略单元接收所述智能化划分单元的划分结果并进行处理。本发明提供了基于安全态势感知的勒索软件检测方法及系统,执行陌生操作时,网络检测模块对目标访问地址进行检测,安全应用协议单元被触发,若再次确定进入,则在访问时将通过风险访问追踪单元生成风险访问日志,记录进程的一系列信息,以确保及时发现安全隐患。
Description
技术领域
本发明涉及通信和访问安全技术领域,具体来说涉及一种基于安全态势感知的勒索软件检测方法及系统。
背景技术
数据的重要性不言而喻,网络犯罪分子利用技术手段挟持用户数据,以向个人或组织敲诈勒索钱财,该方式效率高,获利快。而且网络犯罪分子可以进行无差别攻击,任何组织和个人都可能成为勒索软件攻击的目标。对那些拥有敏感数据的企业和机构,它们更有意愿支付赎金,这也使得这些企业和机构成为勒索软件的首要攻击对象。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。企业为恢复业务运行支付赎金,还会带来直接的财务影响。受害企业可能会严重退步或者完全关闭。
随着对勒索软件的进一步研究发现,越来越多的勒索软件为逃避现有的勒索软件检测方法,衍生出了许多未知特征的变种勒索软件,加大了对勒索软件的检测难度。为了保障财产的安全以及正常使用,需要对勒索软件及时检测、及时发现,保障系统的安全稳定地运行,运用多种检测方式对软件进行检测,规避陌生软件、网址等隐藏不安全数据对系统造成的破坏。
发明内容
本发明的目的是提供一种基于安全态势感知的勒索软件检测方法及系统,旨在对操作系统在网络层,服务器层和应用层存在的勒索软件风险进行检测、防御和评估,全面的安全态势感知系统避免了操作系统受勒索软件的攻击而造成的财产损失。
为了实现上述目的,本发明提供如下技术方案:一种基于安全态势感知的勒索软件检测系统,所述检测系统包括:
网络检测模块,用于对来自不信任网络的链接、网页和软件进行常规勒索软件检测和变种勒索软件检测;
服务器防御模块,包括智能化划分单元和安全策略单元,所述智能化划分单元用于对服务器系统中存储的文件和安装的软件进行分类,所述安全策略单元接收所述智能化划分单元的划分结果并进行处理;
应用协议模块,预设有访问风险评估单元,所述访问风险评估单元包括安全应用协议单元和风险访问追踪单元,其中,所述安全应用协议单元用于用户操作时,发出弹窗进行二次确认,风险访问追踪单元用于记录、追踪和监控陌生进程的一系列访问和控制操作。
作为优选,所述网络检测模块内预设有卷积神经网络模型以及克隆选择算法模型,卷积神经网络模型用于常规勒索软件检测分类;克隆选择算法模型用于进行变种勒索软件检测分类。
作为优选,所述网络检测模块包括如下运行步骤:
步骤一:对链接、网页和软件的特征进行提取、并通过预训练的卷积神经网络进行特征训练分类:勒索软件、常规软件,其中,勒索软件被系统拒绝访问;
步骤二:根据卷积神经网络中报告的各种勒索软件信息,进行特征提取和预训练,对常规软件再次提取特征;
步骤三:克隆选择算法模型进行特征训练分类;
1)变种勒索软件,变种勒索软件被系统拒绝访问,并对网络上的其他系统输送该变种勒索软件特征;
2)常规软件,常规软件类则允许访问系统。
作为优选,所述步骤三中,所述变种勒索软件的检测方法如下:
S1:首先通过克隆选择算法模型构造记忆单元实现对变种勒索软件的全局与局部搜索平衡;
S2:对已知勒索软件类的特征进行提取,将特征与卷积神经网络模型中免疫系统的数据进行一一对应,对抗体之间的关系进行线性分析,得到目标函数;
S3:对抗体进行克隆、变异、选择等一系列操作,得到满足目标函数的其他特征变量、并计算待识别勒索软件与得到的特征集之间的相关性,对待识别勒索软件分类,得到不同的勒索软件变异类。
作为优选,所述智能化划分单元方法如下:
身份验证:执行零信任原则,对每个试图访问服务器系统的软件在被授予访问控制权限之前经过严格的身份验证,以确保风险被及时感知;
风险评估:使用多因素身份验证,要求系统软件在被授予访问权限之前提供多个凭据,经过身份验证的软件被划分为一般软件,否则为风险软件;
已知划分:通过所述安全策略单元对软件的评估反馈进行划分。
作为优选,所述安全策略单元的运行步骤如下:
①对重要文件类进行远离系统备份,例如云端备份和移动硬盘备份;
②只有通过身份验证和经过授权的软件才能拥有对系统的访问控制权限;
③定时对计算机上存储的文件和安装的软件进行安全漏洞扫描;
④关闭风险软件的高危接入端口。
作为优选,所述安全策略单元还包括安全教育单元,所述安全教育单元的具体内容如下:
1)不要单击不安全的链接;
2)避免透露个人信息;
3)不要打开可疑的电子邮件附件;
4)不要使用未知U盘;
5)保持程序和操作系统最新;
6)只使用已知的下载来源;
7)谨慎在公共Wi-Fi网络上使用VPN服务。
作为优选,所述安全应用协议单元包括如下内容:
判断用户操作:用户点击陌生链接、网页和软件时,触发网络安全协议,弹出验证码进行验证,并发出弹窗警告该操作可能存在风险;
跟踪用户操作:若用户确认进入链接,则启动所述风险访问追踪单元对该进程进行记录、追踪和监控。
作为优选,所述风险访问追踪单元的具体内容如下:
记录风险进程:在用户进入风险操作的同时,所述风险访问追踪单元将记录该进程的来源、访问时间、安装路径、系统型号、接入端口等信息,并生成风险访问日志;
追踪访问信息:追踪该进程访问的系统硬件设备和磁盘,同时监控该进程对机密文件和硬件设备的操作。
作为优选,所述检测系统的方法具体包括以下运行步骤:
步骤1:
陌生地址检测:分为一下两种情况:
S01:用户访问陌生地址:用户访问陌生的链接、网页和软件时,通过网络检测模块对目标访问地址进行检测,所述安全应用协议单元被触发,系统发出弹窗进行风险提醒,并需要用户确认是否继续执行该操作;若用户确认执行该操作,将通过所述风险访问追踪单元生成风险访问日志,记录进程的来源、时间、访问路径和访问操作等一系列信息;
S02:陌生地址访问系统:当网络上陌生链接、网页和软件访问系统时,首先提取其特征,所述卷积神经网络模型讲对该网址进行软件类型检测,安全后即可允许运行,否则将直接被拒绝访问。
步骤2:
系统自检:服务器日常维护中,通过对文件进行重要文件和一般文件划分,软件则根据零信任原则进行风险软件和非风险软件划分,所述安全策略单元对已划分的结果进行处理:重要文件要求远离系统备份、风险软件要求无法对系统进行读写等操作、没有系统屏幕等设备的控制权限、定期进行安全漏洞扫描并及时检查并更新软件;
步骤3:
安全宣传:通过所述安全策略单元内预设的安全教育单元,对用户进行安全宣讲、减小勒索软件入侵系统的风险。
在上述技术方案中,本发明提供的,具备以下有益效果:
在打开陌生链接、网页和软件时,网络检测模块对目标访问地址进行检测,安全应用协议单元被触发,系统发出弹窗进行风险提醒,并需要用户确认是否继续执行该操作,若用户确认执行该操作,将通过风险访问追踪单元生成风险访问日志,记录进程的来源、时间、访问路径和访问操作等一系列信息;当陌生链接、网页和软件访问系统时,网络检测模块首先提取其特征,卷积神经网络模型将对该网址进行软件类型检测,安全后即可允许运行,否则将直接被拒绝访问;另外在日常中系统将进行自检,分别对系统中已储存的文件和软件,对重要文件要求远离系统备份,风险软件要求无法对系统进行读写操作,没有系统屏幕等设备的控制权限,定期进行安全漏洞扫描、及时检查和更新软件等操作来实现日常风险的排查;并通过安全策略单元内预设的安全教育单元,对用户进行安全宣讲、减小勒索软件入侵系统的风险。
应当理解,前面的一般描述和以下详细描述都仅是示例性和说明性的,而不是用于限制本公开。
本申请文件提供本公开中描述的技术的各种实现或示例的概述,并不是所公开技术的全部范围或所有特征的全面公开。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的系统模块示意图;
图2为本发明实施例提供的网络检测模块示意图;
图3为本发明实施例提供的变种勒索软件检测流程示意图;
图4为本发明实施例提供的智能划分类型示意图;
图5为本发明实施例提供的应用协议模块流程示意图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面将结合附图对本发明作进一步的详细介绍。
参考附图1-5所示,一种基于安全态势感知的勒索软件检测系统,所述检测系统包括:
网络检测模块,用于对来自不信任网络的链接、网页和软件进行常规勒索软件检测和变种勒索软件检测;
服务器防御模块,包括智能化划分单元和安全策略单元,所述智能化划分单元用于对服务器系统中存储的文件和安装的软件进行分类,所述安全策略单元接收所述智能化划分单元的划分结果并进行处理;
应用协议模块,预设有访问风险评估单元,所述访问风险评估单元包括安全应用协议单元和风险访问追踪单元,其中,所述安全应用协议单元用于用户操作时,发出弹窗进行二次确认,风险访问追踪单元用于记录、追踪和监控陌生进程的一系列访问和控制操作。
其中,所述网络检测模块内预设有卷积神经网络模型以及克隆选择算法模型,卷积神经网络模型用于常规勒索软件检测分类;克隆选择算法模型用于进行变种勒索软件检测分类。
参考图2所示,所述网络检测模块包括如下运行步骤:
步骤一:对链接、网页和软件的特征进行提取、并通过预训练的卷积神经网络进行特征训练分类:勒索软件、常规软件,其中,勒索软件被系统拒绝访问;
步骤二:根据卷积神经网络中报告的各种勒索软件信息,进行特征提取和预训练,对常规软件再次提取特征;
步骤三:克隆选择算法模型进行特征训练分类;
a、变种勒索软件,变种勒索软件被系统拒绝访问,并对网络上的其他系统输送该变种勒索软件特征;
b、常规软件,常规软件类则允许访问系统。
其中,所述步骤三中,所述变种勒索软件的检测方法如下:
S1:首先通过克隆选择算法模型构造记忆单元实现对变种勒索软件的全局与局部搜索平衡;
S2:对已知勒索软件类的特征进行提取,将特征与卷积神经网络模型中免疫系统的数据进行一一对应,对抗体之间的关系进行线性分析,得到目标函数;
S3:对抗体进行克隆、变异、选择等一系列操作,得到满足目标函数的其他特征变量、并计算待识别勒索软件与得到的特征集之间的相关性,对待识别勒索软件分类,得到不同的勒索软件变异类。
上述检测系统的方法具体包括以下运行步骤:
步骤1:
陌生地址检测:分为一下两种情况:
S01:用户访问陌生地址:用户访问陌生的链接、网页和软件时,通过网络检测模块对目标访问地址进行检测,所述安全应用协议单元被触发,系统发出弹窗进行风险提醒,并需要用户确认是否继续执行该操作;若用户确认执行该操作,将通过所述风险访问追踪单元生成风险访问日志,记录进程的来源、时间、访问路径和访问操作等一系列信息;
S02:陌生地址访问系统:当网络上陌生链接、网页和软件访问系统时,首先提取其特征,所述卷积神经网络模型讲对该网址进行软件类型检测,安全后即可允许运行,否则将直接被拒绝访问。
通过陌生地址的特征提取,判断所访问的地址是否存在风险,并进行再次提取缩小勒索软件的可能性,通过此种方式及时发现勒索软件并阻止勒索软件的入侵进程,及时对勒索软件进行阻止、举报、广播等处理,以保障系统的安全运行。
步骤2:
系统自检:服务器日常维护中,通过对文件进行重要文件和一般文件划分,软件则根据零信任原则进行风险软件和非风险软件划分,所述安全策略单元对已划分的结果进行处理:重要文件要求远离系统备份、风险软件要求无法对系统进行读写等操作、没有系统屏幕等设备的控制权限、定期进行安全漏洞扫描并及时检查并更新软件。
其中,在对文件进行分类时,基于机器学习的智能化文件划分方法,系统存储文件包括文件名称、修改日期、类型和大小等特征,利用k-means算法对系统文件进行聚类划分,得到重要文件类和一般文件类,并对不同类型的文件进行相应的处理,减小安全隐患。
步骤3:
安全宣传:通过所述安全策略单元内预设的安全教育单元,对用户进行安全宣讲、减小勒索软件入侵系统的风险。
通过对用户宣传可能存在风险的操作来减少勒索软件入侵系统的风险,用户熟知风险操作有利于从根源上解决勒索软件入侵的情况,增加防御的可能,进而确保系统安全、稳定的运行。
具体的,参考附图4,所述智能化划分单元方法如下:
身份验证:执行零信任原则,对每个试图访问服务器系统的软件在被授予访问控制权限之前经过严格的身份验证,以确保风险被及时感知;
风险评估:使用多因素身份验证,要求系统软件在被授予访问权限之前提供多个凭据,经过身份验证的软件被划分为一般软件,否则为风险软件;
已知划分:通过所述安全策略单元对软件的评估反馈进行划分。
对陌生系统的软件都需要进行身份验证确保操作为用户已知的操作,并进行严格的筛选与风险预估,使得风险被及时检测、感知,在感知风险后中断使用及时切断风险源,若为常规软件则正常使用,记录软件的访问进程,在出现异常时及时进行风险处理。
进一步的,所述安全应用协议单元包括如下内容:
判断用户操作:用户点击陌生链接、网页和软件时,触发网络安全协议,弹出验证码进行验证,并发出弹窗警告该操作可能存在风险;
跟踪用户操作:若用户确认进入链接,则启动所述风险访问追踪单元对该进程进行记录、追踪和监控。
另外,所述风险访问追踪单元的具体内容如下:
记录风险进程:在用户进入风险操作的同时,所述风险访问追踪单元将记录该进程的来源、访问时间、安装路径、系统型号、接入端口等信息,并生成风险访问日志;
追踪访问信息:追踪该进程访问的系统硬件设备和磁盘,同时监控该进程对机密文件和硬件设备的操作。
其中,所述安全策略单元的内容如下:
①对重要文件类进行远离系统备份,例如云端备份和移动硬盘备份;
②只有通过身份验证和经过授权的软件才能拥有对系统的访问控制权限;
③定时对计算机上存储的文件和安装的软件进行安全漏洞扫描;
④关闭风险软件的高危接入端口。
另外,所述安全策略单元还包括安全教育单元,所述安全教育单元的具体内容如下:
1)不要单击不安全的链接;
2)避免透露个人信息;
3)不要打开可疑的电子邮件附件;
4)不要使用未知U盘;
5)保持程序和操作系统最新;
6)只使用已知的下载来源;
7)谨慎在公共Wi-Fi网络上使用VPN服务。
上述目的是:通过安全策略单元对风险链接、网页和软件进行规避,形成防御体系,通过对用户宣传可能存在风险的操作来减少勒索软件入侵系统的风险,用户熟知风险操作有利于从根源上解决勒索软件入侵的情况,保障系统安全。
以上只通过说明的方式描述了本发明的某些示范性实施例,毋庸置疑,对于本领域的普通技术人员,在不偏离本发明的精神和范围的情况下,可以用各种不同的方式对所描述的实施例进行修正。因此,上述附图和描述在本质上是说明性的,不应理解为对本发明权利要求保护范围的限制。
Claims (10)
1.一种基于安全态势感知的勒索软件检测系统,其特征在于,所述检测系统包括:
网络检测模块,用于对来自不信任网络的链接、网页和软件进行常规勒索软件检测和变种勒索软件检测;
服务器防御模块,包括智能化划分单元和安全策略单元,所述智能化划分单元用于对服务器系统中存储的文件和安装的软件进行分类,所述安全策略单元接收所述智能化划分单元的划分结果并进行处理;
应用协议模块,预设有访问风险评估单元,所述访问风险评估单元包括安全应用协议单元和风险访问追踪单元,其中,所述安全应用协议单元用于用户操作时,发出弹窗进行二次确认,风险访问追踪单元用于记录、追踪和监控陌生进程的一系列访问和控制操作。
2.根据权利要求1所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述网络检测模块内预设有卷积神经网络模型以及克隆选择算法模型,卷积神经网络模型用于常规勒索软件检测分类;克隆选择算法模型用于进行变种勒索软件检测分类。
3.根据权利要求2所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,
所述网络检测模块包括如下运行步骤:
步骤一:对链接、网页和软件的特征进行提取、并通过预训练的卷积神经网络进行特征训练分类:勒索软件、常规软件,其中,勒索软件被系统拒绝访问;
步骤二:根据卷积神经网络中报告的各种勒索软件信息,进行特征提取和预训练,对常规软件再次提取特征;
步骤三:克隆选择算法模型进行特征训练分类;
变种勒索软件,变种勒索软件被系统拒绝访问,并对网络上的其他系统输送该变种勒索软件特征;
常规软件,常规软件类则允许访问系统。
4.根据权利要求3所述的一种基于安全态势感知的勒索软件检测的方法,其特征在于,所述步骤三中,所述变种勒索软件的检测方法如下:
S1:首先通过克隆选择算法模型构造记忆单元实现对变种勒索软件的全局与局部搜索平衡;
S2:对已知勒索软件类的特征进行提取,将特征与卷积神经网络模型中免疫系统的数据进行一一对应,对抗体之间的关系进行线性分析,得到目标函数;
S3:对抗体进行克隆、变异、选择等一系列操作,得到满足目标函数的其他特征变量、并计算待识别勒索软件与得到的特征集之间的相关性,对待识别勒索软件分类,得到不同的勒索软件变异类。
5.根据权利要求4所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述智能化划分单元方法如下:
身份验证:执行零信任原则,对每个试图访问服务器系统的软件在被授予访问控制权限之前经过严格的身份验证,以确保风险被及时感知;
风险评估:使用多因素身份验证,要求系统软件在被授予访问权限之前提供多个凭据,经过身份验证的软件被划分为一般软件,否则为风险软件;
已知划分:通过所述安全策略单元对软件的评估反馈进行划分。
6.根据权利要求2所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述安全策略单元的运行步骤如下:
①对重要文件类进行远离系统备份,例如云端备份和移动硬盘备份;
②只有通过身份验证和经过授权的软件才能拥有对系统的访问控制权限;
③定时对计算机上存储的文件和安装的软件进行安全漏洞扫描;
④关闭风险软件的高危接入端口。
7.根据权利要求2所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述安全策略单元还包括安全教育单元,所述安全教育单元的具体内容如下:
不要单击不安全的链接;
避免透露个人信息;
不要打开可疑的电子邮件附件;
不要使用未知U盘;
保持程序和操作系统最新;
只使用已知的下载来源;
谨慎在公共Wi-Fi网络上使用VPN服务。
8.根据权利要求1所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述安全应用协议单元包括如下内容:
判断用户操作:用户点击陌生链接、网页和软件时,触发网络安全协议,弹出验证码进行验证,并发出弹窗警告该操作可能存在风险;
跟踪用户操作:若用户确认进入链接,则启动所述风险访问追踪单元对该进程进行记录、追踪和监控。
9.根据权利要求8所述的一种基于安全态势感知的勒索软件检测系统的方法,其特征在于,所述风险访问追踪单元的具体内容如下:
记录风险进程:在用户进入风险操作的同时,所述风险访问追踪单元将记录该进程的来源、访问时间、安装路径、系统型号、接入端口等信息,并生成风险访问日志;
追踪访问信息:追踪该进程访问的系统硬件设备和磁盘,同时监控该进程对机密文件和硬件设备的操作。
10.根据权利要求2-9任意一项所述的一种基于安全态势感知的勒索软件检测系统的方法,具体包括以下运行步骤:
步骤1:
陌生地址检测:分为一下两种情况:
S01:用户访问陌生地址:用户访问陌生的链接、网页和软件时,通过网络检测模块对目标访问地址进行检测,所述安全应用协议单元被触发,系统发出弹窗进行风险提醒,并需要用户确认是否继续执行该操作;若用户确认执行该操作,将通过所述风险访问追踪单元生成风险访问日志,记录进程的来源、时间、访问路径和访问操作等一系列信息;
S02:陌生地址访问系统:当网络上陌生链接、网页和软件访问系统时,首先提取其特征,所述卷积神经网络模型将对该网址进行软件类型检测,安全后即可允许运行,否则将直接被拒绝访问;
步骤2:
系统自检:服务器日常维护中,通过对文件进行重要文件和一般文件划分,软件则根据零信任原则进行风险软件和非风险软件划分,所述安全策略单元对已划分的结果进行处理:重要文件要求远离系统备份、风险软件要求无法对系统进行读写等操作、没有系统屏幕等设备的控制权限、定期进行安全漏洞扫描并及时检查并更新软件;
步骤3:
安全宣传:通过所述安全策略单元内预设的安全教育单元,对用户进行安全宣讲、减小勒索软件入侵系统的风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670762.7A CN115238275B (zh) | 2022-06-15 | 2022-06-15 | 一种基于安全态势感知的勒索软件检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670762.7A CN115238275B (zh) | 2022-06-15 | 2022-06-15 | 一种基于安全态势感知的勒索软件检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115238275A true CN115238275A (zh) | 2022-10-25 |
| CN115238275B CN115238275B (zh) | 2023-10-24 |
Family
ID=83668887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210670762.7A Active CN115238275B (zh) | 2022-06-15 | 2022-06-15 | 一种基于安全态势感知的勒索软件检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115238275B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055228A (zh) * | 2023-04-03 | 2023-05-02 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160330219A1 (en) * | 2015-05-04 | 2016-11-10 | Syed Kamran Hasan | Method and device for managing security in a computer network |
| CN109347863A (zh) * | 2018-11-21 | 2019-02-15 | 成都城电电力工程设计有限公司 | 一种改进的免疫的网络异常行为检测方法 |
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN112560027A (zh) * | 2020-12-18 | 2021-03-26 | 福建中信网安信息科技有限公司 | 一种数据安全监测系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111475806B (zh) * | 2020-03-08 | 2022-08-05 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
-
2022
- 2022-06-15 CN CN202210670762.7A patent/CN115238275B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160330219A1 (en) * | 2015-05-04 | 2016-11-10 | Syed Kamran Hasan | Method and device for managing security in a computer network |
| CN109409089A (zh) * | 2018-09-28 | 2019-03-01 | 西安电子科技大学 | 一种基于虚拟机自省的Windows加密型勒索软件检测方法 |
| CN109347863A (zh) * | 2018-11-21 | 2019-02-15 | 成都城电电力工程设计有限公司 | 一种改进的免疫的网络异常行为检测方法 |
| CN112560027A (zh) * | 2020-12-18 | 2021-03-26 | 福建中信网安信息科技有限公司 | 一种数据安全监测系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055228A (zh) * | 2023-04-03 | 2023-05-02 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
| CN116055228B (zh) * | 2023-04-03 | 2023-06-27 | 北京志凌海纳科技有限公司 | 一种数据平面构建方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115238275B (zh) | 2023-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11799893B2 (en) | Cybersecurity detection and mitigation system using machine learning and advanced data correlation | |
| US11895131B2 (en) | Digital safety and account discovery | |
| US10999130B2 (en) | Identification of vulnerability to social phishing | |
| Hole et al. | Toward risk assessment of large-impact and rare events | |
| US20200274888A1 (en) | Digital Safety and Account Discovery | |
| US11722510B2 (en) | Monitoring and preventing remote user automated cyber attacks | |
| US10021118B2 (en) | Predicting account takeover tsunami using dump quakes | |
| EP3955551B1 (en) | Digital safety and account discovery | |
| US20230421547A1 (en) | Techniques for mitigating leakage of user credentials | |
| US20220400135A1 (en) | Systems and methods for network risk management, cyber risk management, security ratings, and evaluation systems and methods of the same | |
| Al-Mhiqani et al. | A new taxonomy of insider threats: an initial step in understanding authorised attack | |
| CN115238275B (zh) | 一种基于安全态势感知的勒索软件检测方法及系统 | |
| SERVIDIO et al. | Safe and Sound: Cybersecurity for Community Banks. | |
| Sehgal et al. | Additional security considerations for cloud | |
| US20220385687A1 (en) | Cybersecurity threat management using element mapping | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| Malderle et al. | Warning of affected users about an identity leak | |
| Canelón et al. | Unstructured data for cybersecurity and internal control | |
| Kaur et al. | Cybersecurity policy and strategy management in FinTech | |
| AlSalamah | Security Risk Management in Online System | |
| US11770402B2 (en) | Systems and methods for network device discovery and vulnerability assessment | |
| US20220255962A1 (en) | Systems and methods for creation, management, and storage of honeyrecords | |
| Xu et al. | Cybersecurity in Intelligent Networking Systems | |
| US20230421582A1 (en) | Cybersecurity operations case triage groupings | |
| Mustofa | Is Big Data Security Essential for Students to Understand? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |