CN115964712A - 一种基于权限阻止勒索攻击的方法、装置、介质及设备 - Google Patents
一种基于权限阻止勒索攻击的方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN115964712A CN115964712A CN202211709473.XA CN202211709473A CN115964712A CN 115964712 A CN115964712 A CN 115964712A CN 202211709473 A CN202211709473 A CN 202211709473A CN 115964712 A CN115964712 A CN 115964712A
- Authority
- CN
- China
- Prior art keywords
- executable file
- lasso
- information
- resource
- target path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及网络安全领域,特别是涉及一种基于权限阻止勒索攻击的方法、装置、介质及设备。所述方法包括为目标路径配置操作权限。每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息。记录可执行文件对目标路径下的资源进行的操作行为信息。根据操作权限、属性变化信息及操作行为信息,生成操作信息。根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行。本发明中通过为目标路径配置操作权限,可以对可执文件一定时间内在各个盘操作文件的数量进行限制,进而阻止勒索软件加密系统内文件,给用户造成大量损失,避免用户数据资产受到损害。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种基于权限阻止勒索攻击的方法、装置、介质及设备。
背景技术
勒索软件属于木马家族的一员,最早出现于1989年。近年来,众多流行勒索软件家族及其背后的攻击组织在全球范围内持续活跃,新的勒索软件家族也在不断增加。随着网络技术的不断发展,勒索软件攻击者也在不断丰富其攻击手段和勒索方式,勒索软件攻击事件频繁发生,对个人、社会乃至国家关键信息基础设施造成严重影响。
现有的勒索软件对用户的勒索攻击通常会采用如下方式,如绑架用户文件的方式,对用户的文档、邮件、数据库、源代码、图片、压缩包等多种文件进行加密,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。由此,给用户带来了巨大的风险。
发明内容
针对上述勒索攻击给用户带来巨大风险的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种基于权限阻止勒索攻击的方法,该方法包括如下步骤:
为目标路径配置操作权限,操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值。
每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息。
记录可执行文件对目标路径下的资源进行的操作行为信息。
根据操作权限、属性变化信息及操作行为信息,生成操作信息。
根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行。
在本发明中,进一步的,在每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息之前,方法还包括:
每当可执行文件对目标路径下的资源进行操作之前,对被操作资源进行备份,生成对应的备份资源。
在本发明中,进一步的,在根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行之后,方法还包括:
使用备份资源,对被修改的被操作资源进行恢复。
在本发明中,进一步的,目标路径包括常规路径及特殊路径。常规路径及特殊路径中对5应存储的资源存在差异。
为目标路径配置操作权限,包括:
分别为常规路径及特殊路径配置不同的操作权限。
在本发明中,进一步的,本方法还包括:
对目标可执行文件进行信任处理,生成目标可执行文件对应的运行权限,运行权限为目0标可执行文件在目标时段内对每一资源进行各操作处理对应的第二数量阈值。
根据操作权限、属性变化信息及操作行为信息,生成操作信息,包括:
根据运行权限、操作权限、属性变化信息及操作行为信息,生成操作信息。
在本发明中,进一步的,根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行,包括:
5若操作行为信息中的任意一种操作行为在预设操作时段中的发生的数量大于对应的第一数量阈值,则根据属性变化信息及操作行为信息确定对应的可执行文件为勒索可执行文件。
结束勒索可执行文件对应的进程,并清除勒索可执行文件。
在本发明中,进一步的,在使用备份资源,对被修改的被操作资源进行恢复之后,方法还包括:
0每隔预设间隔,将已经完成恢复工作的备份资源进行清除。
根据本发明的第二个方面,提供了一种基于权限阻止勒索攻击的装置,该装置包括:
配置模块,用于为目标路径配置操作权限,操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值。
第一记录模块,用于每当可执行文件对目标路径下的资源进行操作后,记录被操作资源5的属性变化信息。
第二记录模块,用于记录可执行文件对目标路径下的资源进行的操作行为信息。
生成模块,用于根据操作权限、属性变化信息及操作行为信息,生成操作信息。
阻止模块,用于根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行。
根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种基于权限阻止勒索攻击的方法。
根据本发明的第三个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种基于权限阻止勒索攻击的方法。
本发明至少具有以下有益效果:
本发明中,通过为目标路径配置操作权限,可以为系统中各个盘符下的资源设置可操作的时间段,也即预设操作时段,以及在各个预设操作时段中,可执行文件可以对目标路径中的资源进行读、写和删除操作各自对应的第一数量阈值。该第一数量阈值进行设置时通常大于正常工作需要进行各操作的次数,而远小于勒索软件进行勒索攻击时,对目标路径下的资源进行加密所需要的各操作的次数。通常勒索软件在进行勒索攻击时,会在极短时间内通过读写操作对目标路径下的全部资源进行加密,使得用户无法使用,进而达到勒索的目的。所以勒索攻击发生时对目标路径下的资源的操作次数,会远大于正常操作时目标路径下的资源的操作次数,由此,通过为目标路径配置操作权限,可以对可执文件一定时间内在各个盘操作文件的数量进行限制,进而阻止勒索软件加密系统内文件,给用户造成大量损失,避免用户数据资产受到损害。
同时,在每次可执行文件对应的进程结束后,还会根据对应的操作权限,以及进程执行过程中属性变化信息及操作行为信息,生成操作信息,由此可以通过操作信息中所反映的内容,确定出勒索可执行文件。进而可以更加有针对性的阻止勒索可执行文件的运行,并对其进行快速清理。避免用户再次遭到攻击。本发明不需要基于特征检测恶意代码,具有一定通用性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于权限阻止勒索攻击的方法的流程图;
图2为本发明实施例提供的一种基于权限阻止勒索攻击的装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的第一个方面,如图1所示,提供了一种基于权限阻止勒索攻击的方法,该方法包括如下步骤:
S100:为目标路径配置操作权限,操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值。
具体的,一方面可以根据实际的使用情况,对可执行文件在规定时间(预设操作时段)内对各个盘目录下能执行读、写、删除操作的文件数量分别进行设置。通常用户在使用电脑的过程中,会在不同的系统盘内存放不同的内容的资源,也即文件。如在C盘中主要用于存放系统文件。D盘中存放工作资料,E盘中存放娱乐资料。由此每一个盘目录中的资料的使用频率、重要程度以及使用时段均存在差异。所以在对各个目标路径中的资源配置操作权限时,需要根据实际使用需求分别进行设置。同时,各个目标路径中的资源的读、写、删除对应的第一数量阈值存在不同。
如:D盘中存放工作资料进行权限配置时,其对应的预设操作时段可以为两个。一个为工作时段,如8:00-18:00,在该预设操作时段中,由于会频繁使用其中的文件,所以对应的此时的读、写、删除分别对应的第一数量阈值设置的高一些。如D盘在8:00-18:00之间,对其中的资源的读操作对应的第一数量阈值可以为100,对其中的资源的写操作对应的第一数量阈值可以为80,对其中的资源的删除操作对应的第一数量阈值可以为50。一个为空闲时段,如18:01-7:59,在该预设操作时段中,由于基本不会使用其中的文件,所以对应的此时的读、写、删除分别对应的第一数量阈值设置的低一些。如D盘在18:01-7:59之间,对其中的资源的读操作对应的第一数量阈值可以为10,对其中的资源的写操作对应的第一数量阈值可以为8,对其中的资源的删除操作对应的第一数量阈值可以为2。
通常勒索软件在进行勒索攻击时,为了防止被用户发现,所以会在极短时间内通过读写操作对目标路径下的全部资源进行加密,使得用户无法使用,进而达到勒索的目的。如2022年8月,攻击者利用某企业管理软件+软件的0day漏洞进行勒索攻击活动。攻击者利用任意文件上传漏洞,上传后门到该企业管理软件Web服务后端路径中。当后门接收到URL路径的HTTP请求时,使用AES算法解密请求内容中的远程代码并加载执行,实现在未经授权的情况下远程访问该企业管理软件的Web服务端口,执行勒索软件的加密功能,对系统中的文件进行快速大范围的加密。
所以勒索攻击发生时对目标路径下的资源的操作次数,会远大于正常操作时目标路径下的资源的操作次数。由此根据上述操作权限的设置,既可以满足用户日常正常使用的需求,同时又可以防止勒索攻击对目标路径下的文件进行大范围的加密。进而防止勒索攻击的持续进行。
另外,在进行对各个盘权限配置时还可以配置操作速率权限,如一分钟内可以允许进行读、写、删除分别对应的最大次数。当对应的可执行文件的进程进行的读、写、删除大于操作速率权限和/或操作权限时,及时进行告警。
优选的,目标路径包括常规路径及特殊路径。常规路径及特殊路径中对应存储的资源存在差异。S100:为目标路径配置操作权限,包括:S101:分别为常规路径及特殊路径配置不同的操作权限。
由于,不同工作中的文件重要性存在差异,所以对于一些保密等级较高的文件或者其他重要的文件,通常会建立一个单独的路径进行存储。由此,在除了对S100中的各个系统盘(常规路径)配置操作权限后。还需要对用户根据不同需求单独创建不同目录(特殊路径)配置对应的操作权限。例如保存机密文件的文件夹一分钟仅能对一个文件进行读或写操作。10分钟内仅可以执行1次删除操作。一天内对保密文件中的资源进行读、写、删除操作分别对应的第一数量阈值分别为50、20和10。
由此,当勒索软件在内存中执行后,短时间内遍历系统文件,逐个加密,但由于不具备读、写、删除等操作的权限,将会在加密少量文件后无法继续加密。由此,既可以及时发现勒索攻击,同时又可以防止勒索攻击对目标路径下的文件进行大范围的加密,减少用户的损失。
S200:每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息。
具体的,将可执行文件执行前后,其操作的文件的变化进行记录。由此,以便于用户通过该变化,更加快速的确定是否发生勒索攻击,同时确定出是哪一种勒索攻击,进而更加快速的找到勒索可执行文件(恶意可执行文件)。对应的,属性变化信息可以包括文件名、文件大小、文件格式等内容。通常由于勒索软件会对目标路径中的文件进行同种形式的加密操作,所以在其加密前后,文件的变化会呈现出较为一致的规律。如在加密后,文件名中均带有同一种勒索软件的后缀,文件的格式均变化为勒索软件可以使用的同一种格式。
通过上述属性变化信息中存在的变化规律,可以帮助用户更加快速的确定是否发生勒索攻击,同时确定出是哪一种勒索攻击,进而更加快速的找到勒索可执行文件。
S300:记录可执行文件对目标路径下的资源进行的操作行为信息。
具体的,可以通过hook系统对文件进行操作的API(ApplicationProgrammingInterface,5应用程序编程接口)进行监控,以记录可执行文件对目标路径下的文件进行操作对应的操作行为信息。具体进行监控的API可以根据实际使用需求进行设置,如ReadFile、WriteFile等对应的API。
S400:根据操作权限、属性变化信息及操作行为信息,生成操作信息。
具体的,操作信息可以以图表的形式进行展现,其中展示的内容可以包括,每一可执行0文件对应的进程,在运行过程中对应的属性变化信息及操作行为信息。同时还可以将在当前时间下已经对目标路径中文件进行过的读、写、删除分别对应的数量,与对应的第一数量阈值进行比较。并根据这两个值的接近程度,分别为读、写、删除操作赋不同的紧急程度,该紧急程度可以通过不同的颜色进行体现。用户可以根据该紧急程度来决定后续的操作。
S500:根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行。
5若用户根据操作信息中体现的紧急程度、属性变化信息及操作行为信息,可以确定出一些可疑的进程。另外用户还可以通过其他的现有的判定方式,如与现有的勒索攻击行为库进行对比,对这些进程进行进一步的判定。一旦确定出某一进程对应的可执行文件为勒索可执行文件,则阻止勒索可执行文件的运行进程,并对勒索可执行文件进行清理。
本发明中,通过为目标路径配置操作权限。可以为系统中各个盘符下的资源设置可操作0的时间段,也即预设操作时段,以及在各个预设操作时段中,可执行文件可以对目标路径中的资源进行读、写和删除操作各自对应的第一数量阈值。该第一数量阈值进行设置时通常大于正常工作需要进行各操作的次数,而远小于勒索软件进行勒索攻击时,对目标路径下的资源进行加密所需要的各操作的次数。通常勒索软件在进行勒索攻击时,会在极短时间内通过
读写操作对目标路径下的全部资源进行加密,使得用户无法使用,进而达到勒索的目的。所5以勒索攻击发生时对目标路径下的资源的操作次数,会远大于正常操作时目标路径下的资源的操作次数,由此,通过为目标路径配置操作权限,可以对可执文件一定时间内在各个盘操作文件的数量进行限制,进而阻止勒索软件加密系统内文件,给用户造成大量损失,避免用户数据资产受到损害。
同时,在每次可执行文件对应的进程结束后,还会根据对应的操作权限,以及进程执行过程中属性变化信息及操作行为信息,生成操作信息,由此可以通过操作信息中所反映的内容,确定出勒索可执行文件。进而可以更加有针对性的阻止勒索可执行文件的运行,并对其进行快速清理。避免用户再次遭到攻击。
另外,本发明不需要基于特征检测恶意代码,具有一定通用性。本发明所述方法占用系统资源少,对普通用户几乎没有影响。本发明可有效阻止勒索软件加密系统内文件,避免用户数据资产受到损害。同时能够有效保护用户系统,避免勒索软件在用户不知情的情况下删除系统关键目录文件,破坏系统可用性。
作为本发明一种可能的实施例,在S200:每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息之前,方法还包括:
S210:每当可执行文件对目标路径下的资源进行操作之前,对被操作资源进行备份,生成对应的备份资源。
进一步的,在S500:根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行之后,方法还包括:
S600:使用备份资源,对被修改的被操作资源进行恢复。
本实施例中,在可执行文件对目标路径下的资源进行操作之前,可以通过现有的备份方法对被操作的文件进行备份,以备后期进行恢复。由于,在对文件进行备份时,会消耗大量的系统空间以及对系统的性能造成影响。所以,要尽量减少对文件的备份操作。通常可以仅对在预设操作时段中发生对应的读、写和删除操作时,才对被操作文件进行备份处理。由此,可以大幅减少备份的数量。
同时,此备份操作可根据系统性能、存储空间等因素,针对备份的原始文件数量进行设置。在不影响系统正常运行的前提下,结合用户实际需求,设置备份的文件数量。通常大多数可执行文件不会对大量文件进行读、写和删除等操作。故可针对需要对大量文件进行操作的可执行文件进行验证,若确认无误验证通过后可添加信任,后续当该可执行文件对文件进行操作时,便不对文件进行备份。由此也可以进一步减少备份的数量,进而减少对系统空间的占用;以及减少对系统的性能造成的影响。
本实施例中,会将被加密的文件进行备份,由此后期可一键还原。用户通过查看勒索软件加密前后文件的变化并将其进行对比,当发现勒索软件行为时,可以通过备份资源对被加密的资源进行针对性的恢复,由此可以避免用户资料被损坏。
作为本发明一种可能的实施例,在S600:使用备份资源,对被修改的被操作资源进行恢复之后,方法还包括:
S700:每隔预设间隔,将已经完成恢复工作的备份资源进行清除。
优选的,预设间隔可以为30min-90min。通常预设间隔需要大于勒索攻击被发现的时间间隔。否则会造成备份资源的误删。而一般来说勒索攻击执行完毕的时间间隔较短,通常在15min-30min。所以本实施例中可以将预设间隔设置为30min-90min中的值。
在本实施例中,为了进一步减少备份资源对系统空间的占用。由此,可以根据实际的使用情况,设置对应的预设间隔。每当间隔时间达到预设间隔时,可以将已经完成恢复工作的备份资源进行清除,进而释放对应的系统空间。同时,为了进一步释放系统空间,还可以将紧急程度较低以及被查看过的操作信息进行删除。同时,若一个备份资源的存在时间超过预设间隔,则可以认为该备份资源对应的被操作资源是安全的,所以该备份资源已经不再有使用价值,也可以进行删除。本实施例中,定期清除备份文件,释放存储空间,保证用户正常使用不受影响。
作为本发明一种可能的实施例,本方法还包括:
S102:对目标可执行文件进行信任处理,生成目标可执行文件对应的运行权限,运行权限为目标可执行文件在目标时段内对每一资源进行各操作处理对应的第二数量阈值。
通常在实际的使用过程中,由于用户在平常的办公及沟通中,会经常使用某几个必要的软件(目标可执行文件)进行文件的相互传输。如办公系统中的软件以及办公聊天软件。对于这些正常的软件,通常需要对文件进行大量的读、写和删除操作。而这些操作有时是正常的,所以不应被算在操作权限内发生的操作数量。
由此,对于一些需要对更多文件进行操作的可执行文件,进行信任处理。该信任处理为某些目标可执行文件单独配置运行权限。对应的,在生成操作信息时,可以目标可执行文件在目标时段中对资源进行的各操作次数,与其对应的第二数量阈值进行比较以生成对应的告警信息。
在进行信任处理时,可以手动对可执行文件执行信任操作,分别赋予对应操作的权限及权限对应的数量。如在一分钟内某一目标可执行文件能对任意文件进行读操作,能对20个文件进行写操作,不允许对文件进行删除操作等。
S400:根据操作权限、属性变化信息及操作行为信息,生成操作信息,包括:
S401:根据运行权限、操作权限、属性变化信息及操作行为信息,生成操作信息。
本实施例中通过增加对目标可执行文件的信任处理,可以为一些常用的必要软件赋予一些特权,由此可以避免误告警的频繁出现。
作为本发明一种可能的实施例,S500:根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行,包括:
S501:若操作行为信息中的任意一种操作行为在预设操作时段中的发生的数量大于对应的第一数量阈值,则根据属性变化信息及操作行为信息确定对应的可执行文件为勒索可执行文件。
S502:结束勒索可执行文件对应的进程,并清除勒索可执行文件。
对应的,若操作行为信息中的任意一种操作行为在预设操作时段中的发生的数量大于对应的第一数量阈值,则可以认为出现了恶意加密文件行为。如果发现可执行文件存在恶意加密文件行为,则结束可执行文件进程并清除,并将备份文件进行还原,保证用户数据资产不受损失。
在本实施例中,若操作行为信息中的任意一种操作行为在预设操作时段中的发生的数量大于对应的第一数量阈值,则会生成对应的告警信息以提醒用户。如在预设操作时段中实际发生的读操作为30次,而在该时段中读操作对应的第一数量阈值为20。则当实际发生第21次读操作时,则会生成告警信息,同时还会输出此时对应的操作信息,以便于用户快速确定勒索攻击的具体信息。
根据本发明的第二个方面,如图2所示,提供了一种基于权限阻止勒索攻击的装置,该装置包括:
配置模块,用于为目标路径配置操作权限,操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值。
第一记录模块,用于每当可执行文件对目标路径下的资源进行操作后,记录被操作资源的属性变化信息。
第二记录模块,用于记录可执行文件对目标路径下的资源进行的操作行为信息。
生成模块,用于根据操作权限、属性变化信息及操作行为信息,生成操作信息。
阻止模块,用于根据操作信息,确定出勒索可执行文件,并阻止勒索可执行文件的运行。
本发明中,通过为目标路径配置操作权限,可以为系统中各个盘符下的资源设置可操作的时间段,也即预设操作时段,以及在各个预设操作时段中,可执行文件可以对目标路径中的资源进行读、写和删除操作各自对应的第一数量阈值。该第一数量阈值进行设置时通常大于正常工作需要进行各操作的次数,而远小于勒索软件进行勒索攻击时,对目标路径下的资源进行加密所需要的各操作的次数。通常勒索软件在进行勒索攻击时,会在极短时间内通过读写操作对目标路径下的全部资源进行加密,使得用户无法使用,进而达到勒索的目的。所以勒索攻击发生时对目标路径下的资源的操作次数,会远大于正常操作时目标路径下的资源的操作次数,由此,通过为目标路径配置操作权限,可以对可执文件一定时间内在各个盘操作文件的数量进行限制,进而阻止勒索软件加密系统内文件,给用户造成大量损失,避免用户数据资产受到损害。本方法通过利用对可执行程序一定时间内在各个盘操作文件的数量进行限制,阻止勒索软件加密系统内文件,避免用户数据资产受到损害。
同时,在每次可执行文件对应的进程结束后,还会根据对应的操作权限,以及进程执行过程中属性变化信息及操作行为信息,生成操作信息,由此可以通过操作信息中所反映的内容,确定出勒索可执行文件。进而可以更加有针对性的阻止勒索可执行文件的运行,并对其进行快速清理。避免用户再次遭到攻击。本发明不需要基于特征检测恶意代码,具有一定通用性。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本发明的范围和精神。本发明开的范围由所附权利要求来限定。
Claims (10)
1.一种基于权限阻止勒索攻击的方法,其特征在于,所述方法包括如下步骤:
为目标路径配置操作权限,所述操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值;
每当可执行文件对所述目标路径下的资源进行操作后,记录被操作资源的属性变化信息;
记录可执行文件对所述目标路径下的资源进行的操作行为信息;
根据所述操作权限、所述属性变化信息及所述操作行为信息,生成操作信息;
根据所述操作信息,确定出勒索可执行文件,并阻止所述勒索可执行文件的运行。
2.根据权利要求1所述的方法,其特征在于,在每当可执行文件对所述目标路径下的资源进行操作后,记录所述被操作资源的属性变化信息之前,所述方法还包括:
每当可执行文件对所述目标路径下的资源进行操作之前,对所述被操作资源进行备份,生成对应的备份资源。
3.根据权利要求2所述的方法,其特征在于,在根据所述操作信息,确定出勒索可执行文件,并阻止所述勒索可执行文件的运行之后,所述方法还包括:
使用所述备份资源,对被修改的所述被操作资源进行恢复。
4.根据权利要求1所述的方法,其特征在于,所述目标路径包括常规路径及特殊路径;所述常规路径及特殊路径中对应存储的资源存在差异;
为目标路径配置操作权限,包括:
分别为所述常规路径及所述特殊路径配置不同的操作权限。
5.根据权利要求1所述的方法,其特征在于,本方法还包括:
对目标可执行文件进行信任处理,生成所述目标可执行文件对应的运行权限,所述运行权限为所述目标可执行文件在目标时段内对每一资源进行各操作处理对应的第二数量阈值;
根据所述操作权限、所述属性变化信息及所述操作行为信息,生成操作信息,包括:
根据所述运行权限、所述操作权限、所述属性变化信息及所述操作行为信息,生成操作信息。
6.根据权利要求1所述的方法,其特征在于,根据所述操作信息,确定出勒索可执行文件,并阻止所述勒索可执行文件的运行,包括:
若操作行为信息中的任意一种操作行为在所述预设操作时段中的发生的数量大于对应的第一数量阈值,则根据所述属性变化信息及所述操作行为信息确定对应的可执行文件为勒索可执行文件;
结束所述勒索可执行文件对应的进程,并清除所述勒索可执行文件。
7.根据权利要求3所述的方法,其特征在于,在使用所述备份资源,对被修改的所述被操作资源进行恢复之后,所述方法还包括:
每隔预设间隔,将已经完成恢复工作的所述备份资源进行清除。
8.一种基于权限阻止勒索攻击的装置,其特征在于,包括:
配置模块,用于为目标路径配置操作权限,所述操作权限为可执行文件在预设操作时段内,对目标路径下的资源进行各操作处理对应的第一数量阈值;
第一记录模块,用于每当可执行文件对所述目标路径下的资源进行操作后,记录被操作资源的属性变化信息;
第二记录模块,用于记录可执行文件对所述目标路径下的资源进行的操作行为信息;
生成模块,用于根据所述操作权限、所述属性变化信息及所述操作行为信息,生成操作信息;
阻止模块,用于根据所述操作信息,确定出勒索可执行文件,并阻止所述勒索可执行文件的运行。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的一种基于权限阻止勒索攻击的方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的一种基于权限阻止勒索攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211709473.XA CN115964712A (zh) | 2022-12-29 | 2022-12-29 | 一种基于权限阻止勒索攻击的方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211709473.XA CN115964712A (zh) | 2022-12-29 | 2022-12-29 | 一种基于权限阻止勒索攻击的方法、装置、介质及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115964712A true CN115964712A (zh) | 2023-04-14 |
Family
ID=87352481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211709473.XA Pending CN115964712A (zh) | 2022-12-29 | 2022-12-29 | 一种基于权限阻止勒索攻击的方法、装置、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115964712A (zh) |
-
2022
- 2022-12-29 CN CN202211709473.XA patent/CN115964712A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10303877B2 (en) | Methods of preserving and protecting user data from modification or loss due to malware | |
| US10839072B2 (en) | Ransomware resetter | |
| US9317686B1 (en) | File backup to combat ransomware | |
| US8141159B2 (en) | Method and system for protecting confidential information | |
| US20080083037A1 (en) | Data loss and theft protection method | |
| US20210173930A1 (en) | Malware Management Using I/O Correlation Coefficients | |
| CN107563192B (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| JP2003233521A (ja) | ファイル保護システム | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| CN106484570A (zh) | 一种针对防御勒索软件文件数据的备份保护方法和系统 | |
| US20070088923A1 (en) | System and method for fast, secure removal of objects from disk storage | |
| TW202016785A (zh) | 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 | |
| JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| JP2008052390A (ja) | 監査用ログ記録制御方法および情報漏洩監視プログラム | |
| EP1592016A2 (en) | Tape drive apparatus | |
| US9450965B2 (en) | Mobile device, program, and control method | |
| CN113407984A (zh) | 一种为数据库提供安全防护的系统和方法 | |
| CN115964712A (zh) | 一种基于权限阻止勒索攻击的方法、装置、介质及设备 | |
| KR102538694B1 (ko) | 랜섬웨어로부터 데이터를 보호하기 위한 데이터 보호 시스템 | |
| CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
| US11762806B2 (en) | Hardening system clock for retention lock compliance enabled systems | |
| KR100948386B1 (ko) | 컴퓨터 시스템의 원본 보존 장치 및 방법 | |
| CN111030982A (zh) | 一种针对涉密文件的强管控方法、系统及存储介质 | |
| JP2007249304A (ja) | 情報処理装置、機密データ監視方法およびプログラム | |
| US20240106856A1 (en) | Real-Time Anomaly Detection and Rapid Mitigation in a Hybrid Cloud Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |