CN116628693A - 一种基于预配置信物的勒索软件防御方法 - Google Patents
一种基于预配置信物的勒索软件防御方法 Download PDFInfo
- Publication number
- CN116628693A CN116628693A CN202310913816.2A CN202310913816A CN116628693A CN 116628693 A CN116628693 A CN 116628693A CN 202310913816 A CN202310913816 A CN 202310913816A CN 116628693 A CN116628693 A CN 116628693A
- Authority
- CN
- China
- Prior art keywords
- letter
- list
- module
- safe
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000007123 defense Effects 0.000 title claims abstract description 26
- 238000012795 verification Methods 0.000 claims abstract description 14
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 92
- 230000008569 process Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 17
- 230000009471 action Effects 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000003068 static effect Effects 0.000 claims description 4
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000006399 behavior Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于预配置信物的勒索软件防御方法,包括信物预配置模块和服务壳模块,通过预先在安全可信环境中让预配置信物模块对于白名单程序指定用户态API进行分析,生成预配置安全信物列表。在可能具有恶意软件的防御环境中,通过运行在内核态的服务壳模块借助代码插桩技术运行信物生成和信物校验算法,实现对于API调用的放行或拒止。本发明提出的方法可以有效保障安全信物的安全性和可信性,由于预配置安全信物是预先在安全可信环境中生成的,因此不存在用来传递信物的信道被占用、窃听等问题。
Description
技术领域
本发明涉及一种网络空间安全的防御方法,尤其是涉及一种基于预配置信物的勒索软件防御方法。
背景技术
勒索软件是指一种恶意软件,它通过感染用户计算机或网络设备,将用户的数据文件进行加密或者限制用户访问,并向用户勒索一定金额的赎金以获取解密或解除限制的方法。勒索软件可以通过多种途径传播,包括电子邮件、恶意网站、网络广告等方式,其中最常见的传播方式是通过电子邮件附件或者链接来进行传播。
一旦用户计算机被感染,勒索软件可以对用户的数据进行加密或者限制访问,从而造成数据丢失或者无法访问的问题,给用户带来极大的经济和数据安全威胁。此外,勒索软件还可能向黑客发送用户的私人数据或者敏感信息,导致个人隐私泄露。
当前,勒索软件已经成为网络安全的一大难题。黑客使用各种技巧和手段来制造新的勒索软件,其传播速度和攻击规模也越来越大。防御勒索软件的方法需要不断发展和创新。基于这样的一个需求背景,很多安全研究人员开始研究并提出很多勒索软件的防御方法。例如《一种基于可信进程树的勒索病毒隔离方法》(CN115859289A),《基于诱饵文件的勒索软件早期检测方法及系统》(CN113626811A),《一种基于IRP分析的加密勒索软件实时监测系统及方法》(CN112287346A)。
但是当前的方法技术主要是依靠勒索软件进程属性、行为动作等相关特征来猜测待检测进程是否为勒索软件进程以便于做出对应阻拦行为,很少有完全可靠的检测方法,会有可能漏报或误报的情况。此外,勒索软件的变异速度非常快,常常使用各种技术手段来逃避传统防御方法的检测,基于特征的检测方法很容易被绕过而失效,从而造成传统防御技术的局限性。
发明内容
本发明提供了一种基于预配置信物的勒索软件防御方法,用于解决现有勒索软件防御方法容易被绕过导致防御失效以及存在误报的问题,其技术方案如下所述:
一种基于预配置信物的勒索软件防御方法,包括以下步骤:
S1:根据对于指定类型文件具有读写权限的软件,制作出白名单程序列表,收集文件读写相关用户态API函数列表,在安全可信的环境下,将白名单程序列表和用户态API函数列表中的程序和用户态API作为信物预配置模块的输入;
S2:信物预配置模块生成预配置安全信物列表;
S3:服务壳模块使用同信物预配置模块相同的算法生成一个待校验安全信物,然后和信物预配置模块预先生成的预配置安全信物列表进行信物校验,依据校验结果输出此次针对用户数据文件的写入行为是否合法的判别结果以及放行或拒止的动作。
进一步的,步骤S2中,信物预配置模块生成预配置安全信物列表,包括以下步骤:
S21:对于白名单列表中的每一个程序,在一个安全可信的环境下,通过静态分析和动态分析的方法,寻找某一组用户态API在程序中的所有指定的用户态API调用点,确定该程序运行后的进程中所有指定用户态API调用点在内存中的位置;
S22:通过信物生成算法,收集调用点周围内存上下文特征,在相对于调用点偏移D处提取出一组长度为L的内存数据,并将内存数据hash值、偏移D、长度L以及包含了该调用点相关属性的信息打包为一个四元组<内存数据hash,偏移D,长度L,调用点相关属性>,作为一个信物;
S23:生成该程序所有指定用户态API调用点的所有信物,最终信物预配置模块输出一个信物列表。
进一步的,步骤S22中,所述调用点相关属性包含进程名、调用点所处模块名、调用点偏移。
进一步的,步骤S3中,服务壳模块的处理方式包括以下步骤:
S31:服务壳模块通过代码插桩的方式对于指定内核态API的执行流程进行接管,载入信物预配置模块输出的信物列表;
S32:当白名单应用程序/服务调用用户态API发起写文件操作时,用户态API试图调用内核态API但被会服务壳拦截;
S33:服务壳代码通过同信物预配置模块相同的算法生成一个预配置安全信物,然后根据已加载的预配置信物列表进行信物校验,若校验成功,则模型输出放行动作。
进一步的,步骤S33中,对于未经过信物预配置的程序,由于服务壳载入的预配置信物列表中不包含其相关信物,其在服务壳的信物校验会失败,此时模型输出拒止动作,终止其对于内核态API函数的调用,达到保护数据文件免受包括勒索软件在内的非白名单程序的未授权读写的目的。
进一步的,还包括信物预配置模块,所述信物预配置模块运行在一个安全可信的环境下,负责提前对于预先指定的用户态API在白名单程序中的调用点进行分析,对每个调用点生成一个预配置安全信物,白名单程序中所有调用点对应的预配置安全信物组成一个预配置安全信物列表,并提供给服务壳模块;
进一步的,所述信物预配置模块的输入是一系列待分析的白名单程序和一组用户态API函数,其输出是一个预配置安全信物列表。
进一步的,还包括服务壳模块,所述服务壳模块的作用是通过代码插桩的方式接管内核态API的调用流程,当用户态API调用内核态API时,服务壳模块通过用户态API的调用点信息生成待校验安全信物,并根据预配置安全信物列表对于待校验安全信物进行安全信物校验,即判断待校验信物是否存在于预配置安全信物列表中,最后根据校验结果决定是否放行或拒止此次内核态API调用行为。
所述基于预配置信物的勒索软件防御方法,对于指定白名单程序的指定用户态API调用点进行预配置安全信物生成,使用程序分析和安全信物的生成、校验技术构建基于预配置信物的勒索软件防御模型,允许预先经过信物预配置的白名单合法程序/服务调用写文件相API,阻断恶意代码对写文件相关API的调用。同时利用该防御模型阻止勒索软件对用户数据的破坏,保护用户数据安全。
附图说明
图1是所述基于预配置信物的勒索软件防御方法对应的模型架构图;
图2是实施例中信物预配置模块生成预配置信物列表的示意图;
图3是实施例中服务壳模块放行对于该API的调用示意图;
图4是实施例中服务壳模块拒绝对于该API的调用示意图。
具体实施方式
经过调查,勒索软件通过对用户数据文件进行加密覆写来达到剥夺用户对自己数据控制权的目的,例如常见的勒索软件如WannaCry、LockBit等,通过对于各种文档文件、数据库文件进行加密的方式,使得用户无法读取原本的数据,只能被迫向黑客支付赎金以期望获得文件恢复方法。现有的勒索软件防御方法通常是通过特征匹配等方法对已知的勒索软件进行识别,但这类方法在面对未知的或经过改造的已知勒索软件具有很大的局限性。目前还没有通过信物预配置对写文件敏感服务实施保护来实现阻止勒索软件破坏用户文件数据的方法。
根据系统内已知的、可向用户数据文件实施写入操作的合法白名单应用程序/服务与勒索软件向用户数据文件写入行为的差异性,本发明提出了一种基于预配置信物的勒索软件防御方法,其总体架构如图1所示:
本发明包括两个模块:信物预配置模块和服务壳模块。
所述信物预配置模块运行在一个安全可信的环境下,负责提前对于预先指定的用户态API在白名单程序中的调用点进行分析,对每个调用点生成一个预配置安全信物,白名单程序中所有调用点对应的预配置安全信物组成一个预配置安全信物列表,并提供给服务壳模块。
所述服务壳模块的作用是通过代码插桩的方式接管内核态API的调用流程,当用户态API调用内核态API时,服务壳模块通过用户态API的调用点信息生成待校验安全信物,并根据预配置安全信物列表对于待校验安全信物进行安全信物校验,即判断待校验信物是否存在于预配置安全信物列表中,最后根据校验结果决定是否放行或拒止此次内核态API调用行为。
可见,信物预配置模块的输入是一系列待分析的白名单程序和一组用户态API函数,其输出是一个预配置安全信物列表。服务壳模块的输入是要进行代码插桩的内核态API和对于用户态API的调用请求,输出是表示此次内核态API的调用请求是否合法的判别结果,以及放行或拒止的动作。
在操作时,首先选定对于指定类型文件应当具有文件读写权限白名单程序,指定文件读写相关用户态API集合,预配置信物模块分析白名单程序所有指定用户态API调用点并生成信物列表。服务壳运行时载入这个信物列表作为预配置信物列表,只有白名单程序内经过信物预配置的用户态API调用点发起的调用才能够通过服务壳的信物校验,而包含勒索软件在内的非白名单程序产生的用户态API调用、通过漏洞攻击导致的白名单程序内产生的新的未知用户态API调用,都无法通过服务壳的信物校验,导致对于文件的读写行为被拒止,有效阻止了勒索软件对于用户数据文件的破坏。
本发明最终实现的效果是:对于预先通过信物预配置模块进行了安全信物预配置的白名单程序产生的那些进程,在调用内核态API函数时可以成功调用,而对于未在白名单程序内没有经过安全信物预配置的未知程序产生的那些进程,其对于内核态API函数的调用会被拒止。即只有提前经过信物预配置的白名单程序生成的那些进程才能对指定文件进行读写,而包括勒索软件在内的其他未经过信物预配置的程序生成的那些进程对于文件的读写操作会被服务壳模块拒止,从而达到了防止勒索软件破坏数据文件的目的。
其中,信物列表是一个抽象的概念,其具体实现不一定采用线性存储结构,而是可以采用树或者hash表等查找效率较高的数据结构。一个信物包含了进程名和信物hash串等信息,可以将进程名作为查询树的一级节点,也可以作为hash表的键。安全信物列表包含了所有白名单程序的所有预配置信物,其内部存储形式根据具体实现时候采用的不同数据结构而确定。
以下是结合基于预配置信物的勒索软件防御模型的防御方法的流程描述:
S1:确定哪些程序应该具有对于某种文件进行读写的权限,确定一个白名单程序列表,收集文件读写相关用户态API函数列表,在安全可信的环境下,将白名单程序列表和用户态API函数列表中的程序和用户态API作为信物预配置模块的输入。
S2:信物预配置模块生成预配置安全信物列表,包括以下步骤:
S21:对于白名单列表中的每一个程序,在一个安全可信的环境下,通过静态分析和动态分析的方法,寻找某一组用户态API在程序中的所有指定的用户态API调用点,确定该程序运行后的进程中所有指定用户态API调用点在内存中的位置;
S22:通过信物生成算法,收集调用点周围内存上下文特征,在相对于调用点偏移D处提取出一组长度为L的内存数据,并将内存数据hash值、偏移D、长度L以及包含了该调用点相关属性的信息打包为一个四元组<内存数据hash,偏移D,长度L,调用点相关属性>,其中调用点相关属性包含进程名、调用点所处模块名、调用点偏移,该四元组作为一个信物;
S23:生成该程序所有指定用户态API调用点的所有信物,最终信物预配置模块输出一个信物列表。
S3:服务壳模块的作用是当内核态API被因用户态API的调用而被调用的时候,收集用户态API调用点处的内存上下文等信息,使用同信物预配置模块相同的算法生成一个待校验安全信物,然后和信物预配置模块预先生成的预配置安全信物列表进行信物校验,依据校验结果输出此次针对用户数据文件的写入行为是否合法的判别结果以及放行或拒止的动作。包括以下步骤:
S31:服务壳模块通过代码插桩的方式对于指定内核态API的执行流程进行接管,载入信物预配置模块输出的信物列表;
S32:当白名单应用程序/服务调用用户态API发起写文件操作时,用户态API试图调用内核态API但被会服务壳拦截;
S33:服务壳代码通过同信物预配置模块相同的算法生成一个预配置安全信物,然后根据已加载的预配置信物列表进行信物校验,若校验成功,则模型输出放行动作。
其中,对于一个白名单程序的某个用户态API调用点来说,预配置阶段生成的“预配置安全信物”和服务壳为了做信物校验时候生成的“待校验安全信物”是相同的。校验算法保障了一个白名单程序在预配置阶段和服务壳校验阶段的两个进程的用户态API调用点处的内存数据即使有略微不同,也能忽略不同的内存数据而去选择相同的内存数据来生成相同的信物。因此同一白名单程序在不同时间运行生成的进程不会影响安全信物生成的不变性。
步骤S33中,对于勒索软件等未经过信物预配置的程序,由于服务壳载入的预配置信物列表中不包含其相关信物,其在服务壳的信物校验会失败,那么此时模型输出拒止动作,终止其对于内核态API函数的调用,达到保护数据文件免受包括勒索软件在内的非白名单程序的未授权读写的目的。
在本发明提供的某实施例中,如图2所示,首先在安全可信环境中对于某白名单的文件读写相关用户态API调用点进行分析,生成了包含预配置信物A、预配置信物B在内的预配置信物列表。
如图3所示,当白名单内的应用程序/服务的某用户态API调用点B发起对于用户态写入行为相关API的调用请求进而触发内核态写文件相关API时,代码执行流程被服务壳插桩代码接管,服务壳代码使用和信物预配置模块相同的算法生成了一个信物B,而由于服务壳载入的预配置信物列表中也包含预配置信物B,则此时信物校验通过,服务壳放行对于该API的调用,文件读写功能正常执行。
如图4所示,当某不在白名单内的恶意软件进程的某用户态API调用点D对于用户态写入行为相关API的调用请求进而触发内核态写文件相关API时,代码执行流程被服务壳插桩代码接管,服务壳代码使用和信物预配置模块相同的算法生成了一个信物D,而由于服务壳载入的预配置信物列表中不包含预配置信物D,则此时信物校验失败,服务壳拒绝对于该API的调用,恶意软件无法对文件进行读写,用户数据得到保护。
所述基于预配置信物的勒索软件防御方法具有以下特点:
(1)实现程序调用点分析,对于一个给定程序软件通过静态分析和动态分析相结合的方法找到所有指定用户态API调用点在内存中的位置。
(2)实现内核态代码插桩,当触发写文件相关的内核态API函数以及系统调用的时候接管代码流程并运行自定义代码。
(3)实现信物生成算法和信物校验算法,收集调用用户态API函数附近的内存数据根据算法生成信物,实现校验指定信物是否合法的方法。
勒索软件对于计算机文件进行加密,对用户数据安全性造成了巨大威胁。基于需要对勒索软件破坏数据文件的行为进行有效防御的需求,本发明提出的基于预配置信物的勒索软件防御方法,通过本发明,可以产生以下有益效果:
(1)基于安全信物预配置的思想,提前在安全可信环境中对于白名单程序的指定用户态API调用点分析生成预配置安全信物,保障了预配置安全信物的保密性和可信性。
(2)通过代码插桩技术接管内核态API执行流程,借助信物校验机制阻止勒索软件对于写文件相关API的调用,可以有效防御勒索软件对于数据文件的破坏和加密,是一种高效、可靠、实用的数据安全防御技术,可以有效地保护用户的数据安全性,减少勒索软件对于用户造成的损失和威胁。
(3)现有的勒索软件防御方法通常是通过特征匹配等方法对已知的勒索软件进行识别,但这类方法在面对未知的或经过改造的已知勒索软件具有很大的局限性,不能够保证一定能阻止勒索软件对于用户数据破坏。目前还没有通过基于预配置信物对写文件敏感服务实施保护来实现阻止勒索软件破坏用户文件数据的方法,本发明填补了勒索软件防御在该层面上的空白。
Claims (8)
1.一种基于预配置信物的勒索软件防御方法,包括以下步骤:
S1:根据对于指定类型文件具有读写权限的软件,制作出白名单程序列表,收集文件读写相关用户态API函数列表,在安全可信的环境下,将白名单程序列表和用户态API函数列表中的程序和用户态API作为信物预配置模块的输入;
S2:信物预配置模块生成预配置安全信物列表;
S3:服务壳模块使用同信物预配置模块相同的算法生成一个待校验安全信物,然后和信物预配置模块预先生成的预配置安全信物列表进行信物校验,依据校验结果输出此次针对用户数据文件的写入行为是否合法的判别结果以及放行或拒止的动作。
2.根据权利要求1所述的基于预配置信物的勒索软件防御方法,其特征在于:步骤S2中,信物预配置模块生成预配置安全信物列表,包括以下步骤:
S21:对于白名单列表中的每一个程序,在一个安全可信的环境下,通过静态分析和动态分析的方法,寻找某一组用户态API在程序中的所有指定的用户态API调用点,确定该程序运行后的进程中所有指定用户态API调用点在内存中的位置;
S22:通过信物生成算法,收集调用点周围内存上下文特征,在相对于调用点偏移D处提取出一组长度为L的内存数据,并将内存数据hash值、偏移D、长度L以及包含了该调用点相关属性的信息打包为一个四元组<内存数据hash,偏移D,长度L,调用点相关属性>,作为一个信物;
S23:生成该程序所有指定用户态API调用点的所有信物,最终信物预配置模块输出一个信物列表。
3.根据权利要求2所述的基于预配置信物的勒索软件防御方法,其特征在于:步骤S22中,所述调用点相关属性包含进程名、调用点所处模块名、调用点偏移。
4.根据权利要求1所述的基于预配置信物的勒索软件防御方法,其特征在于:步骤S3中,服务壳模块的处理方式包括以下步骤:
S31:服务壳模块通过代码插桩的方式对于指定内核态API的执行流程进行接管,载入信物预配置模块输出的信物列表;
S32:当白名单应用程序/服务调用用户态API发起写文件操作时,用户态API试图调用内核态API但被会服务壳拦截;
S33:服务壳代码通过同信物预配置模块相同的算法生成一个预配置安全信物,然后根据已加载的预配置信物列表进行信物校验,若校验成功,则模型输出放行动作。
5.根据权利要求4所述的基于预配置信物的勒索软件防御方法,其特征在于:步骤S33中,对于未经过信物预配置的程序,由于服务壳载入的预配置信物列表中不包含其相关信物,其在服务壳的信物校验会失败,此时模型输出拒止动作,终止其对于内核态API函数的调用,达到保护数据文件免受包括勒索软件在内的非白名单程序的未授权读写的目的。
6.根据权利要求1所述的基于预配置信物的勒索软件防御方法,其特征在于:还包括信物预配置模块,所述信物预配置模块运行在一个安全可信的环境下,负责提前对于预先指定的用户态API在白名单程序中的调用点进行分析,对每个调用点生成一个预配置安全信物,白名单程序中所有调用点对应的预配置安全信物组成一个预配置安全信物列表,并提供给服务壳模块。
7.根据权利要求6所述的基于预配置信物的勒索软件防御方法,其特征在于:所述信物预配置模块的输入是一系列待分析的白名单程序和一组用户态API函数,其输出是一个预配置安全信物列表。
8.根据权利要求6所述的基于预配置信物的勒索软件防御方法,其特征在于:还包括服务壳模块,所述服务壳模块的作用是通过代码插桩的方式接管内核态API的调用流程,当用户态API调用内核态API时,服务壳模块通过用户态API的调用点信息生成待校验安全信物,并根据预配置安全信物列表对于待校验安全信物进行安全信物校验,即判断待校验信物是否存在于预配置安全信物列表中,最后根据校验结果决定是否放行或拒止此次内核态API调用行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310913816.2A CN116628693B (zh) | 2023-07-25 | 2023-07-25 | 一种基于预配置信物的勒索软件防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310913816.2A CN116628693B (zh) | 2023-07-25 | 2023-07-25 | 一种基于预配置信物的勒索软件防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116628693A true CN116628693A (zh) | 2023-08-22 |
CN116628693B CN116628693B (zh) | 2023-09-29 |
Family
ID=87610247
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310913816.2A Active CN116628693B (zh) | 2023-07-25 | 2023-07-25 | 一种基于预配置信物的勒索软件防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116628693B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008064551A1 (fr) * | 2006-11-27 | 2008-06-05 | Coobol Technologis Co. Ltd. | Système et procédé pour empêcher l'intrusion de programme malveillant |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
WO2018004891A1 (en) * | 2016-07-01 | 2018-01-04 | Mcafee, Inc. | Ransomware protection for cloud file storage |
US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
KR101937325B1 (ko) * | 2017-10-30 | 2019-01-14 | 주식회사 시큐어링크 | 악성코드 감지 및 차단방법 및 그 장치 |
CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
KR20210001057A (ko) * | 2019-06-26 | 2021-01-06 | 주식회사 엠시큐어 | 랜섬웨어 탐지 및 차단 방법 |
CN113326488A (zh) * | 2021-05-26 | 2021-08-31 | 广东工业大学 | 一种个人信息保护系统以及方法 |
CN115310084A (zh) * | 2022-07-28 | 2022-11-08 | 上海爱数信息技术股份有限公司 | 一种防篡改的数据保护方法及系统 |
-
2023
- 2023-07-25 CN CN202310913816.2A patent/CN116628693B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008064551A1 (fr) * | 2006-11-27 | 2008-06-05 | Coobol Technologis Co. Ltd. | Système et procédé pour empêcher l'intrusion de programme malveillant |
CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
WO2018004891A1 (en) * | 2016-07-01 | 2018-01-04 | Mcafee, Inc. | Ransomware protection for cloud file storage |
US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
KR101937325B1 (ko) * | 2017-10-30 | 2019-01-14 | 주식회사 시큐어링크 | 악성코드 감지 및 차단방법 및 그 장치 |
KR20210001057A (ko) * | 2019-06-26 | 2021-01-06 | 주식회사 엠시큐어 | 랜섬웨어 탐지 및 차단 방법 |
CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
CN113326488A (zh) * | 2021-05-26 | 2021-08-31 | 广东工业大学 | 一种个人信息保护系统以及方法 |
CN115310084A (zh) * | 2022-07-28 | 2022-11-08 | 上海爱数信息技术股份有限公司 | 一种防篡改的数据保护方法及系统 |
Non-Patent Citations (1)
Title |
---|
郭春生: "基于动态分析的勒索软件检测方法研究", 中国优秀硕士学位论文全文数据库, no. 2020, pages 1 - 78 * |
Also Published As
Publication number | Publication date |
---|---|
CN116628693B (zh) | 2023-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kharaz et al. | {UNVEIL}: A {Large-Scale}, automated approach to detecting ransomware | |
US9317701B2 (en) | Security methods and systems | |
Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
Moussaileb et al. | A survey on windows-based ransomware taxonomy and detection mechanisms | |
Wang et al. | Automatically Traceback RDP‐Based Targeted Ransomware Attacks | |
Thomas et al. | Machine learning and cybersecurity | |
Vidyarthi et al. | Static malware analysis to identify ransomware properties | |
Mos et al. | Mobile security: A look into android | |
Villalba et al. | Ransomware automatic data acquisition tool | |
Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
Atapour et al. | Modeling Advanced Persistent Threats to enhance anomaly detection techniques | |
Tuscano et al. | Types of keyloggers technologies–survey | |
Zakaria et al. | Early detection of windows cryptographic ransomware based on pre-attack api calls features and machine learning | |
CN116628693B (zh) | 一种基于预配置信物的勒索软件防御方法 | |
Malik et al. | Critical feature selection for machine learning approaches to detect Ransomware | |
Balakrishnan et al. | An analysis on Keylogger Attack and Detection based on Machine Learning | |
US20220060502A1 (en) | Network Environment Control Scanning Engine | |
Sharma et al. | Smartphone security and forensic analysis | |
Biondi et al. | MASSE: Modular automated syntactic signature extraction | |
Yadav et al. | A complete study on malware types and detecting ransomware using API calls | |
Abbas et al. | A comprehensive approach to designing internet security taxonomy | |
Aslan | Ransomware detection in cyber security domain | |
Gupta et al. | Machine learning forensics: A New Branch of digital forensics | |
Msaad et al. | Honeysweeper: Towards stealthy honeytoken fingerprinting techniques | |
Wang et al. | Malicious code detection for trusted execution environment based on paillier homomorphic encryption |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |