[发明专利]一种基于文件状态分析的勒索软件检测方法

权利要求书

1.一种基于文件状态分析的勒索软件检测方法，其特征在于：首先，系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块，分析模块，响应模块，以及一个监控时间窗口W；然后，从主机中文件状态的多方面逻辑出发，在每个长度为W的时间单元内，全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察；最后，根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果，向系统的分析模块反馈各自的监控因子，如果各监控因子的数值总和达到甚至超过了预设的告警门限值，则判断所测程序为勒索软件，并将该信息推送至系统的响应模块进行处理。

2.根据权利要求1所述的基于文件状态分析的勒索软件检测方法，其特征在于，包括以下步骤：

(1)所述文件内容监控模块分别对访问文件前后文件头的变化情况，访问文件前后文件的相似程度，以及访问文件前后文件香农熵的变化情况进行监控，并维护监控因子F1，每隔长度为W的时间单元后对监控因子F1进行清零操作；

(2)所述文件目录监控模块分别对同一目录下被访问文件的数量以及不同后缀名类型的文件被修改并保存为同一类型文件的情况进行监控，并维护监控因子F2，每隔长度为W的时间单元后对监控因子F2进行清零操作；

(3)所述文件增删监控模块分别对用户文件的删除情况和新增说明文档的行为进行监控，并维护监控因子F3，每隔长度为W的时间单元后对监控因子F3进行清零操作；

(4)在监控时间窗口W内，所述分析模块接收来自文件内容监控模块、文档目录监控模块、文档增删监控模块的反馈因子F1、F2、F3，以及相应的文件状态变化日志信息；分析模块计算因子和F＝F1+F2+F3，预设定告警门限值T，如果F大于或等于T，分析模块将日志信息、程序名称和进程标识符提交至响应模块；

(5)根据分析模块提供的程序信息，响应模块立即挂起对应的程序，并进行告警操作。

3.根据权利要求2所述的基于文件状态分析的勒索软件检测方法，其特征在于：所述步骤(1)中，在监控时间窗口W内，针对仅对文件的关键信息部分，即文件头，进行修改或加密的勒索软件类型，文件内容监控模块监控所测程序访问主机文件前后，文件头的变化情况，以判断被测程序是否对用户数据文件进行了读访问或写操作；如果被测程序对用户数据文件进行了读访问，则记录此时文件的文件头信息；如果被测程序进一步对文件进行了写操作，则将文件访问前和进行写操作后的文件头信息进行比较，如果文件头信息发生改变，便将监控因子F1的数值增加1；

由于发生数据加密的文件前后内容的相似度将会显著降低，在监控时间窗口W内，针对将整体文件进行加密的勒索软件类型，文件内容监控模块监控所测程序访问主机文件前后，文件本身的相似程度，以判断被测程序是否对系统中的用户文件进行了读访问或写操作；如果被测程序对系统中的用户文件进行了读访问，则计算并保存此时的文件哈希值H_前；如果被测程序进一步对文件进行了写操作，则计算此时的文件哈希值H_后，H_前和H_后的计算均使用相似性摘要哈希算法SDH，从而可以根据SDH算法比较H_前和H_后的相似度，得到相似度分数S；预设相似程度下限值A，如果文件的相似性较低，即S低于预设相似程度下限值A，则监控因子F1的数值增加1；

由于发生数据加密的密文文件的香农熵会显著增加，在监控时间窗口W内，针对进一步对应将整体文件进行加密的勒索软件类型，文件内容监控模块监控所测程序访问主机文件前后，文件香农熵的变化情况，以判断被测程序是否对系统中的用户文件进行了读访问或写操作；如果被测程序对系统中的用户文件进行了读访问，则计算并保存此时的文件香农熵E_前；如果被测程序进一步对文件进行了写操作，则计算此时的文件香农熵E_后，预设文件熵差异上限值B；如果E_后与E_前之差超过预设文件熵差异上限值B，则监控因子F1的数值增加1。