[发明专利]一种基于行为分析的勒索病毒检测方法及系统在审
申请号: | 201710661543.1 | 申请日: | 2017-08-04 |
公开(公告)号: | CN107423623A | 公开(公告)日: | 2017-12-01 |
发明(设计)人: | 张尧 | 申请(专利权)人: | 郑州云海信息技术有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/55 |
代理公司: | 济南信达专利事务所有限公司37100 | 代理人: | 冯春连 |
地址: | 450000 河南省郑州市*** | 国省代码: | 河南;41 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 行为 分析 勒索 病毒 检测 方法 系统 | ||
技术领域
本发明涉及恶意代码检测技术领域,具体地说是一种基于行为分析的勒索病毒检测方法及系统。
背景技术
现阶段,层出不穷的恶意代码对包括服务器主机在内的关键信息基础设施,构成了极大的安全威胁。而勒索病毒作为一类新型恶意代码,可以借助网络进行蠕虫或钓鱼式传播,并在被感染主机肆意加密文件,最终以此索要赎金——严重地影响了主机文件的安全性和可用性。然而,现有的勒索病毒检测方案大多使用特征码匹配或是备份后还原文件等被动检测方式,这些防御机制往往缺乏主动性,无法检测出未知病毒;另有一些防御方案通过文件信息比对的单方面逻辑进行检测,而这些方案没有全面地对所测程序的行为进行刻画,存在着误报率过高的局限性。
基于上述问题,本发明提出了一种基于行为分析的Windows系统勒索病毒检测方法,通过对系统中运行程序的行为进行实时监控和及时告警,检测出对主机文件进行非法破坏的潜在勒索病毒/勒索软件,提升服务器主机系统的实时预警与主动防御能力。
发明内容
本发明的技术任务是解决现有技术的不足,提供一种基于行为分析的勒索病毒检测方法及系统,通过对系统中运行程序的行为进行实时监控和及时告警,检测出对主机文件进行非法破坏的潜在勒索病毒/勒索软件,提升服务器主机系统的实时预警与主动防御能力。
本发明的技术方案是按以下方式实现的:
一种基于行为分析的勒索病毒检测方法,包括
实时且持续的监控Windows操作系统中的运行程序;
设定监控结果的阈值N;
判断监控结果是否不小于所述阈值,在监控结果不小于所述阈值时,对监控结果进行实时告警处理;
设定时间长度为T的监控时段,每间隔T时长即对监控结果进行清零操作。
所涉及检测方法实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分。
所涉及检测方法实时且持续监控文件操作部分的具体内容包括:
A)监控运行程序对于Windows系统主文件表MFT的访问情况:预设MFT中被修改文件数的上限n1,在T时长内,如果监控的运行程序对MFT进行的表项修改操作数不小于了预设上限n1,则文件操作部分的监控结果增加1;
B)监控运行程序在不同目录下进行文件操作的情况:预设修改数量上限n1目录,当在同一目录路径中实际修改文件的数量不小于预设上限时,文件操作部分的监控结果增加1。
所涉及检测方法实时且持续监控敏感函数调用部分的具体操作为:根据API调用Hook的方式,排查运行程序是否对Windows平台标准加密库函数进行了调用,如果在T时长内存在相关调用,则敏感函数调用部分的监控结果增加1。
所涉及检测方法实时且持续监控界面显示部分的具体操作包括:
A)监控运行程序对于系统桌面锁定情况:在T时长内,根据API调用Hook的方式,检查运行程序是否对主机桌面进行了切换和锁定,如果发现API函数GetThreadDesktop、CreateDesktop、SwitchDesktop的出现顺序调用时,桌面可能将发生更换并锁定,界面显示部分的监控结果增加1;
B)监控运行程序对于桌面背景图像的切换情况:在T时长内,如果检测到注册表中与桌面背景图像有关键值的变化,发现相应键值“HKCU/Control Panel/Desktop/Wallpaper”项被修改,则桌面壁纸发生了更换,界面显示部分的监控结果增加1。
所涉及检测方法实时且持续监控网络数据部分的具体操作为:检测运行程序是否通过典型的Tor网络端口进行网络通信,如果发现相应端口的活动,网络数据部分的监控结果增加1。
所涉及告警处理的方式是:弹出可视化窗体与用户进行交互,列举检测出的可疑程序名称或进程标识符,最终由用户决定是否对程序进行终止或放行。
本发明还提供一种基于行为分析的勒索病毒检测系统,包括:
实时监控模块,用于实时且持续监控Windows操作系统中的运行程序;
阈值模块,用于确定运行程序的监控结果是否不小于设定的阈值;
判断模块,用于判定是否将监控结果发送至告警模块;
告警模块,用于接收判断模块发送的监控结果并进行告警处理。
所涉及检测系统还包括:
清零模块,用于对设定时间长度内的监控结果进行清零。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于郑州云海信息技术有限公司,未经郑州云海信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710661543.1/2.html,转载请声明来源钻瓜专利网。