[发明专利]一种基于文件请求监控的勒索软件实时检测与防御方法在审
| 申请号: | 201710785859.1 | 申请日: | 2017-09-04 |
| 公开(公告)号: | CN107563199A | 公开(公告)日: | 2018-01-09 |
| 发明(设计)人: | 张尧 | 申请(专利权)人: | 郑州云海信息技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 济南信达专利事务所有限公司37100 | 代理人: | 阚恭勇 |
| 地址: | 450000 河南省郑州市*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 文件 请求 监控 勒索 软件 实时 检测 防御 方法 | ||
1.一种基于文件请求监控的勒索软件实时检测与防御方法,其特征在于,
在用户主机中监控被测程序是否有对于用户文件的操作行为,如有,则将该文件镜像至受保护存储区域,在该区域实施对于文件的操作,并记录完整的操作信息;
进一步,结合基于文件内容和操作行为分析的可疑性度量机制,判断程序是否为勒索软件;如果是,则删除受保护区中的文件并清除程序;若不是恶意软件,则根据受保护区中的文件进行文件的更新与同步,保证数据与正常情况下的一致性。
2.根据权利要求1所述的方法,其特征在于,
通过内核空间的监控模块结合系统服务管理模块,拦截并重定向被测程序的输入/输出请求包,记录对于文件的写或者删除操作,并在受保护存储区域中管理和执行这些文件操作;此外,在用户空间存在守护进程,分别称之为分析模块和预警模块,其中分析模块计算被测程序的可疑性评分,而预警模块用以向用户提示可能存在的恶意勒索软件。
3.根据权利要求2所述的方法,其特征在于,
可疑性度量考虑两个方面,分别是文件内容特征,包括:1)数据块二进制香农熵,2)文件内容覆盖,3)文件删除操作;以及文件操作行为特征,包括:1)目录遍历行为,2)文件类型转换,3)访问频率;
可疑性度量的结果是该程序的可疑度评分,如果评分高于预设的门限值,则程序将被挂起,预警模块通过可交互界面向用户报警;如果用户认为程序是勒索软件,则删除受保护区中的文件并清除程序;若不是恶意软件,则根据受保护区中的文件进行原文件的更新与同步,保证数据与正常情况下的一致性。
4.根据权利要求3所述的方法,其特征在于,
具体步骤为:
步骤1:在时刻t,被测程序A发送请求R,请求对文件F进行写或者删除访问。系统服务管理模块接收到该请求R,检查程序是否有写或删除访问文件F的权限,并检查文件F是否存在于相应的目录路径中;如果没有权限或路径不存在,则提示错误信息;如果权限满足且路径正常,则系统服务管理模块调用内核监控模块,从而开启监控;
步骤2:将原文件设置为只读,并将文件镜像至受保护区域,此时文件称之为镜像文件;内核监控模块将拦截的请求R重定向至受保护存储区,并在镜像文件上进行写或者删除操作;
步骤3:在每次文件操作完成后,受保护区域保存操作的信息,如写操作的偏移量和数据字节长度,文件名称、类型,文件所在路径;
步骤4:根据文件操作的信息,分析模块不断更新并确定被测程序的可疑性评分,并将可疑性度量的结果与预设的门限值a进行比较;
步骤(4)进一步包括以下步骤
步骤(4.1):分析数据块二进制香农熵的变化,属于文件内容特征监控;发明监控程序进行写操作前后,文件被修改部分数据块熵的变化r1,该值由数据块写操作后和写操作前的二进制香农熵进行相减得到;因此,r1的值介于0和1之间,更接近1的r1值意味着写操作中存在着更高的熵值;如果写操作后的熵值低于写操作前的熵值,则设置r1=0;
步骤(4.2):同时,分析文件内容覆盖的情况,属于文件内容特征监控;监控所测程序访问主机文件前后,文件被修改的程度;记文件F的大小为DF,YF是程序修改数据块的总长度,则文件内容覆盖率r2=YF/DF;
步骤(4.3):同时,分析文件被删除的情况,属于文件内容特征监控;如果所测程序的I/O请求是对某一用户文件进行删除,则设置文件删除状态值r3为1,否则r3保持为0;
步骤(4.4):同时,分析程序的遍历目录行为,属于文件操作行为特征监控;监控所测程序是否使用写权限访问统一目录下数个文件;设一个路径下文件夹共计文件数量为ni,程序使用写权限请求访问的不同文件数量为di;则r4=ni/di,r4的取值也介于0和1之间;
步骤(4.5):同时,分析程序文件类型转换的情况,属于文件操作行为特征监控;监控程序的I/O活动中是否申请了不同文件类型的文件写请求;如果所测程序申请了不同类型的文件写请求,则将程序所对应的跨文件类型申请状态值r5设为1,否则r5保持为0;
步骤(4.6):同时,分析程序访问文件频率的情况,属于文件操作行为特征监控;监控所测程序对两个不同的用户文件进行写访问的时间间隔q,则程序访问文件的频率r6为1/q;
步骤(4.7):根据步骤(4.1)至(4.6)的监控结果,可以得到所测程序在t时刻的整体可疑性评分M,M的计算方式为:
其中wi都是预设的权重值,不失一般性的,可以设置w1=0.92,w2=0.98,w3=0.63,w4=1,w5=0.71,w6=0.96;
步骤(5):根据计算得到的可疑性评分M进行响应;如果可疑性程度高于门限值a,则挂起被测程序,并发送预警提示信息至用户界面,由用户最终决定被测程序的恶意与否;如果用户认为程序为勒索程序,则程序A将被终止并删除,同时受保护区域中的镜像文件将被清理;门限值a设置为0.15;
步骤(6):在用户认为程序是合法程序的情况下,或者当被测程序对N个文件进行操作后,其可疑性评分仍低于门限值的情况下,将认定程序为合法程序;设置N=6;此时,恢复原文件的读写状态,并根据受保护区中的镜像文件,进行原文件内容的更新与同步,保证所得数据与正常情况下的一致性。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于郑州云海信息技术有限公司,未经郑州云海信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710785859.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种工业控制系统的主机病毒防治系统及方法
- 下一篇:一种文件管理方法和装置
