[发明专利]一种勒索病毒监控方法及装置有效
| 申请号: | 201811564804.9 | 申请日: | 2018-12-20 |
| 公开(公告)号: | CN109766691B | 公开(公告)日: | 2023-08-22 |
| 发明(设计)人: | 龙震岳;吴勤勤;沈伍强 | 申请(专利权)人: | 广东电网有限责任公司;广东电网有限责任公司信息中心 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 张春水;唐京桥 |
| 地址: | 510600 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 勒索 病毒 监控 方法 装置 | ||
本发明提供一种勒索病毒监控方法及装置,该方法包括:监测到存在对蜜罐系统进行操作的可疑操作后,获取与可疑操作对应的可疑序列;初始化沙箱系统,将可疑序列输入沙箱系统进行重放,若重放的结果和可疑序列满足预置恶意条件,则确定可疑序列为恶意序列;获取与对用户系统进行操作的正常操作对应的正常序列后,将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练,得到第一分类模型;再次向第一分类模型输入恶意序列,对第一分类模型进行勒索病毒类型的分类,得到第二分类模型;将用户系统上的操作序列输入第二分类模型,若是勒索病毒所产生的序列,则进行预警。本发明可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种勒索病毒监控方法及装置。
背景技术
勒索病毒一般采用零日漏洞进行传播,区别于其它恶意行为类病毒,勒索病毒往往通过正常的加密手段对数据进行加密,其行为特征与人工操作有较大的相似度,且对勒索病毒进行变种也较为简单,基于固定特征行为进行分析的杀毒软件一般难以对其行为与其它正常操作有效区分,导致无法进行预判,查杀的准确率、效率较低。
发明内容
本发明实施例提供了一种勒索病毒监控方法及装置,可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。
根据本发明的一个方面,提供一种勒索病毒监控方法,包括:
监测到存在对蜜罐系统进行操作的可疑操作后,获取与所述可疑操作对应的可疑序列;
初始化沙箱系统,将所述可疑序列输入所述沙箱系统进行重放,若重放的结果和所述可疑序列满足预置恶意条件,则确定所述可疑序列为恶意序列;
获取与对用户系统进行操作的正常操作对应的正常序列后,将所述正常操作、所述可疑操作和所述恶意操作输入预置机器学习引擎进行训练,得到第一分类模型;
再次向所述第一分类模型输入所述恶意序列,对所述第一分类模型进行勒索病毒类型的分类,得到第二分类模型;
将所述用户系统上的操作序列输入所述第二分类模型,若是勒索病毒所产生的序列,则进行预警。
优选地,所述若重放的结果和所述可疑序列满足预置恶意条件具体为:
若被重放的文件状态为预置恶意状态,且所述可疑序列包含加密API的调用的子序列。
优选地,所述预置恶意状态为已删除或无法打开或打开异常。
优选地,所述对所述第一分类模型进行勒索病毒类型的分类具体为:
基于序列相似度对所述第一分类模型进行勒索病毒类型的分类。
优选地,所述基于序列相似度对所述第一分类模型进行勒索病毒类型的分类具体为:
通过词嵌套方式计算所述恶意序列之间的序列相似度,根据所述序列相似度对所述第一分类模型进行勒索病毒类型的分类。
优选地,所述将所述用户系统上的操作序列输入所述第二分类模型,若是勒索病毒所产生的序列,则进行预警之后还包括:
将所述勒索病毒产生的序列输入所述第二分类模型中进行模型更新。
优选地,所述将所述用户系统上的操作序列输入所述第二分类模型,若是勒索病毒所产生的序列,则进行预警之后还包括:
生成所述勒索病毒的监控报告。
根据本发明的另一方面,提供一种勒索病毒监控装置,包括:
获取模块,用于监测到存在对蜜罐系统进行操作的可疑操作后,获取与所述可疑操作对应的可疑序列;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东电网有限责任公司;广东电网有限责任公司信息中心,未经广东电网有限责任公司;广东电网有限责任公司信息中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811564804.9/2.html,转载请声明来源钻瓜专利网。
