[发明专利]一种快速检测和防范恶意软件的方法和系统

说明书

本发明涉及信息安全领域，尤其涉及一种快速检测和防范恶意软件的方法和系统，包括如下步骤：步骤1，感知执行新程序的动作；步骤2，为新程序构建容器环境；步骤3，在容器环境中运行新程序；步骤4，检测到新程序破坏了容器环境中的文件，判定为恶意软件，予以阻断。在容器环境中，文件内容被篡改，或者文件被改名，或者文件被删除，均视为对文件的破坏。本发明能够检测和防范其他文件破坏类的恶意软件，尤其能够检测和防范勒索软件，包括潜伏型勒索软件。

技术领域

本发明涉及信息安全领域，尤其涉及一种快速检测和防范恶意软件的方法和系统。

背景技术

勒索软件是黑客用来劫持用户资产或资源，并以此为条件向用户勒索钱财的一种恶意软件。为了更有效地防御勒索软件的攻击，人们针对勒索软件的特点，提出了一些新的检测方法和防范手段，这些方法可以归纳为四类：行为分析类、机器学习类、备份副本类和尝试解密类。

人们已经意识到传统的病毒特征码检测方法的缺陷，“201710942962.2一种基于序列比对算法的勒索软件变种检测方法”，“201810585511.2一种特征优选的Android勒索软件检测方法”，和“201810585511.2一种特征优选的Android勒索软件检测方法”，采用机器学习的方法，通过对大量勒索软件样本的学习，来提高检测率。

更多的工作是在行为分析领域。勒索软件的具体实现代码可以不同，但其为达到勒索效果而实施的步骤，有共性。那么就可以针对共性的特征性行为，展开检测和防御。比如，针对勒索软件加密文件的特点，设置蜜罐文件(有的称陷阱文件、诱饵文件)，正常程序不会去改变蜜罐文件，因此去改变蜜罐文件的程序就是勒索软件。“201610362406.3一种勒索软件的防范方法和系统”，“201710171967.X勒索软件防御方法和装置”，“201710241552.5一种检测恶意软件的方法及装置”，“201710655812.3勒索软件的防范方法及系统”，都用到了蜜罐文件。其中，“201710241552.5一种检测恶意软件的方法及装置”，认为内容相同的文件加密后，新文件的内容还是相同的；而内容不同的文件加密后，新文件的内容也还是不同的。据此进一步提出了一种确认程序确实是勒索软件的方法，通过设置一系列内容或相同或不同的蜜罐文件，考察数据变化后是否仍保持相对关系不变。

蜜罐文件是当前较多使用的一种方法，但是这种方法存在检测滞后的缺点，当蜜罐文件被勒索软件遍历到时，可能面临大量文件已被加密的困境，仍会给用户造成较大危害。

更多行为分析类方法有，“01710660946.4一种基于文件状态分析的勒索软件检测方法”，将程序的文件内容操作、文件目录操作和文件增删操作计数，总数达到阈值报警。“201710682482.7一种勒索软件的防护方法、装置、电子设备及存储介质”，制定了程序对至少两个不同格式的文件进行操作的检测规则。“201711229602.4一种可疑进程检测方法、装置、设备及存储介质”提出了对用户文件进行分块处理并对其中一块进行加密的单文件异常操作行为模式，和对多文件中每个文件进行单独加密的多文件异常操作行为模式。“201711498634.4一种防勒索软件攻击的方法和系统”，为程序建立行为信誉库，但信誉库的建立需要用户参与。“201710504921.5一种基于权限模式的勒索软件检测方法及系统”，对Android系统下的程序进行静态行为检测，提出了4种异常的程序权限申请模式。

“201710822530.8一种勒索软件防御方法及系统”，在目录遍历结果中插入蜜罐条目。“201611245403.8一种防止勒索软件加密数据的方法及系统”，修改文件后缀名，避开勒索软件攻击的文件类型列表。这两种方法对正常的文件使用也会带来干扰。

“201711432352.4一种检测实时威胁的方法”，是机器学习类和行为分析类的结合，使用机器学习来进行勒索软件的动态行为分析。