[发明专利]一种自动控制进程访问服务器数据权限的系统和方法

说明书

本发明涉及一种自动控制进程访问服务器数据权限的系统和方法，由于虚拟货币和暗网的匿踪性，以及勒索病毒敛财模式的巨大经济利益诱惑，目前大多数黑客组织已经转向勒索病毒阵营，这就导致勒索病毒新型变种极多，从而导致目前基于特征库方式防护勒索病毒的方式大多不能取得很好的效果。通过文件过滤驱动技术，控制进程对业务服务器数据的访问权限方式成为目前能够有效防护勒索病毒的主流方式。进程对业务服务器上数据的访问权限需要进行严格管控，分三个步骤实现进程访问数据权限控制合理且准确。第一、进程访问数据权限自学习阶段，实时监控被保护数据的进程访问模型，并上报配置中心。第二、进程访问数据权限设定阶段，顾第一阶段学习模型设定进程访问控制策略，并下发各个业务服务器防护模块执行。第三、进程访问数据权限自动调整阶段，过程中出现超出已有访问模型的情况，根据数据诱饵技术佐证后，自动变更权限模型。

技术领域

本发明涉及一种自动控制进程访问服务器数据权限的系统和方法，进程对业务服务器上数据的访问权限需要进行严格管控，分三个步骤实现进程访问数据权限控制合理且准确。第一、进程访问数据权限自学习阶段，实时监控被保护数据的进程访问模型，并上报配置中心。第二、进程访问数据权限设定阶段，顾第一阶段学习模型设定进程访问控制策略，并下发各个业务服务器防护模块执行。第三、进程访问数据权限自动调整阶段，过程中出现超出已有访问模型的情况，根据数据诱饵技术佐证后，自动变更权限模型。

缩略语及名词解释：

背景技术

勒索病毒，是一种新型电脑木马病毒，以攻击业务数据为手段，勒索虚拟货币为目的，主要以下载文件夹带，或透过网络系统的漏洞而进入受害者的电脑，利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该类型病毒可以导致重要文件无法读取，关键数据被损坏，黑客以解密数据为条件勒索用户钱财。

由于虚拟货币和暗网的匿踪性，以及勒索病毒敛财模式的巨大经济利益诱惑，目前大多数黑客组织已经转向勒索病毒阵营，这就导致勒索病毒新型变种极多，从而导致目前基于特征库方式防护勒索病毒的方式大多不能取得很好的效果。通过文件过滤驱动技术，控制进程对业务服务器数据的访问权限方式成为目前能够有效防护勒索病毒的主流方式。

通过控制进程访问服务器数据权限方式存在一个很大的挑战，那就是访问权限该如何更加快速、安全、正确的配置到防护体系中。不然如果访问权限配置一旦出错，可能会导致业务中断，干扰用户正常业务的开展。更有甚者，可能把病毒程序也赋予了权限，则防护效果全无。

发明内容：

本发明提出一种自动控制进程访问服务器数据权限的系统和方法，鉴于通过文件过滤驱动技术控制进程对数据的访问权限成为当前对勒索病毒最有效的防护手段之一，本发明通过三个步骤让勒索病毒防护系统自动完成服务器上进程访问数据权限模型设定，并且能够在运行过程中自动调整，让该过程既方便又准确，从而更好的从数据层面防护勒索病毒。

本发明所述的自动控制进程访问服务器数据权限的系统，可从三个步骤分别进行工作。

1、在业务服务器上部署完防勒索安全软件之后，启动学习模式，利用文件过滤驱动技术学习所有被保护目录的进程访问行为并上报配置中心；

2、学习一段时间后(默认7天，可配置)，配置中心将学习到的进程访问被保护目录的行为自动生成为访问权限模型，并将该模型下发到防勒索安全软件，使用该权限模型启动防护模式；

3、防护模式启动后，学习模式仍然在继续工作，同时在服务器硬盘各个勒索病毒高概率第一时间访问的位置放置诱饵文件，如果超出既定权限模型的进程访问被保护目录，则结合其是否访问了诱饵文件，如该进程先访问了诱饵文件，则向告警中心告警，并拒绝添加其进入权限模型，如该进程未访问诱饵文件，则自动添加其进入权限模型。

图1为本发明所述的一种自动控制进程访问服务器数据权限的系统示意图，该系统包括文件过滤驱动模块、权限模型学习模块、数据诱饵模块、权限模型管理模块、配置中心、告警中心。