[发明专利]基于文件系统虚拟读写的勒索软件实时检测方法和防御方法

权利要求书

1.一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：

在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号；

记录该进程接下来的所有文件操作，如果具有重复性的写入文件操作和删除或重命名文件操作，则将该进程加入灰名单中；

对灰名单中的进程的文件操作请求进行虚拟化，主要是以操作请求中的文件路径作为索引，文件的其他相关信息作为值存储到HashMap中，并在内存虚拟磁盘中执行文件操作，该文件操作包括写入、删除、重命名；

从灰名单中筛选出文件操作频率大于预设临界值的进程，计算该进程在内存虚拟磁盘中写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均值文件熵值；

根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件操作的总数，计算行为可疑度；

根据加权均值文件熵值和行为可疑度，计算可疑性度量，如果可疑性度量超过预设阈值，则判定该进程对应的软件为勒索软件。

2.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，判断是否具有重复性的写入文件操作和删除或重命名文件操作的方法为：统计进程在接下来的一段时间内的所有文件操作，统计写入文件操作和删除或重命名文件操作的重复发生次数，如果次数大于一设定的阈值，则判定具有重复性的写入文件操作和删除或重命名文件操作。

3.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，对于发起当前文件操作的一进程，获取文件操作请求的文件路径，判断该文件路径是否在HashMap中。

4.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径在HashMap中，读取以该文件路径作为索引的位置所存储的数据，并判断该数据是否有删除标记，如果有，则直接返回文件不存在，否则将文件操作请求下发给内存虚拟磁盘驱动，执行文件操作。

5.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径不在HashMap中，则判断该进程是否在灰名单中，如果该进程不在灰名单中，或者该进程在灰名单中且为读取文件操作请求，则将文件操作请求直接下发给下层的物理磁盘驱动执行相应的文件操作。

6.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果件路径不在HashMap中，且该进程在灰名单中，则执行下述步骤：

如果是写入文件或修改文件属性的操作请求，则先判断物理磁盘上是否存在该文件，如果存在该文件，则将该文件拷贝入内存虚拟磁盘中，然后向内存虚拟磁盘驱动下发该操作请求，再在HashMap中对应的hash位置存储该文件名、该操作的类型以及操作者；

如果是创建文件的操作请求，则对该操作请求的文件路径做切割，依照路径递归地向虚拟磁盘驱动下发该操作请求；

如果是删除文件操作请求，则先判断物理磁盘上是否存该文件，如果不存在该文件，则直接返回文件不存在，如果存在该文件，则在HashMap中对应的hash位置存储该文件名、该文件被删除的标记以及操作者，返回删除文件成功。

7.一种基于文件系统虚拟读写的勒索软件实时防御方法，基于上述权利要求1-6任一项所述的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：

如果进程对应的软件被判定是勒索软件，则先挂起该进程的所有文件操作，并暂停该进程所有的线程，并通知用户；

如果用户认定其为勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap的数据记录；

如果进程对应的程序被判定不是勒索软件，或者上述被判定的勒索软件被用户认定为正常程序，则将其进程从灰名单中清除，并放行该进程的文件操作，恢复该进程的所有线程，并且将内存虚拟磁盘上缓存的文件操作都写入真实的物理磁盘，同时清空HashMap。