[发明专利]基于文件系统虚拟读写的勒索软件实时检测方法和防御方法

说明书

本发明提供一种基于文件系统虚拟读写的勒索软件实时检测方法和防御方法，属于系统安全技术领域，用于实时检测勒索软件并保护主机系统免受勒索软件的危害，主要通过对系统中可疑程序的读写操作进行虚拟化，在虚拟化磁盘中对写入内容进行考察，进一步地判断是否是勒索软件，提升主机系统的实时预警和主动防御能力，能够在低损耗，零损失的条件下实现对勒索软件进行高准确率的实时检测和终止，保护用户和企业的数据与财产安全。

技术领域

本发明涉及系统安全技术领域及网络空间安全领域，是针对勒索软件，特别是文件加密 型勒索软件的实时监测方法和防御方法，更具体地，是一种基于文件系统虚拟读写的勒索软 件实时检测方法和防御方法。

背景技术

勒索软件是一类借助于社会工程学手段或者在野的nday漏洞进行感染和传播的以勒索 钱财为目的的恶意软件。2017年的Wannacry勒索软件利用MS17-010漏洞进行攻击，全球近 150多个国家和地区，超过了30万台电脑受到了感染，直接造成了80多亿的经济损失。在 近两年来，随着虚拟货币的价格迅速上涨，由于其匿名性和隐蔽性又为恶意代码的发展提供 了可靠的经济来源方式，经济利益的驱使使得恶意代码产业链循序革新和迭代。据McAfee的 2018年度11月份威胁报告显示，勒索软件和挖矿程序数量在近两年内数量迅速增长，特别 是勒索软件数量呈现爆发式的增长。如今的勒索软件趋于框架化、服务化、定制化，降低了 犯罪分析的技术门槛，更加重了其威胁程度。可以预见在未来，勒索软件的攻击方式、攻击 目标、传播方法、种类和数量都会呈现增长的趋势。

用户网络安全意识防护意识的薄弱也是勒索软件屡屡得逞的重要原因。一方面，用户缺 少平时备份文件的意识，一旦重要文件被加密，只能通过交付巨额的勒索赎金避免造成更大 的数据损失。另一方面，很多用户对网络攻击的防范意识薄弱，传统的钓鱼攻击依然奏效、 对出现很久的安全漏洞未进行修复，使得勒索软件得以广泛传播。

根据勒索软件勒索方式的不同，可以分为锁定型和加密型。锁定型勒索软件一般通过锁 定系统，让用户无法正常进入系统使用进行勒索。加密型勒索软件即利用复杂且强度高的密 码算法加密用户的文件、磁盘驱动等进行勒索。其中锁定型可以采用恢复系统或清理磁盘等 方法解决，相比之下加密型勒索软件更难以清楚，所以加密型勒索软件一般是网络犯罪集团 的首选，也是现在最为严重的威胁。文件加密型勒索软件进入用户的系统之后，首先会遍历 磁盘目录和文件，选择符合加密的文件类型进行操作，通过重写文件内容、替换文件的方式 进行加密，使用户无法正常使用。

目前对勒索软件的检测有静态检测和动态检测，静态检测是提取二进制文件的特征码与 特征库中的特征码进行匹配，来判断是否是已经出现的勒索软件。虽然静态检测速度快、准 确率高，但是样本库的维护需要投入大量的人力和物力，并且对新出现的勒索软件没有任何 的防范能力。动态检测一般采用设置陷阱文件或者通过监控系统操作两种方式实现。其中设 置陷阱文件的方式是在文件系统中插入的陷阱文件会被正常进程遍历访问到，由于文件格式 和内容与程序期望格式的存在差距，所以会给正常进程带来很多不可预知的后果；同时正常 用户程序也可能会修改陷阱文件造成检测的误报。目前提出的基于系统监控的方法，都会在 系统中插入大量的HOOK，严重的影响了系统的性能的同时在实时性、准确率上也存在问题， 缺陷十分明显。

发明内容

为了解决上述问题，本发明提出了一种基于文件系统虚拟读写的勒索软件实时检测方法 和防御方法，以及一种基于文件系统虚拟读写的勒索软件实时检测和防御系统，通过对系统 中可疑程序的读写操作进行虚拟化，在虚拟化磁盘中对写入内容进行考察，进一步地判断是 否是勒索软件，提升主机系统的实时预警和主动防御能力。

本发明采用的技术方案如下：

一种基于文件系统虚拟读写的勒索软件实时检测方法，包括以下步骤：

在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号；