[发明专利]一种勒索病毒检测方法及系统

说明书

本发明公开了一种勒索病毒检测方法及系统。解决了传统勒索病毒检测识别基于已知恶意行为特征库，无法有效识别多变的勒索病毒的问题。方法包括对文件及目录进行监控，提取行为特征，进行异常检测，若存在异常，判断对应应用为勒索病毒，对勒索病毒进行处理。本发明能够利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行应用为检测勒索病毒。

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种勒索病毒检测方法及系统。

背景技术

传统的勒索病毒检测识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前应用是否正常，是否存在风险性或已知攻击行为。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则黑名单，而规则黑名单往往又是已知威胁的整理集合，导致目前传统勒索病毒安全策略规则长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其特征已知后方能更新相关安全策略，从而对其进行相关检出和告警。因此，当前的勒索病毒检测识别方法无法有效识别多变的勒索病毒。

发明内容

本发明主要是解决了传统勒索病毒检测识别基于已知恶意行为特征库，无法有效识别多变的勒索病毒的问题，提供了一种勒索病毒检测方法及系统。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种勒索病毒检测方法，包括以下步骤：

S1.对文件及目录进行监控，记录对文件或目录的操作行为；

S2.分析操作行为提取行为特征；

S3.对诱饵文件进行异常检测，

对操作方法进行异常检测，

通过恶意特征库匹配进行异常检测，

通过正常行为特征库匹配进行异常检测，

输出各异常检测结果；

S4. 异常检测存在异常，判断对应应用为勒索病毒；

S5.对勒索病毒进行处理。

本发明能够利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行为应用为勒索病毒。

通过对回收站、其他常规目录进行监控，获取后续的行为特征。监控的指标有：操作应用、操作方法、操作对象,操作行为记录采用格式为：时间 操作应用 操作方法 操作对象。分析操作行为的动态特征以及静态特征，如hash值、操作方法（读取、写入、删除等），从而获取该操作应用的行为特征。所有行为特征记录在一个文件上，其中在该文件上的记录格式与操作行为记录格式一样。

绝大部分勒索病毒会删除原始文件导致回收站目录出现大量文件现象，勒索病毒在加密文件过程中会将所有加密的文件后缀名进行修改，且修改后的后缀名相同，以及勒索病毒在加密文件的过程中会在所有被加密的目录新增特定的文件，该文件称为勒索信息文件，勒索信息文件的文件内容、大小、文件名在所有目录中都相同。由此这里的操作方法包括回收站骤量输入、批量文件名修改、相同文件新增。

对进行勒索病毒进行处理包括对勒索病毒进行进行异常处理、拦截和告警。

作为一种优选方案，步骤S3中对诱饵文件进行异常检测过程包括：

S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；