本发明专利技术涉及一种勒索软件防御方法及系统。该方法包括以下步骤:1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;2)生成并部署有限段欺骗数据;3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。本发明专利技术能够在低消耗、零损失的条件下对勒索软件进程进行实时检测和终止,保护用户和企业的数据与财产安全。
【技术实现步骤摘要】
一种勒索软件防御方法及系统
本专利技术涉及计算机网络安全领域,是针对勒索软件,特别是加密型勒索软件的防御系统,更具体地,是一种利用欺骗的勒索软件防御方法及系统。
技术介绍
勒索软件是一种以勒索钱财为目的的恶意软件。它出现于1989年,近几年比特币技术出现并逐渐普及,勒索软件随之兴起,成为了不容忽视的网络安全问题。传播方式多样化。大多数勒索软件通过社会工程学的方法入侵用户系统,如钓鱼邮件、钓鱼网站、水坑攻击等。2016年4月,出现了利用系统漏洞进行传播的勒索软件SamSam。2017年5月利用SMB远程任意代码执行漏洞进行传播的WannaCry席卷全球,造成了巨大的损失。可以预见,未来可能会有更多的勒索软件利用漏洞进行传播。勒索软件的攻击目标具有多样化的特点。目前,Windows、Linux都已成为常见的攻击平台;2014年4月出现了针对安卓平台的勒索软件Koler,移动终端被攻陷并逐渐成为重要的攻击目标;2016年3月出现了针对MacOS的勒索软件KeRanger。随着物联网技术的发展,数量巨大而又缺少安全防护的智能设备成为勒索软件下一个攻击目标,届时将造成更加严重的问题。勒索软件的支付方式借助近几年兴起的匿名货币。以比特币为首的匿名货币以其去中心化、匿名、难以追踪溯源等特点,为犯罪分子提供了便利。用户薄弱的网络安全意识也是勒索软件屡屡得逞的重要原因。一方面,用户缺少平时备份文件的意识,一旦重要文件被加密,可能造成远高于勒索金额的损失,因此不得不支付赎金。另一方面,很多用户对网络攻击缺乏防范意识,传统的钓鱼方式依然奏效,使得勒索软件得以广泛传播。勒索软件一般分为两类,锁定型和加密型。锁定型通过锁定系统,让用户无法正常使用。加密型即利用复杂且强度高的密码算法加密用户的文件、磁盘驱动器等。其中,锁定型可以采用清理系统或磁盘等方法解决问题,因此加密型勒索软件成为了网络罪犯的首选,也是现在更为严重的威胁。加密型勒索软件在进入用户系统之后,首先遍历目录和文件,选择符合要求(如后缀名)的文件进行操作,通过重写原文件内容、创建新文件覆盖原文件等方式加密文件,使其无法被用户正常使用。如今,勒索软件趋于框架化、服务化,降低了犯罪分子的技术门槛,更加重了其威胁程度。已经有很多方法被用于勒索软件的防御与检测。最初是通过静态样本分析和模式匹配的方式进行检测,但由于勒索软件变种繁多,且恶意进程与正常进程往往非常类似,难以区分,因此这种方式不再适用。目前主要的勒索软件防御与检测方法基于动态特征检测和行为分析,从勒索软件在运行时的行为特征着手进行分析和匹配,辅以文件系统监测等手段,使勒索软件的行为能够被尽早发现,将用户损失控制在尽可能小的范围内。现有的勒索软件检测方法,都不同程度地存在问题,犹其是在准确性与实时性方面,缺点十分明显。
技术实现思路
针对上述问题,本专利技术提出了一种利用欺骗的勒索软件防御方法与系统。该方法不需要特殊的系统环境,利用勒索软件必定进行文件遍历这一行为特征,能够在保证低系统能耗和零损失的状态下,实时检测已知和未知的勒索软件样本。为达到上述目的,本专利技术采取的具体技术方案是:一种勒索软件防御方法,包括以下步骤:1)在操作系统的用户态或内核态,至少使用一种方法,对勒索软件进行文件搜索、文件操作、数据加密时必须调用的系统API(ApplicationProgrammingInterface,应用程序编程接口)进行全局挂接。2)生成并部署有限段欺骗数据,用于进行欺骗。欺骗数据既可以是存在于磁盘上的实体文件,也可以是存在于内存中的一段二进制数据,本专利技术将这种欺骗数据称之为honeydocs。3)当某个进程发起文件遍历操作时,对该进程的遍历操作进行欺骗,在遍历结果中插入一定数量的honeydocs返回给该进程。4)当全局挂接的API发现某个进程对honeydocs进行操作时,监控honeydocs是否被实施了不正常的改变,以判定进程是否存在疑似勒索软件的恶意行为。5)若判定进程存在勒索软件的恶意行为,则终止该进程并通过弹窗等方式通知用户。一种勒索软件防御系统,包括:欺骗数据生成模块,用于生成并部署honeydocs;API全局挂接模块,用于在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;进程欺骗模块,用于当某进程进行文件遍历操作时,在遍历结果中插入一定数量的honeydocs并返回给该进程,以对该进程进行欺骗;欺骗数据监控模块,用于当某进程对honeydocs进行操作时,监控该文件中的honeydocs是否被实施了不正常的改变;勒索软件判定与响应模块,用于判定该进程是否为勒索软件的恶意行为,若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。本专利技术还提供一种计算机设备,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行上面所述方法的指令。本专利技术还提供一种存储计算机程序的计算机可读存储介质,所述计算机程序被计算机执行时,实现上面所述方法的步骤。与现有的勒索软件防御系统相比,本专利技术具有以下几点优势:1、honeydocs以磁盘或内存为数据存储载体,为用户实际不会生成或访问的文件数据,不会对用户的正常文件系统造成影响;2、全局挂接API,能够实时对所有进程进行检测,用最短的时间发现恶意进程随即终止该进程,从而保证用户数据零损失;3、仅需部署一定数量的honeydocs,而无需构造虚拟环境,也无需大量的存储开销,系统消耗少;4、不依靠静态分析而是采用动态行为监测的方式,不针对特定勒索软件,具有普适性,对于新的勒索软件变体同样有效。本专利技术采用欺骗技术,通过全局挂接API欺骗进程,并通过对honeydocs的部署和监控判定进程恶意行为,从而检测和防御勒索软件,能够在低消耗、零损失的条件下对勒索软件进程进行实时检测和终止,保护用户和企业的数据与财产安全。附图说明图1是本专利技术实施例中系统模块构成示意图。图2是本专利技术实施例中系统建立和部署的步骤流程图。图3是本专利技术实施例中honeydocs生成模块示意图。图4是本专利技术实施例中勒索软件防御与检测流程示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的目的、特征和优点能够更加明显易懂,下面结合附图和事例对本专利技术中技术核心作进一步详细的说明。在本专利技术中,设计了一套可靠而有效的勒索软件防御系统,能够有效解决上述所存在的问题,所述系统包括如下:如图1所示,为该系统的模块构成示意图,该系统分为五个模块,分别是honeydocs生成模块(即欺骗数据生成模块)、API全局挂接模块、进程欺骗模块、honeydocs监控模块(即欺骗数据监控模块)、勒索软件判定与响应模块。对各模块具体说明如下:1、honeydocs生成模块,用以在系统中生成并部署honeydocs。honeydocs是用于欺骗勒索软件的非用户创建的数据。本系统部署的honeydocs用于被动的判定进程的行为,而非主动地引诱勒索软件。honeydocs涉及的数据,包括文件内容和文件属性信息,其存储既可以磁盘为载体,也可以内存为载体。honeydocs模拟的文件类型包括但不限于文档、图片、工程文件等,以求尽可能覆盖各种勒本文档来自技高网...
【技术保护点】
一种勒索软件防御方法,其特征在于,包括以下步骤:1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;2)生成并部署欺骗数据;3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。
【技术特征摘要】
1.一种勒索软件防御方法,其特征在于,包括以下步骤:1)在操作系统的用户态或内核态对勒索软件必须调用的API进行全局挂接;2)生成并部署欺骗数据;3)当进程进行文件遍历操作时,在遍历结果中插入一定数量的欺骗数据并返回给该进程,以对该进程进行欺骗;4)当全局挂接的API发现某进程对欺骗数据进行操作时,监控欺骗数据是否被实施了不正常的改变,以判定该进程是否为勒索软件的恶意行为;5)若判定该进程为勒索软件的恶意行为,则终止该进程并通知用户。2.如权利要求1所述的方法,其特征在于,步骤1)所述勒索软件必须调用的API,是勒索软件进行文件搜索、文件操作、数据加密时必须调用的API,至少使用一种方法对所述API进行全局挂接。3.如权利要求1所述的方法,其特征在于,所述欺骗数据以磁盘或内存为数据存储载体。4.如权利要求1所述的方法,其特征在于,所述欺骗数据能够模拟的类型尽可能覆盖各种勒索软件的所有目标类型,包括文档、图片、工程文件;所述欺骗数据模拟的文件属性信息包括文件名、文件类型、文件绝对路径、文件大小、占用空间、创建时间、修改时间、访问时间、文件内容。5.如权利要求1所述的方法,其特征在于,步骤3)对进程进行欺骗时,在文件遍历开始时、遍历过程中以及磁盘目录遍历中都向进程返回若干欺骗数据,保证文件遍历结果的队首、队中都存在欺骗数据,以利于对该进程的行为进行监控;并通过将真实文件与欺骗数据穿插返回给该进程,避免对正常进程产生过大的影响以及勒索软件发现异常而停止操作并隐藏。6.如权...
【专利技术属性】
技术研发人员:刘潮歌,冯云,崔翔,刘奇旭,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。