一种勒索者病毒的检测方法及系统技术方案

本发明专利技术公开了一种勒索者病毒的检测方法及系统，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。本发明专利技术所述技术方案不仅能够有效识别勒索者病毒，降低误报率而且不影响正常软件操作文件。

Method and system for detecting extortion virus

The invention discloses a method and a system for detecting, a blackmailer viruses including: if there is to modify the file process, then hang up process and the backup file to read backup area, after the completion of the process of release; comparing the modified file backup and file entropy, determine whether the current process of the document encryption operation if there is a cryptographic operation; the judgment of the process within a preset time according to whether the number of operations file exceeds the preset threshold value, if it is judged as suspected of extortion virus. The technical proposal of the invention not only can effectively identify the virus of the user, but also can reduce the false alarm rate and does not affect the normal operation of the software.

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种勒索者病毒的检测方法及系统。
技术介绍
勒索软件是近两年比较流行的病毒，尤其是在2016年我国勒索软件成爆发式增长。勒索软件一旦感染系统会加密电脑磁盘的文档文件、图片文件、文本文件等，加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据，只有恶意代码作者能对其解密。在某种程度上就算用户支付赎金给恶意代码作者，也可能无法解密数据，这对于拥有重要资源的企业和部门是一个灾难性的事件，比如：医疗部门、银行、政府部门一旦遭受勒索软件攻击，就会使各业务系统瘫痪，损失不可估计。目前主流杀毒软件都有文件防护功能，可以保证文件不被恶意篡改，但是这种做法可能同时影响正常软件对于文件的操作，即使通过白名单机制可以保证放行一部分软件的正常访问，但是不能保证所有安全程序对文件的操作。同时，白名单技术也不能保证文件不被恶意程序篡改，因此对于勒索者并不适用，因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的，如explorer或svchost进程。
技术实现思路
针对上述技术问题，本专利技术所述的技术方案通过感知文件的变化范围和频率来判定是否存在疑似勒索者病毒，进而提升对勒索者病毒的检出率，并同时降低误报。本专利技术采用如下方法来实现，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。进一步地，在判定为疑似勒索者病毒之前，还包括：收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒；将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。更进一步地，在判定为疑似勒索者病毒之后，还包括：若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。上述方法中，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。上述方法中，所述文件包括但不限于：文档文件、文本文件或者图片文件。本专利技术可以采用如下系统来实现，包括：文档备份模块，用于若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；加密判定模块，用于对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；初次判定模块，用于若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。进一步地，在所述初次判定模块执行之后还包括二次判定模块，用于收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒；将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。更进一步地，还包括：恶意域名记录模块，用于若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。上述系统中，还包括：文档恢复模块，用于删除被加密的文件并将备份的文件恢复到原来位置。上述系统中，所述文件包括但不限于：文档文件、文本文件或者图片文件。综上，本专利技术给出一种勒索者病毒的检测方法及系统，本专利技术若发现存在修改文件的进程，则首先判断是否是针对文件的加密操作；若是则继续判断该进程在预设时间内针对文件的操作总数是否超过设定阈值，若是，则认为存在可疑进程大批量的加密文件，因此初步判定为疑似勒索者病毒。有益效果为：本专利技术所述技术方案通过监控文件被操作的范围及频率，进而准确判定是否是勒索者病毒。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种勒索者病毒的检测方法实施例流程图；图2为加密前的文件的字符情况；图3为加密后的文件的字符情况；图4为本专利技术提供的一种勒索者病毒的检测系统实施例结构图。具体实施方式本专利技术给出了一种勒索者病毒的检测方法及系统实施例，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明：本专利技术首先提供了一种勒索者病毒的检测方法实施例，如图1所示，包括：S101：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程。目的是为后续文件的恢复操作做准备。S102：对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；其中，经过观察加密数据中常见字符在加密前后的规律变化，发现熵值在加密前后将发生很大的变化，例如：未加密的文件中存在较多为0的字符串，如图2所示；但是加密之后的文件中则基本不存在为0的字符串，如图3所示；由此可知，通过将修改后的文件的熵值与备份的修改前的文件的熵值进行对比，若差距较大，则判定当前进程对文件进行了加密操作。更优选地，由于压缩文件或者电影文件的字符密度很高，可能会出现高熵值的情况，并且如果文件整体参与熵值计算将拖慢检测速度，建议选择文件的头部预设数量的字节进行熵值的计算和对比，进而在保证准确率的前提下，进一步提升检测效率。S103：若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则继续执行S104，否则停止监控；其中，当判定存在进程对文件进行修改操作后，随时备份其操作的文件，并继续放行该进程，当操作停止后判定该进程对所有文件进行了多少次操作行为，包括：文件读操作、文件写操作或者文件删除操作等；当发现该进程在预设时间内针对文件的操作次数超过设定阈值（例如：该进程在一定时间内同时读了100次文件，写了100次文件，删了100个文件），则判定该进程对文件进行了高频率的修改操作，进而发出警报，或者进一步判定。S104：收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续执行S105，否则停止监控；其中，勒索者病毒通常会批量修改文件，将其修改为系统无法识别的扩展名，因此，若被加密的文件中存在一定比例的相同的扩展名，则一定程度上说明这些文件是被勒索者恶意操作过的。S105：判断具备相同扩展名的文件的文件名是否长度一致本文档来自技高网...

【技术保护点】
一种勒索者病毒的检测方法，其特征在于，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。

【技术特征摘要】
1.一种勒索者病毒的检测方法，其特征在于，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值，若是则判定为疑似勒索者病毒。2.如权利要求1所述的方法，其特征在于，在判定为疑似勒索者病毒之前，还包括：收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒；将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。3.如权利要求2所述的方法，其特征在于，在判定为疑似勒索者病毒之后，还包括：若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。4.如权利要求3所述的方法，其特征在于，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。5.一种勒索者...

【专利技术属性】
技术研发人员：张慧云，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23