一种基于文件状态分析的勒索软件检测方法技术

本发明专利技术特别涉及一种基于文件状态分析的勒索软件检测方法。该基于文件状态分析的勒索软件检测方法，在监控时间窗口W内，结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性考察，并向系统的分析模块反馈监控因子，如果各监控因子的数值总和达到甚至超过了预设的告警门限值，则判断所测程序为勒索软件。该基于文件状态分析的勒索软件检测方法，通过对勒索软件修改对象的状态进行分析，实现了对所测程序勒索特性的准确反映；而且多方面逻辑的综合判断方法可以高效地区分出合法软件与潜在的勒索软件，使得恶意代码对于主机文件的破坏程度极小化，最终实现了提升服务器主机系统本身安全性和防御能力的目标。

【技术实现步骤摘要】
一种基于文件状态分析的勒索软件检测方法
本专利技术涉及软件检测方法
，特别涉及一种基于文件状态分析的勒索软件检测方法。
技术介绍
勒索软件是一类借助社会工程学手段或者网络蠕虫感染的方式进行传播的，在被入侵主机进行文件加密等破坏性行为的新型恶意代码。勒索软件会索要高额赎金，受害者支付赎金后，方可恢复其主机内受到影响的重要文件。毋庸置疑，勒索软件已成为现阶段大型企业乃至个人用户主机安全的最大威胁之一。当前勒索软件检测技术大都遵循传统的签名特征码的方式，安全软件将未知样本的特征码与本地特征库的特征数据进行匹配，若出现匹配，则阻止软件的运行。随着大量勒索软件变种的出现，特征库更新的滞后性日益显著，被动的特征码检测方式已逐渐力不从心，对于未知的恶意代码更是束手无策。基于上述问题，本专利技术设计了一种基于文件状态分析的勒索软件检测方法。
技术实现思路
本专利技术为了弥补现有技术的缺陷，提供了一种简单高效的基于文件状态分析的勒索软件检测方法。本专利技术是通过如下技术方案实现的：一种基于文件状态分析的勒索软件检测方法，其特征在于：首先，系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三本文档来自技高网...

【技术保护点】
一种基于文件状态分析的勒索软件检测方法，其特征在于：首先，系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块，分析模块，响应模块，以及一个监控时间窗口W；然后，从主机中文件状态的多方面逻辑出发，在每个长度为W的时间单元内，全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察；最后，根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果，向系统的分析模块反馈各自的监控因子，如果各监控因子的数值总和达到甚至超过了预设的告警门限值，则判断所测程序为勒索软件，并将该信息推送至系统的响应模块进行处理。

【技术特征摘要】
1.一种基于文件状态分析的勒索软件检测方法，其特征在于：首先，系统设定文件内容监控模块、文件目录监控模块、文件增删监控模块三个监控模块，分析模块，响应模块，以及一个监控时间窗口W；然后，从主机中文件状态的多方面逻辑出发，在每个长度为W的时间单元内，全面地结合文件内容监控、文件目录监控、文件增删监控三个方面对被测程序的文件访问行为进行持续性地考察；最后，根据文件内容监控模块、文件目录监控模块以及文件增删监控模块的监控结果，向系统的分析模块反馈各自的监控因子，如果各监控因子的数值总和达到甚至超过了预设的告警门限值，则判断所测程序为勒索软件，并将该信息推送至系统的响应模块进行处理。2.根据权利要求1所述的基于文件状态分析的勒索软件检测方法，其特征在于，包括以下步骤：(1)所述文件内容监控模块分别对访问文件前后文件头的变化情况，访问文件前后文件的相似程度，以及访问文件前后文件香农熵的变化情况进行监控，并维护监控因子F1，每隔长度为W的时间单元后对监控因子F1进行清零操作；(2)所述文件目录监控模块分别对同一目录下被访问文件的数量以及不同后缀名类型的文件被修改并保存为同一类型文件的情况进行监控，并维护监控因子F2，每隔长度为W的时间单元后对监控因子F2进行清零操作；(3)所述文件增删监控模块分别对用户文件的删除情况和新增说明文档的行为进行监控，并维护监控因子F3，每隔长度为W的时间单元后对监控因子F3进行清零操作；(4)在监控时间窗口W内，所述分析模块接收来自文件内容监控模块、文档目录监控模块、文档增删监控模块的反馈因子F1、F2、F3，以及相应的文件状态变化日志信息；分析模块计算因子和F＝F1+F2+F3，预设定告警门限值T，如果F大于或等于T，分析模块将日志信息、程序名称和进程标识符提交至响应模块；(5)根据分析模块提供的程序信息，响应模块立即挂起对应的程序，并进行告警操作。3.根据权利要求2所述的基于文件状态分析的勒索软件检测方法，其特征在于：所述步骤(1)中，在监控时间窗口W内，针对仅对文件的关键信息部分，即文件头，进行修改或加密的勒索软件类型，文件内容监控模块监控所测程序访问主机文件前后，文件头的变化情况，以判断被测程序是否对用户数据文件进行了读访问或写操作；如果被测程序对用户数据文件进行了读访问，则记录此时文件的文件头信息；如果被测程序进一步对文件进行了写操作，则将文件访问前和进行写操作后的文件头信息进行比较，如果文件头信息发生改变，便将监控因子F1的数值增加1；由于发生数据加密的文件前后内容的相似度将会显著降低，在监控时间窗口W内，针对将整体文件进行加密的勒索软件类型，文件内容监控模块监控所测程序访问主机文件前后，文件本身的相似程度，以判断被测程序是否对系统中的用户文件进行了读访问或写操作；如果被测程序对系统中的用户文件进行了读访问，则计算并保存此时的文件哈希值H前；如果被测程序进一步对文件进行了写操作，则计算此时的文件哈希值H后，H前和H后的计算均使用相似性摘要哈希算法SDH，从而可以根据SDH算法比较H前和H后的相似度，得到相似度分数S；预设相...

【专利技术属性】
技术研发人员：张尧，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41