一种基于行为分析的勒索病毒检测方法及系统技术方案

本发明专利技术提供一种基于行为分析的勒索病毒检测方法，属于恶意代码检测技术领域，该检测方法包括：实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分；设定监控结果的阈值N；判断监控结果是否不小于所述阈值，在监控结果不小于所述阈值时，对监控结果进行实时告警处理；设定时间长度为T的监控时段，每间隔T时长即对监控结果进行清零操作。由此可以更为全面地对运行程序进行分析和实时监控，有效避免单一逻辑判断存在的高误报率问题，准确地检测出潜在的勒索病毒，增强服务器主机系统的实时预警与主动防御能力。本发明专利技术还提供一种基于行为分析的勒索病毒检测系统，该系统同样可以完成上述工作。

A method and system for detection of extortion virus based on behavior analysis

The invention provides a method for detecting virus behavior analysis based on which belongs to the technical field of extortion, malicious code detection, including the detection method: file operation part, sensitive function, interface display, network data real-time and continuous monitoring in the operating system of Windows N; threshold set monitoring results to determine whether monitoring; the result is not less than the threshold, the monitoring result is not less than the threshold, the monitoring results are real time alarm; set the length of time for the monitoring period of T, every T when the length of the monitoring results clearing operation. Therefore, we can analyze and monitor the running program more comprehensively, effectively avoid the high false positive rate of single logic judgment, detect potential ransom virus accurately, and enhance the real-time warning and active defense ability of the server host system. The invention also provides a blackmail virus detection system based on behavior analysis, which can also accomplish the above work.

【技术实现步骤摘要】
一种基于行为分析的勒索病毒检测方法及系统
本专利技术涉及恶意代码检测
，具体地说是一种基于行为分析的勒索病毒检测方法及系统。
技术介绍
现阶段，层出不穷的恶意代码对包括服务器主机在内的关键信息基础设施，构成了极大的安全威胁。而勒索病毒作为一类新型恶意代码，可以借助网络进行蠕虫或钓鱼式传播，并在被感染主机肆意加密文件，最终以此索要赎金——严重地影响了主机文件的安全性和可用性。然而，现有的勒索病毒检测方案大多使用特征码匹配或是备份后还原文件等被动检测方式，这些防御机制往往缺乏主动性，无法检测出未知病毒；另有一些防御方案通过文件信息比对的单方面逻辑进行检测，而这些方案没有全面地对所测程序的行为进行刻画，存在着误报率过高的局限性。基于上述问题，本专利技术提出了一种基于行为分析的Windows系统勒索病毒检测方法，通过对系统中运行程序的行为进行实时监控和及时告警，检测出对主机文件进行非法破坏的潜在勒索病毒/勒索软件，提升服务器主机系统的实时预警与主动防御能力。
技术实现思路
本专利技术的技术任务是解决现有技术的不足，提供一种基于行为分析的勒索病毒检测方法及系统，通过对系统中运行程序的行为进行本文档来自技高网...

【技术保护点】
一种基于行为分析的勒索病毒检测方法，其特征在于，包括实时且持续的监控Windows操作系统中的运行程序；设定监控结果的阈值N；判断监控结果是否不小于所述阈值，在监控结果不小于所述阈值时，对监控结果进行实时告警处理；设定时间长度为T的监控时段，每间隔T时长即对监控结果进行清零操作。

【技术特征摘要】
1.一种基于行为分析的勒索病毒检测方法，其特征在于，包括实时且持续的监控Windows操作系统中的运行程序；设定监控结果的阈值N；判断监控结果是否不小于所述阈值，在监控结果不小于所述阈值时，对监控结果进行实时告警处理；设定时间长度为T的监控时段，每间隔T时长即对监控结果进行清零操作。2.根据权利要求1所述的一种基于行为分析的勒索病毒检测方法，其特征在于，所述检测方法实时且持续的监控Windows操作系统中的文件操作部分、敏感函数调用部分、界面显示部分、网络数据部分。3.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法，其特征在于，所述检测方法实时且持续监控文件操作部分的具体内容包括：A）监控运行程序对于Windows系统主文件表MFT的访问情况：预设MFT中被修改文件数的上限n1，在T时长内，如果监控的运行程序对MFT进行的表项修改操作数不小于了预设上限n1，则文件操作部分的监控结果增加1；B）监控运行程序在不同目录下进行文件操作的情况：预设修改数量上限n1目录，当在同一目录路径中实际修改文件的数量不小于预设上限时，文件操作部分的监控结果增加1。4.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法，其特征在于，所述检测方法实时且持续监控敏感函数调用部分的具体操作为：根据API调用Hook的方式，排查运行程序是否对Windows平台标准加密库函数进行了调用，如果在T时长内存在相关调用，则敏感函数调用部分的监控结果增加1。5.根据权利要求2所述的一种基于行为分析的勒索病毒检测方法，其特征在于，所述检测方法实时且持续监控界面显示部分的具体操作包括：A）监控运行程序对于系统桌面锁定情况：在T时长内，根据API调用Hook的方式，检查运行程序是否对主机桌面...

【专利技术属性】
技术研发人员：张尧，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41