The invention discloses a method for preventing malicious file operation method and system damage behavior, if there is a deleted file process, white list release, blacklist stop operation directly read and write files, the process is suspended and gray list backup file to read protected areas, after the completion of the discharge line backup process; if there is to modify the file the process of the white list released a blacklist stop, gray list is hang up process and the backup file to read protected areas, after the completion of the backup release process; if there is encryption / compression and encryption operation is to determine the process within a preset time according to whether the operating frequency file exceeds the preset threshold value, if it is judged as suspected file malicious behavior. The technical scheme of the invention can effectively identify the malicious operation behavior of the file and reduce the risk frequency of the malicious deletion and modification of the important files.
【技术实现步骤摘要】
防止文件被恶意操作行为损坏的方法与系统
本专利技术涉及信息安全
,具体涉及一种防止文件被恶意操作行为损坏的方法与系统。
技术介绍
随着互联网迅速普及和蓬勃发展,各种勒索、加密软件、非法程序等非法操作电脑系统的文本文件、文档文件、图片文件、已安装程序相关文件、电影文件等,导致大量电脑文件被非法删除、非法加密。当遇到不法勒索者,其会使用高位数的非对称加密算法对文件进行加密处理,只有通过缴纳高额的数据恢复金额后才能通过非法者进行解密恢复文件。对于普通用户来说这些数据或许根本不重要,但这对于一个大的商业公司来说,相关的数据和文件是一个公司企业的核心资产,是至关重要的。比如电影公司、银行金融企业、国家政府企业、军事部门、科研部门、大型互联网公司等,一旦核心文件被加密或者被删除、或者核心程序的文件被删导致无法正常运行,无疑是一场噩梦。目前很多主流的安全卫士和杀毒软件均包含了文件防护功能,但是很多普通用户也并没有开启过,即使开启可以保证文件不被恶意篡改,但依旧会影响正常软件对文件的操作,即使通过白名单机制来保证正常程序对文件的操作行为,但是依旧无法保证所有白名单程序对文件的正常操作行为,同时也无法控制所有非法程序对文件的非法操作。对于很多的Linux服务器是没有安装安全卫士和杀毒软件的,很多企业单位的核心应用都部署在Linux服务器上,一旦服务器被攻击,数据文件被加密、删除,损失惨重,后果不堪设想。
技术实现思路
本专利技术克服了现有技术的不足,提供一种防止文件被恶意操作行为损坏的方法与系统,旨在通过分析程序对文件的操作行为和操作前后文件的变化来判断当前文件操作行为是 ...
【技术保护点】
一种防止文件被恶意操作行为损坏的方法,其特征在于包括:将对文件的操作分为黑名单、白名单和灰名单权限,并判识对文件进行修改、删除或压缩的进程的程序属于黑名单或白名单或灰名单;根据拥有白名单权限程序的指令直接做出修改、删除或压缩文件的操作,以及直接拒绝为黑名单权限程序的修改、删除或压缩文件的进程;对灰名单权限程序进行的修改、删除或压缩文件的进程,则暂停灰名单程序进程并备份文件至文件可读保护区,备份完成后放行该程序进程。
【技术特征摘要】
1.一种防止文件被恶意操作行为损坏的方法,其特征在于包括:将对文件的操作分为黑名单、白名单和灰名单权限,并判识对文件进行修改、删除或压缩的进程的程序属于黑名单或白名单或灰名单;根据拥有白名单权限程序的指令直接做出修改、删除或压缩文件的操作,以及直接拒绝为黑名单权限程序的修改、删除或压缩文件的进程;对灰名单权限程序进行的修改、删除或压缩文件的进程,则暂停灰名单程序进程并备份文件至文件可读保护区,备份完成后放行该程序进程。2.根据权利要求1所述的防止文件被恶意操作行为损坏的方法,其特征在于还包括:根据备份文件与修改文件的熵值判断操作是否为恶意。3.根据权利要求2所述的防止文件被恶意操作行为损坏的方法,其特征在于所述熵值判断包括:收集被修改、压缩或删除的文件的原文件路径、文件名或文件后缀名,并判断被操作的文件名、文件后缀名的比例是否超过设定的阈值;以及根据原文件路径判断原文件是否为同一文件夹或是文件路径是否包含相同部分;或还将收集的源文件路径、文件名、文件后缀名以及文件相同部分文件路径以字符串的形式存入特征库,用于后续数据分析。4.根据权利要求1所述的防止文件被恶意操作行为损坏的方法,其特征在于,包括:通过备份文件与修改文件的熵值对比结果,判断当前进程是否对文件进行了加密操作;若存在加密操作则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值,若是则判定为疑似文件恶意操作行为,则记录黑名单。5.根据权利要求1所述的防止文件被恶意操作行为损坏的方法,其特征在于,包括:通过备份文件与修改文件的熵值对比结果,判断当前进程是否对文件进行了压缩操作及源文件删除;若存在压缩操作和源文件删除则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值,若是则判定为疑似文件恶意操作行为,则记录黑名单。6.根据权利要求1所述的文件恶意操作行为的检测方法,其特征在于,包括:在判定疑似文件恶意操作行为之前,若被加密文件或压缩文件夹所在的文件夹内存在网页文件或者文本文件,则进一步记录网页文件或文本文件的文件名、后缀名,MD5值入特征库,并判定是...
【专利技术属性】
技术研发人员:李成东,常清雪,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。